Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Private CA Pianifica il tuo metodo di revoca dei certificati
Quando pianifichi la tua PKI privata CA privata AWS, dovresti considerare come gestire le situazioni in cui non desideri più che gli endpoint considerino attendibile un certificato emesso, ad esempio quando la chiave privata di un endpoint è esposta. Gli approcci più comuni a questo problema consistono nell'utilizzare certificati di breve durata o nel configurare la revoca dei certificati. I certificati di breve durata scadono in un periodo di tempo così breve, in ore o giorni, che la revoca non ha senso, poiché il certificato diventa non valido all'incirca nello stesso tempo necessario per notificare un endpoint di revoca. Questa sezione descrive le opzioni di revoca per i CA privata AWS clienti, inclusa la configurazione e le migliori pratiche.
I clienti che cercano un metodo di revoca possono scegliere l'Online Certificate Status Protocol (OCSP), gli elenchi di revoca dei certificati (CRLs) o entrambi.
**Nota**
Se crei la tua CA senza configurare la revoca, puoi sempre configurarla in un secondo momento. Per ulteriori informazioni, consulta [Aggiorna una CA privata in AWS Autorità di certificazione privata](PCAUpdateCA.md).
+ **Online Certificate Status Protocol (OCSP)**
CA privata AWS fornisce una soluzione OCSP completamente gestita per notificare agli endpoint che i certificati sono stati revocati senza che i clienti debbano gestire autonomamente l'infrastruttura. I clienti possono abilitare OCSP su sistemi nuovi o esistenti CAs con una singola operazione utilizzando la CA privata AWS console, l'API, la CLI o tramite. CloudFormation Mentre CRLs vengono archiviati ed elaborati sull'endpoint e possono diventare obsoleti, i requisiti di archiviazione ed elaborazione OCSP vengono gestiti in modo sincrono sul backend del risponditore.
Quando abiliti OCSP per una CA, CA privata AWS include l'URL del risponditore OCSP nell'estensione *Authority Information Access* (AIA) di ogni nuovo certificato emesso. L'estensione consente a client come i browser Web di interrogare il risponditore e determinare se è attendibile un certificato CA subordinato o di entità finale. Il risponditore restituisce un messaggio di stato firmato crittograficamente per garantirne l'autenticità.
[Il risponditore CA privata AWS OCSP è conforme alla RFC 5019.](https://datatracker.ietf.org/doc/html/rfc5019)
**Considerazioni OCSP**
+ I messaggi di stato OCSP vengono firmati utilizzando lo stesso algoritmo di firma per cui è stata configurata la CA emittente. CAs creati nella CA privata AWS console utilizzano l'algoritmo di firma SHA256 WITHRSA per impostazione predefinita. Altri algoritmi supportati sono disponibili nella documentazione dell'[CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html)API.
+ [APIPassthrough e i](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html#template-varieties) modelli di CSRPassthrough certificato non funzioneranno con l'estensione AIA se il risponditore OCSP è abilitato.
+ L'endpoint del servizio OCSP gestito è accessibile sulla rete Internet pubblica. I clienti che desiderano OCSP ma preferiscono non avere un endpoint pubblico dovranno gestire la propria infrastruttura OCSP.
+ **Elenchi di revoca dei certificati () CRLs**
Un elenco di revoca dei certificati (CRL) è un file che contiene un elenco di certificati revocati prima della data di scadenza prevista. Il CRL contiene un elenco di certificati che non dovrebbero più essere considerati attendibili, il motivo della revoca e altre informazioni pertinenti.
Quando configuri l'autorità di certificazione (CA), puoi scegliere se CA privata AWS creare un CRL completo o partizionato. La tua scelta determina il numero massimo di certificati che l'autorità di certificazione può emettere e revocare. Per ulteriori informazioni, consulta la pagina relativa alle [quote di CA privata AWS](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
**Considerazioni relative al CRL**
+ Considerazioni sulla memoria e sulla larghezza di banda: CRLs richiedono più memoria rispetto a OCSP a causa dei requisiti locali di download ed elaborazione. Tuttavia, CRLs potrebbe ridurre la larghezza di banda della rete rispetto a OCSP memorizzando nella cache gli elenchi di revoca anziché controllare lo stato di ogni connessione. Per i dispositivi con limiti di memoria, come alcuni dispositivi IoT, prendi in considerazione l'utilizzo del partizionato. CRLs
+ Modifica del tipo di CRL: quando si passa da un CRL completo a uno partizionato, CA privata AWS crea nuove partizioni in base alle esigenze e aggiunge l'estensione IDP a tutte, inclusa l'originale. CRLs Il passaggio da partizionato a completo aggiorna solo un singolo CRL e impedisce la revoca futura dei certificati associati alle partizioni precedenti.
