As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Planeje seu método CA Privada da AWS de revogação de certificado
Ao planejar sua PKI privada com CA privada da AWS, você deve considerar como lidar com situações em que não deseja mais que os endpoints confiem em um certificado emitido, como quando a chave privada de um endpoint é exposta. As abordagens comuns a esse problema são usar certificados de curta duração ou configurar a revogação de certificados. Certificados de curta duração expiram em um período tão curto, em horas ou dias, que a revogação não faz sentido, com o certificado tornando-se inválido aproximadamente no mesmo tempo necessário para notificar um endpoint sobre a revogação. Esta seção descreve as opções de revogação para cliente do CA privada da AWS , incluindo configuração e práticas recomendadas.
Os clientes que procuram um método de revogação podem escolher o Online Certificate Status Protocol (OCSP), as listas de revogação de certificados (CRLs) ou ambos.
**nota**
Se você criar uma CA sem configurar a revogação, sempre poderá configurá-la mais tarde. Para obter mais informações, consulte [Atualizar uma CA privada em Autoridade de Certificação Privada da AWS](PCAUpdateCA.md).
+ **Online Certificate Status Protocol (OCSP)**
CA privada da AWS fornece uma solução OCSP totalmente gerenciada para notificar os endpoints de que os certificados foram revogados sem a necessidade de os próprios clientes operarem a infraestrutura. Os clientes podem habilitar o OCSP em operações novas ou existentes CAs com uma única operação usando o CA privada da AWS console, a API, a CLI ou por meio de. CloudFormation Embora CRLs sejam armazenados e processados no endpoint e possam se tornar obsoletos, os requisitos de armazenamento e processamento do OCSP são tratados de forma síncrona no back-end do respondente.
Quando você habilita o OCSP para uma CA, CA privada da AWS inclui a URL do respondente OCSP na extensão de *Acesso às Informações da Autoridade* (AIA) de cada novo certificado emitido. A extensão permite que clientes, como navegadores da Web, consultem o agente de resposta e determinem se uma entidade final ou um certificado de CA subordinada pode ser confiável. O agente de reposta retorna uma mensagem de status assinada criptograficamente para garantir sua autenticidade.
O respondente CA privada da AWS OCSP é compatível com o [RFC](https://datatracker.ietf.org/doc/html/rfc5019) 5019.
**Considerações sobre OCSP**
+ As mensagens de status do OCSP são assinadas usando o mesmo algoritmo de assinatura que a CA emissora foi configurada para usar. CAs criados no CA privada da AWS console usam o algoritmo de assinatura SHA256 WITHRSA por padrão. Outros algoritmos compatíveis podem ser encontrados na documentação [CertificateAuthorityConfiguration](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CertificateAuthorityConfiguration.html)da API.
+ [APIPassthrough e](https://docs.aws.amazon.com/privateca/latest/userguide/UsingTemplates.html#template-varieties) os modelos de CSRPassthrough certificado não funcionarão com a extensão AIA se o respondente OCSP estiver habilitado.
+ O endpoint do serviço OCSP gerenciado pode ser acessado na Internet pública. Os clientes que desejarem o OCSP, mas preferem não ter um endpoint público, precisarão operar sua própria infraestrutura OCSP.
+ **Listas de revogação de certificados () CRLs**
Uma lista de revogação de certificados (CRL) é um arquivo que contém uma lista de certificados revogados antes da data de expiração programada. A CRL contém uma lista de certificados que não devem mais ser confiáveis, o motivo da revogação e outras informações relevantes.
Ao configurar sua autoridade de certificação (CA), você pode escolher se CA privada da AWS cria uma CRL completa ou particionada. Sua escolha determina o número máximo de certificados que a autoridade de certificação pode emitir e revogar. Para obter mais informações, consulte as [CA privada da AWS cotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
**Considerações sobre CRL**
+ Considerações sobre memória e largura de banda: CRLs exigem mais memória do que o OCSP devido aos requisitos locais de download e processamento. No entanto, CRLs pode reduzir a largura de banda da rede em comparação com o OCSP armazenando listas de revogação em cache em vez de verificar o status por conexão. Para dispositivos com restrição de memória, como determinados dispositivos de IoT, considere usar particionados. CRLs
+ Alteração do tipo de CRL: ao mudar de uma CRL completa para uma particionada, CA privada da AWS cria novas partições conforme necessário e adiciona a extensão IDP a todas CRLs, incluindo a original. Alterar de particionado para completo atualiza somente uma única CRL e evita a revogação futura de certificados associados a partições anteriores.
