- Seguridad, identidad y conformidad›
- AWS Certificate Manager›
- Preguntas frecuentes
Preguntas frecuentes sobre AWS Certificate Manager
Temas de la página
Aspectos generalesAspectos generales
¿Qué es AWS Certificate Manager?
AWS Certificate Manager (ACM) es un servicio que le permite aprovisionar, administrar e implementar fácilmente certificados públicos y privados de seguridad de la capa de sockets y de la capa de transporte (SSL/TLS) para usarlos con los servicios de AWS y sus recursos internos conectados. Los certificados SSL/TLS se usan para proteger las comunicaciones de red y establecer la identidad de los sitios web en Internet, así como los recursos en las redes privadas. ACM elimina el arduo proceso manual de compra, carga y renovación de los certificados SSL/TLS. Con AWS Certificate Manager puede solicitar rápidamente un certificado, implementarlo en los recursos de AWS como equilibradores de carga elásticos, distribuciones de Amazon CloudFront, o bien en alguna API en API Gateway, y dejar que ACM se ocupe de renovar los certificados. También le permite crear certificados privados para sus recursos internos y administrar el ciclo de vida de los certificados de manera centralizada. Los certificados de SSL/TLS públicos y privados aprovisionados a través de ACM y usados exclusivamente con los servicios integrados con ACM, como Elastic Load Balancing, Amazon CloudFront y Amazon API Gateway, son gratuitos. Solo paga por los recursos de AWS que cree para ejecutar su aplicación. Usted paga una cuota mensual por el funcionamiento de cada CA privada hasta que la elimine y por los certificados privados que emita y que no se utilicen exclusivamente con servicios integrados con ACM.
¿Qué es un certificado SSL/TLS?
Los certificados de SSL/TLS permiten a los navegadores web identificar y establecer conexiones de red cifradas con sitios web mediante el protocolo de capa de conexión segura/seguridad de la capa de transporte (SSL/TLS). Los certificados se emiten con un sistema criptográfico conocido como infraestructura de claves públicas (PKI). PKI permite que una parte establezca la identidad de otra parte mediante el uso de certificados si ambos confían en un tercero, conocido como autoridad de certificación. Puede consultar el tema Conceptos de la Guía del usuario de ACM para conocer más definiciones y obtener más información.
¿Qué son los certificados privados?
Los certificados privados identifican recursos dentro de una organización, como aplicaciones, servicios, dispositivos y usuarios. Al definir un canal de comunicación cifrado seguro, cada punto de enlace utiliza un certificado y técnicas criptográficas para demostrar su identidad a otro punto de enlace. Los puntos de enlace de API internos, los servidores web, los usuarios de VPN, los dispositivos con IoT y muchas otras aplicaciones usan los certificados privados para definir canales de comunicación cifrados que son necesarios para un funcionamiento seguro.
¿Cuál es la diferencia entre los certificados públicos y privados?
Tanto los certificados públicos como los privados ayudan a los clientes a identificar recursos en redes y a proteger la comunicación entre estos recursos. Los certificados públicos identifican recursos en el Internet público, mientras que los certificados privados hacen lo mismo en las redes privadas. Una diferencia clave es que las aplicaciones y los navegadores confían automáticamente en los certificados públicos de manera predeterminada, mientras que un administrador debe configurar explícitamente las aplicaciones para que confíen en los certificados privados. Las CA públicas, las entidades que emiten los certificados públicos, deben respetar normas estrictas, proporcionar visibilidad operativa y cumplir estándares de seguridad impuestos por los proveedores de sistemas operativos y navegadores, quienes deciden en qué CA confiarán automáticamente sus navegadores y sistemas operativos. La administración de las CA privadas está a cargo de organizaciones privadas y los administradores de CA privadas pueden crear sus propias normas para la emisión de certificados privados, incluidas prácticas para la emisión de certificados y qué información deben incluir estos.
¿Cuáles son las ventajas de utilizar AWS Certificate Manager (ACM)?
ACM facilita la habilitación de SSL/TLS en un sitio web o aplicación en la plataforma de AWS. ACM elimina muchos de los procesos manuales asociados anteriormente con el uso y la administración de certificados de SSL/TLS. Al administrar las renovaciones, ACM también lo ayuda a evitar el tiempo de inactividad debido a certificados configurados erróneamente, revocados o caducados. Se beneficia de la protección de SSL/TLS y de la sencillez en la administración de certificados. Activar SSL/TLS en sitios conectados a Internet puede ayudar a mejorar las clasificaciones de búsqueda de su sitio web y ayudarlo a cumplir los requisitos de conformidad normativa para el cifrado de datos en tránsito.