**Nota**
Sia OCSP che OCSP CRLs presentano un certo ritardo tra la revoca e la disponibilità della modifica dello stato.
Le risposte OCSP possono richiedere fino a 60 minuti per riflettere il nuovo stato quando si revoca un certificato. In generale, OCSP tende a supportare una distribuzione più rapida delle informazioni di revoca perché, a differenza delle CRLs quali possono essere memorizzate nella cache dai client per giorni, le risposte OCSP in genere non vengono memorizzate nella cache dai client.
Generalmente un CRL viene aggiornato circa 30 minuti dopo che un certificato viene revocato. Se per qualsiasi motivo un aggiornamento del CRL fallisce, CA privata AWS effettua ulteriori tentativi ogni 15 minuti.
## Requisiti generali per le configurazioni di revoca
I seguenti requisiti si applicano a tutte le configurazioni di revoca.
+ Una disattivazione della configurazione CRLs o OCSP deve contenere solo il `Enabled=False` parametro e avrà esito negativo se sono inclusi altri parametri come `CustomCname` o. `ExpirationInDays`
+ In una configurazione CRL, il `S3BucketName` parametro deve essere conforme alle regole di denominazione dei [bucket di Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html).
+ Una configurazione contenente un parametro Canonical Name (CNAME) personalizzato per CRLs OCSP deve essere conforme alle [RFC7230](https://www.ietf.org/rfc/rfc7230.txt)restrizioni sull'uso di caratteri speciali in un CNAME.
+ In una configurazione CRL o OCSP, Il valore di un parametro CNAME non deve includere un prefisso di protocollo come “http://” o “https://”.
**Topics**
+ [Requisiti generali per le configurazioni di revoca](#revocation-requirements)
+ [Imposta un CRL per AWS Private CA](crl-planning.md)
+ [Personalizza l'URL OCSP per AWS Private CA](ocsp-customize.md)
# Imposta un CRL per AWS Private CA
Prima di poter configurare un elenco di revoca dei certificati (CRL) come parte del [processo di creazione della CA](create-CA.md), potrebbe essere necessaria una configurazione preliminare. Questa sezione spiega i prerequisiti e le opzioni da comprendere prima di creare una CA con un CRL allegato.
Per informazioni sull'utilizzo dell'Online Certificate Status Protocol (OCSP) come alternativa o supplemento a un CRL, vedere e. [](create-CA.md#PcaCreateRevocation) [Personalizza l'URL OCSP per AWS Private CA](ocsp-customize.md)
**Topics**
+ [Tipi di CRL](#crl-type)
+ [struttura CRL](#crl-structure)
+ [Politiche di accesso per CRLs Amazon S3](#s3-policies)
+ [Abilita S3 Block Public Access (BPA) con CloudFront](#s3-bpa)
+ [Determinazione dell'URI del punto di distribuzione CRL (CDP)](#crl-url)
+ [](#crl-ipv6)
## Tipi di CRL
+ **Completo**: l'impostazione predefinita. CA privata AWS mantiene un unico file CRL non partizionato per tutti i certificati non scaduti emessi da una CA che sono stati revocati. [Ogni certificato CA privata AWS emesso è associato a un CRL specifico tramite la relativa estensione del punto di distribuzione CRL (CDP), come definito nella RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) È possibile avere fino a 1 milione di certificati privati per ogni CA con CRL completo abilitato. Per ulteriori informazioni, consulta le [AWS Private CA quote](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
+ **Partizionato**: rispetto a quello completo CRLs, il CRLs partizionamento aumenta notevolmente il numero di certificati che la CA privata può emettere e ti evita di dover cambiare spesso il tuo. CAs
**Importante**
Quando si utilizza partitioned CRLs, è necessario verificare che l'URI IDP (Issuing Distribution Point) associato al CRL corrisponda all'URI CDP del certificato per garantire che sia stato recuperato il CRL corretto. CA privata AWS contrassegna l'estensione IDP come fondamentale, che il client deve essere in grado di elaborare.
