As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Personalize o URL OCSP para CA Privada da AWS
<a name="ocsp-customize"></a>

**nota**  
Este tópico é para clientes que desejam personalizar a URL pública do endpoint do respondente do Online Certificate Status Protocol (OCSP) para fins de identidade visual ou outros fins. Se você planeja usar a configuração padrão do OCSP CA privada da AWS gerenciado, pode ignorar este tópico e seguir as instruções de configuração em [Configurar](create-CA.md#PcaCreateRevocation) revogação.

Por padrão, quando você habilita o OCSP para CA privada da AWS, cada certificado emitido contém a URL do respondente AWS OCSP. Isso permite que os clientes que solicitam uma conexão criptograficamente segura enviem consultas de validação OCSP diretamente à AWS. Porém, em alguns casos, pode ser preferível indicar uma URL diferente em seus certificados e, ao mesmo tempo, enviar consultas OCSP à AWS.

**nota**  
Para obter informações sobre como usar uma lista de revogação de certificados (CRL) como alternativa ou suplemento ao OCSP, consulte [Configurar a revogação](create-CA.md#PcaCreateRevocation) e [Planejar uma lista de revogação de certificados (CRL)](crl-planning.md).

Três elementos estão envolvidos na configuração de um URL personalizado para o OCSP.
+ **Configuração da CA**: especifique um URL OCSP personalizado no `RevocationConfiguration` para sua CA, conforme descrito no [Exemplo 2: criar uma CA com o OCSP e um CNAME personalizado habilitado](create-CA.md#example_2) em [Crie uma CA privada em CA Privada da AWS](create-CA.md).
+ **DNS**: adicione um registro CNAME à configuração do domínio para mapear o URL que aparece nos certificados para o URL de um servidor proxy. Para obter mais informações, consulte [Exemplo 2: criar uma CA com o OCSP e um CNAME personalizado habilitado](create-CA.md#example_2) em [Crie uma CA privada em CA Privada da AWS](create-CA.md).
+ **Servidor proxy de encaminhamento**: configure um servidor proxy que possa encaminhar de maneira transparente o tráfego OCSP recebido ao agente de resposta OCSP da AWS .

O diagrama a seguir ilustra como esses elementos funcionam em conjunto.

![\[Topologia OCSP personalizada\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/ocsp.png)


Conforme mostrado no diagrama, o processo de validação personalizado do OCSP envolve as etapas a seguir:

1. O cliente consulta o DNS para o domínio de destino.

1. O cliente recebe o IP de destino.

1. O cliente abre uma conexão TCP com o destino.

1. O cliente recebe o certificado TLS de destino.

1. O cliente consulta o DNS para o domínio OCSP listado no certificado.

1. O cliente recebe o IP do proxy.

1. O cliente envia a consulta OCSP para o proxy.

1. O proxy encaminha a consulta ao agente de resposta OCSP.

1. O agente de resposta retorna o status do certificado para o proxy.

1. O proxy encaminha o status do certificado ao cliente.

1. Se o certificado for válido, o cliente iniciará o handshake de TLS.

**dica**  
Esse exemplo pode ser implementado usando a [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/) [e o Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) depois de configurar uma CA conforme descrito acima.  
Em CloudFront, crie uma distribuição e configure-a da seguinte forma:  
Crie um nome alternativo que corresponda ao CNAME personalizado.
Vincule o certificado a ele.
`ocsp.acm-pca.<region>.amazonaws.com`Definido como origem.  
Para usar IPv6 conexões, use o endpoint dualstack `acm-pca-ocsp.<region>.api.aws`
Aplique a política `Managed-CachingDisabled`.
Defina **Política de protocolo do visualizador** para **HTTP e HTTPS**.
Defina **Métodos HTTP permitidos** como **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**.
No Route 53, crie um registro DNS que mapeie seu CNAME personalizado para a URL da CloudFront distribuição.

## Usando o OCSP sobre IPv6
<a name="ocsp-ipv6"></a>

 O URL padrão do respondente CA privada da AWS OCSP é IPv4 -only. Para usar o OCSP over IPv6, configure um URL OCSP personalizado para sua CA. O URL pode ser: 
+ O FQDN do respondente PCA OCSP de pilha dupla, que assume o formato `acm-pca-ocsp.region-name.api.aws`
+ Um registro CNAME que você configurou para apontar para o respondente OCSP de pilha dupla, conforme explicado acima.