Cuando usa ACM para administrar certificados, las claves privadas de los certificados se protegen y almacenan de forma segura mediante prácticas recomendadas de cifrado complejo y administración de claves. ACM le permite usar la consola de administración de AWS, la AWS CLI y las API de ACM para administrar de manera centralizada todos los certificados de ACM para SSL/TLS en una región de AWS. ACM se integra con otros servicios de AWS para que pueda solicitar un certificado SSL/TLS y aprovisionarlo en su balanceador de carga de Elastic Load Balancing o distribución de Amazon CloudFront a través de la consola de administración de AWS, los comandos de la CLI de AWS o llamadas a las API.
¿Qué tipos de certificados puedo administrar con ACM?
ACM le permite administrar el ciclo de vida de sus certificados públicos y privados. Las capacidades de ACM dependen de si el certificado es público o privado, la forma en que lo obtiene y dónde lo implementa.
Certificados públicos: puede solicitar certificados públicos emitidos por Amazon en ACM. ACM administra la renovación e implementación de certificados públicos que se usan con servicios integrados con ACM, incluidos Amazon CloudFront, Elastic Load Balancing y Amazon API Gateway.
Certificados privados: puede optar por delegar la administracoón de certificados privados a ACM. Cuando se usa este método, ACM puede renovar e implementar automáticamente certificados privados que se usen con servicios integrados con ACM, incluidos Amazon CloudFront, Elastic Load Balancing y Amazon API Gateway. Puede implementar fácilmente estos certificados con la consola de administración, las API y la interfaz de línea de comandos (CLI) de AWS. Puede exportar certificados privados desde ACM y usarlos con instancias EC2, contenedores, servidores que se encuentren en las instalaciones y dispositivos con IoT. AWS Private CA renueva automáticamente estos certificados y envía una notificación de Amazon CloudWatch una vez finalizada la renovación. Puede escribir código del lado del cliente para descargar las claves privadas y los certificados renovados e implementarlos en su aplicación.
Certificados importados: si desea usar un certificado de terceros con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, debe importarlo en ACM con la consola de administración de AWS, la AWS CLI o las API de ACM. ACM no puede renovar certificados importados, pero puede ayudarlo a administrar el proceso de renovación. Es responsable de monitorear la fecha de vencimiento de los certificados importados y de su renovación oportuna. Puede usar las métricas de ACM CloudWatch para monitorear las fechas de vencimiento de los certificados importados e importar un certificado de terceros nuevo para reemplazar a uno que está a punto de vencerse.
¿Cómo puedo empezar a usar ACM?
Para empezar a usar ACM, vaya a Certificate Manager en la consola de administración de AWS y use el asistente para solicitar un certificado de SSL/TLS. Si ya creó una CA privada, puede elegir un certificado público o privado, y luego ingresar el nombre de su sitio. También puede solicitar un certificado mediante la CLI o las API de AWS. Una vez emitido el certificado, puede usarlo con otros servicios de AWS que estén integrados en ACM. Para cada servicio integrado, basta con seleccionar el certificado de SSL/TLS que desee del menú desplegable en la consola de administración de AWS. Si lo prefiere, puede ejecutar un comando de la interfaz de línea de comandos (CLI) de AWS o llamar a una API de AWS para asociar el certificado con su recurso. A continuación, el servicio integrado implementará el certificado en el recurso que haya seleccionado. Para obtener más información sobre cómo solicitar y usar certificados que proporciona ACM, consulte la Guía del usuario de ACM. Además de usar los certificados privados con los servicios integrados con ACM, también puede usarlos en instancias de EC2, contenedores de ECS o en cualquier otro recurso.
¿Con qué servicios de AWS puedo usar certificados de ACM?
• Elastic Load Balancing: consulte la documentación de Elastic Load Balancing
• Amazon CloudFront: consulte la documentación de CloudFront
• Amazon API Gateway: consulte la documentación de API Gateway
• AWS CloudFormation: la compatibilidad actual se limita a certificados públicos y privados emitidos por ACM. Consulte la documentación de AWS CloudFormation
• AWS Elastic Beanstalk: consulte la documentación de AWS Elastic Beanstalk
• AWS Nitro Enclaves: consulte la documentación de AWS Nitro Enclaves
¿En qué regiones está disponible ACM?
Visite las páginas sobre la infraestructura global de AWS para consultar la disponibilidad actual por regiones de los servicios de AWS. Para utilizar un certificado de ACM con Amazon CloudFront, debe solicitar o importar el certificado en la región EE.UU. Este (Norte de Virginia). Los certificados ACM de esta región asociados con una distribución de CloudFront se distribuyen en todas las ubicaciones geográficas configuradas para dicha distribución.