**nota**
Tanto o OCSP quanto o OCSP CRLs apresentam algum atraso entre a revogação e a disponibilidade da mudança de status.
As respostas do OCSP podem levar até 60 minutos para refletir o novo status quando um certificado é revogado. Em geral, o OCSP tende a oferecer suporte à distribuição mais rápida de informações de revogação porque, ao contrário do CRLs que pode ser armazenado em cache pelos clientes por dias, as respostas do OCSP normalmente não são armazenadas em cache pelos clientes.
Uma CRL normalmente é atualizada aproximadamente 30 minutos depois que um certificado é revogado. Se por algum motivo uma atualização da CRL falhar, CA privada da AWS faça novas tentativas a cada 15 minutos.
## Requisitos gerais para configurações de revogação
Os seguintes requisitos se aplicam a todas as configurações de revogação.
+ A desativação de uma configuração CRLs ou OCSP deve conter somente o `Enabled=False` parâmetro e falhará se outros parâmetros, como `CustomCname` ou `ExpirationInDays` forem incluídos.
+ Em uma configuração de CRL, o parâmetro `S3BucketName` deve estar em conformidade com as [regras de nomenclatura de bucket do Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html).
+ Uma configuração contendo um parâmetro de nome canônico (CNAME) personalizado para CRLs ou OCSP deve estar em conformidade com [RFC7230](https://www.ietf.org/rfc/rfc7230.txt)as restrições ao uso de caracteres especiais em um CNAME.
+ Em uma configuração de CRL ou OCSP, o valor de um parâmetro CNAME não deve incluir um prefixo de protocolo como "http://" ou "https://".
**Topics**
+ [Requisitos gerais para configurações de revogação](#revocation-requirements)
+ [Configure uma CRL para CA Privada da AWS](crl-planning.md)
+ [Personalize o URL OCSP para CA Privada da AWS](ocsp-customize.md)
# Configure uma CRL para CA Privada da AWS
Antes de configurar uma lista de revogação de certificados (CRL) como parte do [processo de criação da CA](create-CA.md), talvez seja necessária alguma configuração prévia. Esta seção explica os pré-requisitos e as opções que você deve entender antes de criar uma CA com uma CRL anexada.
Para obter informações sobre como usar o Online Certificate Status Protocol (OCSP) como alternativa ou suplemento a uma CRL, consulte e [](create-CA.md#PcaCreateRevocation) e .[Personalize o URL OCSP para CA Privada da AWS](ocsp-customize.md)
**Topics**
+ [Tipos de CRL](#crl-type)
+ [Estrutura da CRL](#crl-structure)
+ [Políticas de acesso para CRLs o Amazon S3](#s3-policies)
+ [Habilite o S3 Block Public Access (BPA) com CloudFront](#s3-bpa)
+ [Determinando o URI do ponto de distribuição da CRL (CDP)](#crl-url)
+ [](#crl-ipv6)
## Tipos de CRL
+ **Concluído** - A configuração padrão. CA privada da AWS mantém um único arquivo CRL não particionado para todos os certificados não expirados emitidos por uma CA que foram revogados. [Cada certificado CA privada da AWS emitido é vinculado a uma CRL específica por meio de sua extensão de ponto de distribuição de CRL (CDP), conforme definido na RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) Você pode ter até 1 milhão de certificados privados para cada CA com a CRL completa ativada. Para obter mais informações, consulte as [CA Privada da AWS cotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
+ **Particionado** - Em comparação com o completo CRLs, o particionado aumenta CRLs drasticamente o número de certificados que sua CA privada pode emitir e evita que você alterne seus certificados com frequência. CAs
**Importante**
Ao usar particionado CRLs, você deve validar se o URI do ponto de distribuição emissor (IDP) associado à CRL corresponde ao URI do CDP do certificado para garantir que a CRL correta tenha sido obtida. CA privada da AWS marca a extensão do IDP como crítica, que seu cliente deve ser capaz de processar.
