As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configure uma CRL para CA Privada da AWS
<a name="crl-planning"></a>

Antes de configurar uma lista de revogação de certificados (CRL) como parte do [processo de criação da CA](create-CA.md), talvez seja necessária alguma configuração prévia. Esta seção explica os pré-requisitos e as opções que você deve entender antes de criar uma CA com uma CRL anexada. 

Para obter informações sobre como usar o Online Certificate Status Protocol (OCSP) como alternativa ou suplemento a uma CRL, consulte e [](create-CA.md#PcaCreateRevocation) e .[Personalize o URL OCSP para CA Privada da AWS](ocsp-customize.md)

**Topics**
+ [Tipos de CRL](#crl-type)
+ [Estrutura da CRL](#crl-structure)
+ [Políticas de acesso para CRLs o Amazon S3](#s3-policies)
+ [Habilite o S3 Block Public Access (BPA) com CloudFront](#s3-bpa)
+ [Determinando o URI do ponto de distribuição da CRL (CDP)](#crl-url)
+ [](#crl-ipv6)

## Tipos de CRL
<a name="crl-type"></a>
+  **Concluído** - A configuração padrão. CA privada da AWS mantém um único arquivo CRL não particionado para todos os certificados não expirados emitidos por uma CA que foram revogados. [Cada certificado CA privada da AWS emitido é vinculado a uma CRL específica por meio de sua extensão de ponto de distribuição de CRL (CDP), conforme definido na RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) Você pode ter até 1 milhão de certificados privados para cada CA com a CRL completa ativada. Para obter mais informações, consulte as [CA Privada da AWS cotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca). 
+  **Particionado** - Em comparação com o completo CRLs, o particionado aumenta CRLs drasticamente o número de certificados que sua CA privada pode emitir e evita que você alterne seus certificados com frequência. CAs 
**Importante**  
Ao usar particionado CRLs, você deve validar se o URI do ponto de distribuição emissor (IDP) associado à CRL corresponde ao URI do CDP do certificado para garantir que a CRL correta tenha sido obtida. CA privada da AWS marca a extensão do IDP como crítica, que seu cliente deve ser capaz de processar. 

## Estrutura da CRL
<a name="crl-structure"></a>

Cada CRL é um arquivo DER codificado. Para fazer download do arquivo e usar o [OpenSSL](https://www.openssl.org/) para visualizá-lo, use um comando como o seguinte:

```
openssl crl -inform DER -in {{path-to-crl-file}} -text -noout
```

CRLs têm o seguinte formato:

```
Certificate Revocation List (CRL):
		        Version 2 (0x1)
		    Signature Algorithm: sha256WithRSAEncryption
		        Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
		        Last Update: Feb 26 19:28:25 2018 GMT
		        Next Update: Feb 26 20:28:25 2019 GMT
		        CRL extensions:
		            X509v3 Authority Key Identifier:
		                keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
		
		            X509v3 CRL Number:
		                1519676905984
		Revoked Certificates:
		    Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
		        Revocation Date: Feb 26 20:00:36 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
		        Revocation Date: Jan 30 21:21:31 2018 GMT
		        CRL entry extensions:
		            X509v3 CRL Reason Code:
		                Key Compromise
		    Signature Algorithm: sha256WithRSAEncryption
		         82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
		         c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
		         9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
		         49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
		         c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
		         e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
		         62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
		         1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
		         2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
		         57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
		         53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
		         83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
		         97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
		         58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
		         5a:2c:88:85
```

**nota**  
A CRL só será depositada no Amazon S3 depois que um certificado que se refere a ela for emitido. Antes disso, só haverá um arquivo `acm-pca-permission-test-key` visível no bucket do Amazon S3.

## Políticas de acesso para CRLs o Amazon S3
<a name="s3-policies"></a>

Se você planeja criar uma CRL, precisa preparar um bucket do Amazon S3 para armazená-la. CA privada da AWS deposita automaticamente a CRL no bucket do Amazon S3 que você designar e a atualiza periodicamente. Para mais informações, consulte [ Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html). 