Certificados de ACM
¿Qué tipos de certificados administra ACM?
ACM administra certificados públicos, privados e importados. Obtenga más información sobre las capacidades de ACM en la documentación Emisión y administración de certificados.
¿Puede ACM proporcionar certificados con varios nombres de dominio?
Sí. Cada certificado debe incluir al menos un nombre de dominio. Si lo desea, puede añadir nombres adicionales al certificado. Por ejemplo, puede añadir el nombre “www.ejemplo.net” a un certificado de “www.example.com” si los usuarios pueden acceder a su sitio con ambos nombres. Debe poseer o controlar todos los nombres incluidos en la solicitud de certificado.
¿Qué es un nombre de dominio comodín?
Un nombre de dominio comodín coincide con cualquier nombre de host o subdominio de primer nivel en un dominio. Un subdominio de primer nivel es una única etiqueta de nombre de dominio que no contiene un punto. Por ejemplo, puede usar el nombre *.example.com para proteger www.example.com, images.example.com, así como cualquier otro subdominio o nombre de host de primer nivel que termine con .example.com. Obtenga más información en la Guía del usuario de ACM.
¿Puede ACM proporcionar certificados con nombres de dominio comodín?
Sí.
¿ACM proporciona certificados que no sean SSL/TLS?
No.
¿Puedo usar los certificados de ACM para la firma de código o el cifrado de correos electrónicos?
No.
¿ACM proporciona certificados para firmar y cifrar correos electrónicos (certificados S/MIME)?
No.
¿Cuál es el periodo de validez de los certificados de ACM?
La validez de los certificados emitidos a través de ACM es de 13 meses (395 días). Si emite certificados privados directamente desde una CA privada y administra las claves y certificados sin usar ACM para esto, puede elegir cualquier período de validez, incluida una fecha de finalización absoluta o un tiempo relativo que sea de días, meses o años a partir del momento actual.
¿Qué algoritmos usan los certificados emitidos por ACM?
De forma predeterminada, los certificados emitidos en ACM usan claves RSA con un módulo de 2048 bits y SHA-256. Además, puede solicitar certificados con algoritmos de firma digital de curva elíptica (ECDSA) con P-256 o P-384. Obtenga más información sobre algoritmos en la Guía del usuario de ACM.
¿Cómo puedo revocar un certificado?
Para solicitar que ACM revoque un certificado público, visite el centro de AWS Support y abra un caso. Para revocar un certificado privado emitido por AWS Private CA, consulte la Guía del usuario de AWS Private CA.
¿Puedo usar el mismo certificado de ACM en más de una región de AWS?
No. Los certificados de ACM deben usarse dentro de la misma región donde se encuentra el recurso en el que se usan. La única excepción es Amazon CloudFront, un servicio global que requiere certificados en la región Este de EE. UU. (Norte de Virginia). Los certificados ACM de esta región asociados con una distribución de CloudFront se distribuyen en todas las ubicaciones geográficas configuradas para dicha distribución.
¿Puedo aprovisionar un certificado con ACM si ya tengo un certificado de otro proveedor para el mismo nombre de dominio?
Sí.
¿Puedo utilizar certificados en las instancias de Amazon EC2 o en mis propios servidores?
Puede utilizar certificados privados emitidos con Private CA con instancias EC2, contenedores y en sus propios servidores. En este momento, los certificados públicos de ACM solo se pueden emplear con servicios de AWS específicos, incluido AWS Nitro Enclaves. Consulte Integraciones de servicios de ACM
¿ACM admite los caracteres de idiomas locales en los nombres de dominio, también conocidos como nombres de dominio internacionalizados (IDN)?
ACM no permite el uso de caracteres Unicode de los idiomas locales. En su lugar, admite caracteres ASCII de los idiomas locales en los nombres de dominio.
¿Qué formatos de etiquetas de nombres de dominio admite ACM?
ACM solo admite ASCII con codificación UTF-8 en los nombres de dominio, incluidas etiquetas que contienen “xn–”, conocidas comúnmente como Punycode. ACM no acepta Unicode (etiquetas u) en los nombres de dominio.
¿Puedo importar un certificado de terceros y usarlo con los servicios de AWS?
Sí. Si desea utilizar un certificado de terceros con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, debe importarlo en ACM con la consola de administración de AWS, la interfaz de línea de comandos (CLI) de AWS o las API de ACM. ACM no administra el proceso de renovación de certificados importados. Puede utilizar la consola de administración de AWS para monitorear las fechas de vencimiento de los certificados importados e importar un certificado de un tercero que reemplace a uno que está a punto de caducar.
