Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Personalizza l'URL OCSP per AWS Private CA
<a name="ocsp-customize"></a>

**Nota**  
Questo argomento è destinato ai clienti che desiderano personalizzare l'URL pubblico dell'endpoint di risposta OCSP (Online Certificate Status Protocol) per scopi di branding o altri scopi. [Se prevedi di utilizzare la configurazione predefinita dell'OCSP CA privata AWS gestito, puoi saltare questo argomento e seguire le istruzioni di configurazione in Configurare la revoca.](create-CA.md#PcaCreateRevocation)

Per impostazione predefinita, quando abiliti OCSP per CA privata AWS, ogni certificato emesso contiene l'URL del risponditore OCSP. AWS Ciò consente ai client che richiedono una connessione crittograficamente sicura di inviare direttamente le query di convalida OCSP a. AWS Tuttavia, in alcuni casi potrebbe essere preferibile indicare un URL diverso nei certificati e comunque inviare le query OCSP a. AWS

**Nota**  
Per informazioni sull'utilizzo di un elenco di revoca dei certificati (CRL) come alternativa o supplemento a OCSP, vedere [Configurazione della revoca e [Pianificazione](crl-planning.md) di un elenco di revoca dei](create-CA.md#PcaCreateRevocation) certificati (CRL).

Nella configurazione di un URL personalizzato per OCSP sono coinvolti tre elementi.
+ **Configurazione CA**: specifica un URL OCSP personalizzato `RevocationConfiguration` per la tua CA, come descritto in. [Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato](create-CA.md#example_2) [Crea una CA privata in AWS Private CA](create-CA.md)
+ **DNS**: aggiungi un record CNAME alla configurazione del tuo dominio per mappare l'URL che appare nei certificati a un URL del server proxy. Per ulteriori informazioni, consulta [Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato](create-CA.md#example_2) in [Crea una CA privata in AWS Private CA](create-CA.md).
+ **Server proxy di inoltro: configura un server proxy** in grado di inoltrare in modo trasparente il traffico OCSP ricevuto al risponditore OCSP. AWS 

Il diagramma seguente illustra come questi elementi interagiscono.

![\[Topologia OCSP personalizzata\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ocsp.png)


Come illustrato nel diagramma, il processo di convalida OCSP personalizzato prevede i seguenti passaggi:

1. Il client richiede il DNS per il dominio di destinazione.

1. Il client riceve l'IP di destinazione.

1. Il client apre una connessione TCP con target.

1. Il client riceve il certificato TLS di destinazione.

1. Il client richiede il DNS per il dominio OCSP elencato nel certificato.

1. Il client riceve l'IP proxy.

1. Il client invia una query OCSP al proxy.

1. Il proxy inoltra la richiesta al risponditore OCSP.

1. Il risponditore restituisce lo stato del certificato al proxy.

1. Il proxy inoltra lo stato del certificato al client.

1. Se il certificato è valido, il client avvia l'handshake TLS.

**Suggerimento**  
Questo esempio può essere implementato utilizzando [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/) e [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) dopo aver configurato una CA come descritto sopra.  
In CloudFront, crea una distribuzione e configurala come segue:  
Crea un nome alternativo che corrisponda al tuo CNAME personalizzato.
Associa il tuo certificato ad esso.
Imposta `ocsp.acm-pca.<region>.amazonaws.com` come origine.  
Per utilizzare IPv6 le connessioni, usa l'endpoint dualstack `acm-pca-ocsp.<region>.api.aws`
Applica la politica. `Managed-CachingDisabled`
Imposta la **politica del protocollo Viewer** su **HTTP e HTTPS**.
Imposta **i metodi HTTP consentiti** su **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**.
In Route 53, crea un record DNS che mappa il tuo CNAME personalizzato all'URL della CloudFront distribuzione.

## Utilizzo di OCSP su IPv6
<a name="ocsp-ipv6"></a>

 L'URL del risponditore CA privata AWS OCSP predefinito è -only. IPv4 Per utilizzare OCSP over IPv6, configura un URL OCSP personalizzato per la tua CA. L'URL può essere uno dei seguenti: 
+ Il nome di dominio completo del risponditore OCSP PCA dualstack, che assume il formato `acm-pca-ocsp.region-name.api.aws`
+ Un record CNAME che hai configurato per puntare al risponditore OCSP dualstack, come spiegato sopra.