## Estrutura da CRL
Cada CRL é um arquivo DER codificado. Para fazer download do arquivo e usar o [OpenSSL](https://www.openssl.org/) para visualizá-lo, use um comando como o seguinte:
```
openssl crl -inform DER -in path-to-crl-file -text -noout
```
CRLs têm o seguinte formato:
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
```
**nota**
A CRL só será depositada no Amazon S3 depois que um certificado que se refere a ela for emitido. Antes disso, só haverá um arquivo `acm-pca-permission-test-key` visível no bucket do Amazon S3.
## Políticas de acesso para CRLs o Amazon S3
Se você planeja criar uma CRL, precisa preparar um bucket do Amazon S3 para armazená-la. CA privada da AWS deposita automaticamente a CRL no bucket do Amazon S3 que você designar e a atualiza periodicamente. Para mais informações, consulte [ Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).
Seu bucket do S3 deve ser protegido por uma política de permissões do IAM anexada. Usuários autorizados e diretores de serviços precisam de `Put` permissão CA privada da AWS para colocar objetos no bucket e `Get` permissão para recuperá-los.
**nota**
A configuração da política do IAM depende dos Regiões da AWS envolvidos. Regiões se encaixam em duas categorias:
**Regiões habilitadas por padrão — Regiões** que são *habilitadas* por padrão para todos. Contas da AWS
**Regiões desabilitadas por padrão**: regiões que estão *desabilitadas* por padrão, mas que podem ser manualmente habilitadas pelo cliente.
Para obter mais informações e uma lista das regiões desabilitadas por padrão, consulte [Gerenciar Regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html). Para uma discussão sobre entidades principais de serviço no contexto do IAM, consulte [Entidades principais os de serviços do AWS em regiões opcionais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions).
Quando você configura CRLs como método de revogação de certificado, CA privada da AWS cria uma CRL e a publica em um bucket do S3. O bucket do S3 exige uma política do IAM que permita que o responsável pelo CA privada da AWS serviço grave no bucket. O nome da entidade principal de serviço varia de acordo com as regiões usadas, e não há suporte para todas as possibilidades.
****
| PCA | S3 | Entidade principal do serviço |
| --- | --- | --- |
| Ambos na mesma região | `acm-pca.amazonaws.com` |
| Habilitado | Habilitado | `acm-pca.amazonaws.com` |
| Desabilitado | Habilitado | `acm-pca.Region.amazonaws.com` |
| Habilitado | Desabilitado | Não compatível |
A política padrão não aplica restrição de `SourceArn` à CA. Recomendamos que você aplique uma política menos permissiva, como a seguinte, que restringe o acesso a uma AWS conta específica e a uma CA privada específica. Como alternativa, você pode usar a chave de condição [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) para restringir o acesso a uma organização específica em AWS Organizations. Para obter mais informações sobre políticas de bucket, consulte [Políticas de bucket para o Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
Se você optar por permitir a política padrão, sempre poderá [modificá-la](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) mais tarde.
## Habilite o S3 Block Public Access (BPA) com CloudFront
Novos buckets do Amazon S3 são configurados por padrão com o recurso Bloqueio de acesso público (BPA) ativado. Incluído nas [práticas recomendadas de segurança](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) do Amazon S3, o BPA é um conjunto de controles de acesso que os clientes podem utilizar para ajustar o acesso aos objetos em seus buckets do S3 e aos buckets como um todo. Quando o BPA está ativo e configurado corretamente, somente AWS usuários autorizados e autenticados têm acesso a um bucket e seu conteúdo.
AWS recomenda o uso de BPA em todos os buckets do S3 para evitar a exposição de informações confidenciais a possíveis adversários. No entanto, um planejamento adicional é necessário se seus clientes de PKI acessarem CRLs pela Internet pública (ou seja, sem estarem conectados a uma AWS conta). Esta seção descreve como configurar uma solução de PKI privada usando a Amazon CloudFront, uma rede de entrega de conteúdo (CDN), para servir CRLs sem exigir acesso autenticado do cliente a um bucket do S3.