Seu bucket do S3 deve ser protegido por uma política de permissões do IAM anexada. Usuários autorizados e diretores de serviços precisam de `Put` permissão CA privada da AWS para colocar objetos no bucket e `Get` permissão para recuperá-los. 

**nota**  
A configuração da política do IAM depende dos Regiões da AWS envolvidos. Regiões se encaixam em duas categorias:  
**Regiões habilitadas por padrão — Regiões** que são *habilitadas* por padrão para todos. Contas da AWS
**Regiões desabilitadas por padrão**: regiões que estão *desabilitadas* por padrão, mas que podem ser manualmente habilitadas pelo cliente.
Para obter mais informações e uma lista das regiões desabilitadas por padrão, consulte [Gerenciar Regiões da AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html). Para uma discussão sobre entidades principais de serviço no contexto do IAM, consulte [Entidades principais os de serviços do AWS em regiões opcionais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions).  
Quando você configura CRLs como método de revogação de certificado, CA privada da AWS cria uma CRL e a publica em um bucket do S3. O bucket do S3 exige uma política do IAM que permita que o responsável pelo CA privada da AWS serviço grave no bucket. O nome da entidade principal de serviço varia de acordo com as regiões usadas, e não há suporte para todas as possibilidades.  


****  
[See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/privateca/latest/userguide/crl-planning.html)

A política padrão não aplica restrição de `SourceArn` à CA. Recomendamos que você aplique uma política menos permissiva, como a seguinte, que restringe o acesso a uma AWS conta específica e a uma CA privada específica. Como alternativa, você pode usar a chave de condição [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) para restringir o acesso a uma organização específica em AWS Organizations. Para obter mais informações sobre políticas de bucket, consulte [Políticas de bucket para o Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).

Se você optar por permitir a política padrão, sempre poderá [modificá-la](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) mais tarde.

## Habilite o S3 Block Public Access (BPA) com CloudFront
<a name="s3-bpa"></a>

Novos buckets do Amazon S3 são configurados por padrão com o recurso Bloqueio de acesso público (BPA) ativado. Incluído nas [práticas recomendadas de segurança](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) do Amazon S3, o BPA é um conjunto de controles de acesso que os clientes podem utilizar para ajustar o acesso aos objetos em seus buckets do S3 e aos buckets como um todo. Quando o BPA está ativo e configurado corretamente, somente AWS usuários autorizados e autenticados têm acesso a um bucket e seu conteúdo. 

AWS recomenda o uso de BPA em todos os buckets do S3 para evitar a exposição de informações confidenciais a possíveis adversários. No entanto, um planejamento adicional é necessário se seus clientes de PKI acessarem CRLs pela Internet pública (ou seja, sem estarem conectados a uma AWS conta). Esta seção descreve como configurar uma solução de PKI privada usando a Amazon CloudFront, uma rede de entrega de conteúdo (CDN), para servir CRLs sem exigir acesso autenticado do cliente a um bucket do S3.

**nota**  
O uso CloudFront incorre em custos adicionais em sua AWS conta. Para obter mais informações, consulte [Amazon CloudFront Pricing](https://aws.amazon.com/cloudfront/pricing/).  
Se você optar por armazenar sua CRL em um bucket do S3 com o BPA ativado e não usar CloudFront, deverá criar outra solução de CDN para garantir que seu cliente de PKI tenha acesso à sua CRL.

### Configurado CloudFront para BPA
<a name="set-up-cloudfront"></a>

Crie uma CloudFront distribuição que tenha acesso ao seu bucket S3 privado e possa servir CRLs para clientes não autenticados.

**Para configurar uma CloudFront distribuição para a CRL**

1. Crie uma nova CloudFront distribuição usando o procedimento em [Criar uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) no *Amazon CloudFront Developer Guide*.