## struttura CRL
Ogni CRL è un file con codifica DER. Per scaricare il file e utilizzare [OpenSSL](https://www.openssl.org/) per visualizzarlo, usa un comando simile al seguente:
```
openssl crl -inform DER -in path-to-crl-file -text -noout
```
CRLs hanno il seguente formato:
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
```
**Nota**
Il CRL verrà depositato in Amazon S3 solo dopo l'emissione di un certificato che lo riguarda. In precedenza, nel bucket Amazon S3 sarà visibile solo un `acm-pca-permission-test-key` file.
## Politiche di accesso per CRLs Amazon S3
Se intendi creare un CRL, devi preparare un bucket Amazon S3 in cui archiviarlo. CA privata AWS deposita automaticamente il CRL nel bucket Amazon S3 designato e lo aggiorna periodicamente. Per ulteriori informazioni, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).
Il tuo bucket S3 deve essere protetto da una politica di autorizzazioni IAM allegata. Gli utenti e i responsabili del servizio autorizzati richiedono `Put` l'autorizzazione per consentire di CA privata AWS inserire oggetti nel bucket e l'autorizzazione per recuperarli. `Get`
**Nota**
La configurazione della policy IAM dipende dal soggetto coinvolto. Regioni AWS Le regioni si dividono in due categorie:
Regioni abilitate per impostazione **predefinita: regioni abilitate** per *impostazione* predefinita per tutti. Account AWS
**Regioni disabilitate per impostazione predefinita: aree disattivate** per impostazione predefinita, ma che possono essere *abilitate* manualmente dal cliente.
[Per ulteriori informazioni e un elenco delle regioni disabilitate per impostazione predefinita, consulta Gestione. Regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) Per una discussione sui principali servizi nel contesto di IAM, consulta [AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions) Principles in opt-in Regions.
Quando configuri CRLs come metodo di revoca del certificato, CA privata AWS crea un CRL e lo pubblica in un bucket S3. Il bucket S3 richiede una policy IAM che consenta al responsabile del CA privata AWS servizio di scrivere nel bucket. Il nome del service principal varia in base alle regioni utilizzate e non tutte le possibilità sono supportate.
****
| PCA | S3 | Principale del servizio |
| --- | --- | --- |
| Entrambi nella stessa regione | `acm-pca.amazonaws.com` |
| Abilitato | Abilitato | `acm-pca.amazonaws.com` |
| Disabilitato | Abilitato | `acm-pca.Region.amazonaws.com` |
| Abilitato | Disabilitato | Non supportata |
La politica predefinita non applica alcuna `SourceArn` restrizione alla CA. Ti consigliamo di applicare una politica meno permissiva come la seguente, che limita l'accesso sia a un AWS account specifico che a una CA privata specifica. In alternativa, puoi utilizzare la chiave di condizione [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) per limitare l'accesso a un'organizzazione specifica in. AWS Organizations Per ulteriori informazioni sulle politiche dei bucket, consulta le politiche dei [bucket per Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
Se scegli di consentire la politica predefinita, puoi sempre [modificarla](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) in un secondo momento.
## Abilita S3 Block Public Access (BPA) con CloudFront
I nuovi bucket Amazon S3 sono configurati per impostazione predefinita con la funzionalità Block Public Access (BPA) attivata. Incluso nelle [best practice di sicurezza](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) di Amazon S3, BPA è un set di controlli di accesso che i clienti possono utilizzare per ottimizzare l'accesso agli oggetti nei loro bucket S3 e ai bucket nel loro insieme. Quando il BPA è attivo e configurato correttamente, solo AWS gli utenti autorizzati e autenticati hanno accesso a un bucket e al suo contenuto.
AWS raccomanda l'uso del BPA su tutti i bucket S3 per evitare l'esposizione di informazioni sensibili a potenziali avversari. Tuttavia, è necessaria una pianificazione aggiuntiva se i client PKI eseguono operazioni di recupero dati CRLs tramite Internet pubblico (ovvero quando non sono connessi a un account). AWS Questa sezione descrive come configurare una soluzione PKI privata utilizzando Amazon CloudFront, una rete di distribuzione dei contenuti (CDN), per servire CRLs senza richiedere l'accesso client autenticato a un bucket S3.