**nota**
O uso CloudFront incorre em custos adicionais em sua AWS conta. Para obter mais informações, consulte [Amazon CloudFront Pricing](https://aws.amazon.com/cloudfront/pricing/).
Se você optar por armazenar sua CRL em um bucket do S3 com o BPA ativado e não usar CloudFront, deverá criar outra solução de CDN para garantir que seu cliente de PKI tenha acesso à sua CRL.
### Configurado CloudFront para BPA
Crie uma CloudFront distribuição que tenha acesso ao seu bucket S3 privado e possa servir CRLs para clientes não autenticados.
**Para configurar uma CloudFront distribuição para a CRL**
1. Crie uma nova CloudFront distribuição usando o procedimento em [Criar uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) no *Amazon CloudFront Developer Guide*.
Ao concluir o procedimento, aplique as configurações a seguir:
+ Em **Nome de domínio de origem**, escolha o bucket do S3.
+ Escolha **Sim** para **Restringir acesso ao bucket**.
+ Escolha **Criar uma nova identidade** para **Identidade de acesso à origem**.
+ Escolha **Sim, atualizar política do bucket** em **Conceder permissões de leitura no bucket**.
**nota**
Neste procedimento, CloudFront modifica sua política de bucket para permitir que ela acesse objetos de bucket. Considere [editar](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) essa política para permitir o acesso somente aos objetos na pasta `crl`.
1. Depois que a distribuição for inicializada, localize seu nome de domínio no CloudFront console e salve-o para o próximo procedimento.
**nota**
Se seu bucket do S3 foi criado recentemente em uma região diferente de us-east-1, você pode receber um erro de redirecionamento temporário de HTTP 307 ao acessar seu aplicativo publicado por meio de. CloudFront Pode demorar várias horas para que o endereço do bucket se propague.
### Configurar sua CA para o BPA
Ao configurar sua nova CA, inclua o alias em sua CloudFront distribuição.
**Para configurar sua CA com um CNAME para CloudFront**
+ Crie sua CA usando a [Crie uma CA privada em CA Privada da AWS](create-CA.md).
Quando você executa o procedimento, o arquivo de revogação `revoke_config.txt` deve incluir as seguintes linhas para especificar um objeto CRL não público e fornecer uma URL para o endpoint de distribuição em: CloudFront
```
"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
"CustomCname":"abcdef012345.cloudfront.net"
```
Mais tarde, quando você emitir certificados com essa CA, eles conterão um bloco como o seguinte:
```
X509v3 CRL Distribution Points:
Full Name:
URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
```
**nota**
Se houver certificados mais antigos emitidos por essa CA, eles não conseguirão acessar a CRL.
## Determinando o URI do ponto de distribuição da CRL (CDP)
Se precisar usar o URI do CRL Distribution Point (CDP) em seu fluxo de trabalho, você pode emitir um certificado usando o URI da CRL nesse certificado ou usar o método a seguir. Isso só funciona por completo CRLs. Particionados CRLs têm um GUID aleatório anexado a eles.
Se você usar o bucket do S3 como o ponto de distribuição de CRL (CDP) para sua CA, o URI do CDP pode estar em um dos formatos a seguir.
+ `http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl`
+ `http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl`
Se você configurou sua CA com um CNAME personalizado, o URI do CDP incluirá o CNAME, por exemplo, `http://alternative.example.com/crl/CA-ID.crl`
##
Por padrão, CA privada da AWS grava extensões de CDP usando endpoints regionais IPv4 somente`amazonaws.com`. Para usar o CRLs over IPv6, execute uma das etapas a seguir para que CDPs sejam gravadas com URLs esse ponto nos endpoints de pilha [dupla do S3](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html):
+ Defina seu [nome personalizado de CRL](create-CA.md#PcaCreateRevocation) para o domínio de endpoint dualstack do S3. Por exemplo, `bucketname.s3.dualstack.region-code.amazonaws.com`.