   Ao concluir o procedimento, aplique as configurações a seguir:
   + Em **Nome de domínio de origem**, escolha o bucket do S3.
   + Escolha **Sim** para **Restringir acesso ao bucket**.
   + Escolha **Criar uma nova identidade** para **Identidade de acesso à origem**.
   + Escolha **Sim, atualizar política do bucket** em **Conceder permissões de leitura no bucket**.
**nota**  
Neste procedimento, CloudFront modifica sua política de bucket para permitir que ela acesse objetos de bucket. Considere [editar](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) essa política para permitir o acesso somente aos objetos na pasta `crl`. 

1. Depois que a distribuição for inicializada, localize seu nome de domínio no CloudFront console e salve-o para o próximo procedimento.
**nota**  
Se seu bucket do S3 foi criado recentemente em uma região diferente de us-east-1, você pode receber um erro de redirecionamento temporário de HTTP 307 ao acessar seu aplicativo publicado por meio de. CloudFront Pode demorar várias horas para que o endereço do bucket se propague.

### Configurar sua CA para o BPA
<a name="set-up-CA"></a>

Ao configurar sua nova CA, inclua o alias em sua CloudFront distribuição. 

**Para configurar sua CA com um CNAME para CloudFront**
+ Crie sua CA usando a [Crie uma CA privada em CA Privada da AWS](create-CA.md).

  Quando você executa o procedimento, o arquivo de revogação `revoke_config.txt` deve incluir as seguintes linhas para especificar um objeto CRL não público e fornecer uma URL para o endpoint de distribuição em: CloudFront

  ```
  "S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
  	"CustomCname":"{{abcdef012345.cloudfront.net}}"
  ```

  Mais tarde, quando você emitir certificados com essa CA, eles conterão um bloco como o seguinte:

  ```
  X509v3 CRL Distribution Points: 
  	Full Name:
  	URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
  ```

**nota**  
Se houver certificados mais antigos emitidos por essa CA, eles não conseguirão acessar a CRL.

## Determinando o URI do ponto de distribuição da CRL (CDP)
<a name="crl-url"></a>

Se precisar usar o URI do CRL Distribution Point (CDP) em seu fluxo de trabalho, você pode emitir um certificado usando o URI da CRL nesse certificado ou usar o método a seguir. Isso só funciona por completo CRLs. Particionados CRLs têm um GUID aleatório anexado a eles. 

Se você usar o bucket do S3 como o ponto de distribuição de CRL (CDP) para sua CA, o URI do CDP pode estar em um dos formatos a seguir.
+ `http://{{amzn-s3-demo-bucket}}.s3.{{region-code}}.amazonaws.com/crl/{{CA-ID}}.crl`
+ `http://s3.{{region-code}}.amazonaws.com/{{amzn-s3-demo-bucket}}/crl/{{CA-ID}}.crl`

Se você configurou sua CA com um CNAME personalizado, o URI do CDP incluirá o CNAME, por exemplo, `http://{{alternative.example.com}}/crl/{{CA-ID}}.crl`

## 
<a name="crl-ipv6"></a>

 Por padrão, CA privada da AWS grava extensões de CDP usando endpoints regionais IPv4 somente`amazonaws.com`. Para usar o CRLs over IPv6, execute uma das etapas a seguir para que CDPs sejam gravadas com URLs esse ponto nos endpoints de pilha [dupla do S3](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html): 
+ Defina seu [nome personalizado de CRL](create-CA.md#PcaCreateRevocation) para o domínio de endpoint dualstack do S3. Por exemplo, `{{bucketname}}.s3.dualstack.{{region-code}}.amazonaws.com`.
+ Configure seu próprio registro DNS CNAME apontando para o endpoint de pilha dupla relevante do S3 e use-o como seu nome personalizado de CRL