**Nota**
L'utilizzo CloudFront comporta costi aggiuntivi per il tuo account. AWS Per ulteriori informazioni, consulta la pagina [ CloudFront dei prezzi di Amazon](https://aws.amazon.com/cloudfront/pricing/).
Se scegli di archiviare il tuo CRL in un bucket S3 con BPA abilitato e non lo usi CloudFront, devi creare un'altra soluzione CDN per garantire che il tuo client PKI abbia accesso al tuo CRL.
### Configurazione per BPA CloudFront
Crea una CloudFront distribuzione che abbia accesso al tuo bucket S3 privato e possa servire CRLs client non autenticati.
**Per configurare una distribuzione per il CRL CloudFront**
1. Crea una nuova CloudFront distribuzione utilizzando la procedura descritta in [Creazione di una distribuzione](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) nell'*Amazon CloudFront Developer Guide*.
Durante il completamento della procedura, applica le seguenti impostazioni:
+ In **Origin Domain Name**, scegli il tuo bucket S3.
+ Scegli **Sì** per **limitare l'accesso ai bucket**.
+ Scegli **Crea una nuova identità** per **Origin Access Identity**.
+ Scegli **Sì, aggiorna la politica del bucket** in **Concedi autorizzazioni di lettura su** Bucket.
**Nota**
In questa procedura, CloudFront modifica la policy del bucket per consentirle di accedere agli oggetti bucket. Valuta la possibilità di [modificare](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) questa politica per consentire l'accesso solo agli oggetti all'interno della cartella. `crl`
1. Dopo l'inizializzazione della distribuzione, individua il relativo nome di dominio nella CloudFront console e salvalo per la procedura successiva.
**Nota**
Se il tuo bucket S3 è stato appena creato in una regione diversa da us-east-1, potresti ricevere un errore di reindirizzamento temporaneo HTTP 307 quando accedi all'applicazione pubblicata tramite. CloudFront La propagazione dell'indirizzo del bucket potrebbe richiedere diverse ore.
### Configura la tua CA per BPA
Durante la configurazione della nuova CA, includi l'alias nella distribuzione. CloudFront
**Per configurare la tua CA con un CNAME per CloudFront**
+ Crea la tua CA utilizzando[Crea una CA privata in AWS Private CA](create-CA.md).
Quando si esegue la procedura, il file di revoca `revoke_config.txt` deve includere le seguenti righe per specificare un oggetto CRL non pubblico e fornire un URL all'endpoint di distribuzione in: CloudFront
```
"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
"CustomCname":"abcdef012345.cloudfront.net"
```
Successivamente, quando emetti certificati con questa CA, questi conterranno un blocco come il seguente:
```
X509v3 CRL Distribution Points:
Full Name:
URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
```
**Nota**
Se disponi di certificati precedenti emessi da questa CA, non saranno in grado di accedere al CRL.
## Determinazione dell'URI del punto di distribuzione CRL (CDP)
Se è necessario utilizzare l'URI CRL Distribution Point (CDP) nel flusso di lavoro, è possibile emettere un certificato utilizzando l'URI CRL su quel certificato o utilizzare il metodo seguente. Funziona solo per intero. CRLs Ai CRLs partizionati viene aggiunto un GUID casuale.
Se utilizzi il bucket S3 come CDP (CRL Distribution Point) per la tua CA, l'URI CDP può avere uno dei seguenti formati.