+ Configure seu próprio registro DNS CNAME apontando para o endpoint de pilha dupla relevante do S3 e use-o como seu nome personalizado de CRL
# Personalize o URL OCSP para CA Privada da AWS
**nota**
Este tópico é para clientes que desejam personalizar a URL pública do endpoint do respondente do Online Certificate Status Protocol (OCSP) para fins de identidade visual ou outros fins. Se você planeja usar a configuração padrão do OCSP CA privada da AWS gerenciado, pode ignorar este tópico e seguir as instruções de configuração em [Configurar](create-CA.md#PcaCreateRevocation) revogação.
Por padrão, quando você habilita o OCSP para CA privada da AWS, cada certificado emitido contém a URL do respondente AWS OCSP. Isso permite que os clientes que solicitam uma conexão criptograficamente segura enviem consultas de validação OCSP diretamente à AWS. Porém, em alguns casos, pode ser preferível indicar uma URL diferente em seus certificados e, ao mesmo tempo, enviar consultas OCSP à AWS.
**nota**
Para obter informações sobre como usar uma lista de revogação de certificados (CRL) como alternativa ou suplemento ao OCSP, consulte [Configurar a revogação](create-CA.md#PcaCreateRevocation) e [Planejar uma lista de revogação de certificados (CRL)](crl-planning.md).
Três elementos estão envolvidos na configuração de um URL personalizado para o OCSP.
+ **Configuração da CA**: especifique um URL OCSP personalizado no `RevocationConfiguration` para sua CA, conforme descrito no [Exemplo 2: criar uma CA com o OCSP e um CNAME personalizado habilitado](create-CA.md#example_2) em [Crie uma CA privada em CA Privada da AWS](create-CA.md).
+ **DNS**: adicione um registro CNAME à configuração do domínio para mapear o URL que aparece nos certificados para o URL de um servidor proxy. Para obter mais informações, consulte [Exemplo 2: criar uma CA com o OCSP e um CNAME personalizado habilitado](create-CA.md#example_2) em [Crie uma CA privada em CA Privada da AWS](create-CA.md).
+ **Servidor proxy de encaminhamento**: configure um servidor proxy que possa encaminhar de maneira transparente o tráfego OCSP recebido ao agente de resposta OCSP da AWS .
O diagrama a seguir ilustra como esses elementos funcionam em conjunto.
![\[Topologia OCSP personalizada\]](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/images/ocsp.png)
Conforme mostrado no diagrama, o processo de validação personalizado do OCSP envolve as etapas a seguir:
1. O cliente consulta o DNS para o domínio de destino.
1. O cliente recebe o IP de destino.
1. O cliente abre uma conexão TCP com o destino.
1. O cliente recebe o certificado TLS de destino.
1. O cliente consulta o DNS para o domínio OCSP listado no certificado.
1. O cliente recebe o IP do proxy.
1. O cliente envia a consulta OCSP para o proxy.
1. O proxy encaminha a consulta ao agente de resposta OCSP.
1. O agente de resposta retorna o status do certificado para o proxy.
1. O proxy encaminha o status do certificado ao cliente.
1. Se o certificado for válido, o cliente iniciará o handshake de TLS.
**dica**
Esse exemplo pode ser implementado usando a [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/) [e o Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/) depois de configurar uma CA conforme descrito acima.
Em CloudFront, crie uma distribuição e configure-a da seguinte forma:
Crie um nome alternativo que corresponda ao CNAME personalizado.
Vincule o certificado a ele.
`ocsp.acm-pca..amazonaws.com`Definido como origem.
Para usar IPv6 conexões, use o endpoint dualstack `acm-pca-ocsp..api.aws`
Aplique a política `Managed-CachingDisabled`.
Defina **Política de protocolo do visualizador** para **HTTP e HTTPS**.
Defina **Métodos HTTP permitidos** como **GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE**.
No Route 53, crie um registro DNS que mapeie seu CNAME personalizado para a URL da CloudFront distribuição.
## Usando o OCSP sobre IPv6
O URL padrão do respondente CA privada da AWS OCSP é IPv4 -only. Para usar o OCSP over IPv6, configure um URL OCSP personalizado para sua CA. O URL pode ser:
+ O FQDN do respondente PCA OCSP de pilha dupla, que assume o formato `acm-pca-ocsp.region-name.api.aws`
+ Um registro CNAME que você configurou para apontar para o respondente OCSP de pilha dupla, conforme explicado acima.