+ `http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl`
+ `http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl`
Se hai configurato la tua CA con un CNAME personalizzato, l'URI CDP includerà il CNAME, ad esempio, `http://alternative.example.com/crl/CA-ID.crl`
##
Per impostazione predefinita, CA privata AWS scrive le estensioni CDP utilizzando endpoint solo regionali. IPv4 `amazonaws.com` Per utilizzare CRLs over IPv6, esegui uno dei seguenti passaggi in modo che venga scritto con URLs quel CDPs punto sugli endpoint dualstack di [S3:](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html)
+ Imposta il tuo [nome CRL personalizzato](create-CA.md#PcaCreateRevocation) sul dominio endpoint dualstack S3. Ad esempio, `bucketname.s3.dualstack.region-code.amazonaws.com`
+ Configura il tuo record DNS CNAME che punti all'endpoint dualstack S3 pertinente, quindi usalo come nome CRL personalizzato
# Personalizza l'URL OCSP per AWS Private CA
**Nota**
Questo argomento è destinato ai clienti che desiderano personalizzare l'URL pubblico dell'endpoint di risposta OCSP (Online Certificate Status Protocol) per scopi di branding o altri scopi. [Se prevedi di utilizzare la configurazione predefinita dell'OCSP CA privata AWS gestito, puoi saltare questo argomento e seguire le istruzioni di configurazione in Configurare la revoca.](create-CA.md#PcaCreateRevocation)
Per impostazione predefinita, quando abiliti OCSP per CA privata AWS, ogni certificato emesso contiene l'URL del risponditore OCSP. AWS Ciò consente ai client che richiedono una connessione crittograficamente sicura di inviare direttamente le query di convalida OCSP a. AWS Tuttavia, in alcuni casi potrebbe essere preferibile indicare un URL diverso nei certificati e comunque inviare le query OCSP a. AWS
**Nota**
Per informazioni sull'utilizzo di un elenco di revoca dei certificati (CRL) come alternativa o supplemento a OCSP, vedere [Configurazione della revoca e [Pianificazione](crl-planning.md) di un elenco di revoca dei](create-CA.md#PcaCreateRevocation) certificati (CRL).
Nella configurazione di un URL personalizzato per OCSP sono coinvolti tre elementi.
+ **Configurazione CA**: specifica un URL OCSP personalizzato `RevocationConfiguration` per la tua CA, come descritto in. [Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato](create-CA.md#example_2) [Crea una CA privata in AWS Private CA](create-CA.md)
+ **DNS**: aggiungi un record CNAME alla configurazione del tuo dominio per mappare l'URL che appare nei certificati a un URL del server proxy. Per ulteriori informazioni, consulta [Esempio 2: creare una CA con OCSP e un CNAME personalizzato abilitato](create-CA.md#example_2) in [Crea una CA privata in AWS Private CA](create-CA.md).
+ **Server proxy di inoltro: configura un server proxy** in grado di inoltrare in modo trasparente il traffico OCSP ricevuto al risponditore OCSP. AWS
Il diagramma seguente illustra come questi elementi interagiscono.
![\[Topologia OCSP personalizzata\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/images/ocsp.png)
Come illustrato nel diagramma, il processo di convalida OCSP personalizzato prevede i seguenti passaggi:
1. Il client richiede il DNS per il dominio di destinazione.
1. Il client riceve l'IP di destinazione.
1. Il client apre una connessione TCP con target.
1. Il client riceve il certificato TLS di destinazione.
1. Il client richiede il DNS per il dominio OCSP elencato nel certificato.
1. Il client riceve l'IP proxy.
1. Il client invia una query OCSP al proxy.
1. Il proxy inoltra la richiesta al risponditore OCSP.
1. Il risponditore restituisce lo stato del certificato al proxy.
1. Il proxy inoltra lo stato del certificato al client.
1. Se il certificato è valido, il client avvia l'handshake TLS.
**Suggerimento**
Questo esempio può essere implementato utilizzando [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/) e [Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) dopo aver configurato una CA come descritto sopra.
In CloudFront, crea una distribuzione e configurala come segue:
Crea un nome alternativo che corrisponda al tuo CNAME personalizzato.
Associa il tuo certificato ad esso.
Imposta `ocsp.acm-pca..amazonaws.com` come origine.
Per utilizzare IPv6 le connessioni, usa l'endpoint dualstack `acm-pca-ocsp..api.aws`
Applica la politica. `Managed-CachingDisabled`
Imposta la **politica del protocollo Viewer** su **HTTP e HTTPS**.
Imposta **i metodi HTTP consentiti** su **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**.
In Route 53, crea un record DNS che mappa il tuo CNAME personalizzato all'URL della CloudFront distribuzione.
## Utilizzo di OCSP su IPv6
L'URL del risponditore CA privata AWS OCSP predefinito è -only. IPv4 Per utilizzare OCSP over IPv6, configura un URL OCSP personalizzato per la tua CA. L'URL può essere uno dei seguenti:
+ Il nome di dominio completo del risponditore OCSP PCA dualstack, che assume il formato `acm-pca-ocsp.region-name.api.aws`
+ Un record CNAME che hai configurato per puntare al risponditore OCSP dualstack, come spiegato sopra.