Certificados públicos de ACM
¿Qué son los certificados públicos?
Tanto los certificados públicos como los privados ayudan a los clientes a identificar recursos en redes y a proteger la comunicación entre estos recursos. Los certificados públicos identifican recursos en Internet.
¿Qué tipo de certificados públicos proporciona ACM?
ACM proporciona certificados públicos de dominio validado (DV) para su uso con sitios web y aplicaciones al final de la conexión SSL/TLS. Para obtener más información sobre los certificados de ACM, consulte Certificate Characteristics (Características de los certificados).
¿Los navegadores, sistemas operativos y dispositivos móviles confían en los certificados públicos de ACM?
La mayoría de los navegadores, sistemas operativos y dispositivos móviles modernos confía en los certificados públicos de ACM. Los certificados proporcionados por ACM son compatibles con el 99% de los navegadores y sistemas operativos, incluidos Windows XP SP3 y Java 6 y versiones posteriores.
¿De qué manera puedo comprobar que mi navegador confía en los certificados públicos de ACM?
Los navegadores que confían en certificados de ACM muestran el ícono de un candado y no emiten avisos de certificado cuando se conectan a sitios que utilizan certificados de ACM a través de SSL/TLS, por ejemplo, mediante el uso de HTTPS.
La autoridad de certificados (certificate authority, CA) de Amazon es la encargada de verificar los certificados de ACM públicos. Cualquier navegador, aplicación o sistema operativo que incluya la autorización Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority: G2 confía en los certificados de ACM. Para obtener más información sobre las CA raíz, visite el repositorio de Amazon Trust Services.
¿ACM proporciona certificados públicos de validación organizativa (Organizational Validation, OV) o validación extendida (Extended Validation, EV)?
No.
¿Dónde describe Amazon sus políticas y prácticas de emisión de certificados públicos?
Se detallan en los documentos Amazon Trust Services Certificate Policies y Amazon Trust Services Certification Practices Statement. Consulte el repositorio de Amazon Trust Services para consultar las versiones más recientes.
¿El certificado de www.example.com sirve para example.com?
Si desea hacer referencia a su sitio con ambos nombres de dominio (www.example.com y example.com), debe solicitar un certificado que incluya los dos nombres.
¿Cómo puede ACM ayudar a mi organización a cumplir con los requisitos de conformidad?
El uso de ACM lo ayuda a cumplir con los requisitos reglamentarios, al facilitar la protección de las conexiones, requisito común de numerosos programas de conformidad, como PCI, FedRAMP e HIPAA. Para obtener información específica sobre conformidad, consulte http://aws.amazon.com/compliance.
¿ACM tiene un acuerdo de nivel de servicio (SLA)?
No, ACM no tiene un SLA.
¿ACM proporciona un sello de sitio seguro o un logotipo de confianza que pueda mostrar en mi sitio web?
No. Si desea utilizar un sello de sitio, puede obtenerlo a través de un distribuidor tercerizado. Le aconsejamos que elija un distribuidor que evalúe y garantice la seguridad de su sitio, de sus prácticas empresariales, o de ambos.
¿Amazon permite utilizar sus marcas comerciales o logotipo como insignia de certificado, sello de sitio o logotipo de confianza?
No. Los sellos e insignias de este tipo podrían copiarse en sitios que no utilicen el servicio ACM y usarse de forma indebida para generar confianza con falsos pretextos. Con el fin de proteger a nuestros clientes y la reputación de Amazon, no permitimos dicho uso de nuestro logotipo.
Provisión de certificados públicos
¿Cómo puedo aprovisionar un certificado público de ACM?
Puede utilizar la consola de administración de AWS, la interfaz de línea de comandos (CLI) de AWS o las API o SDK de ACM. Si desea utilizar la consola de administración de AWS, diríjase a Certificate Manager (Administrador de certificados), elija Request a certificate (Solicitar un certificado), seleccione Request a public certificate (Solicitar un certificado público), escriba el nombre de dominio de su sitio y siga las instrucciones en pantalla para completar la solicitud. Puede añadir nombres de dominio adicionales a su solicitud si los usuarios pueden acceder a su sitio utilizando otros nombres. Para poder emitir un certificado, ACM valida que usted posee o controla los nombres de dominio de su solicitud de certificado. Puede elegir entre la validación de DNS o por correo electrónico al solicitar un certificado. Con la validación de DNS, usted escribe un registro en la configuración pública de DNS de su dominio para establecer que posee o controla el dominio. Desde la primera vez que utilice la validación de DNS para establecer el control de su dominio, puede obtener más certificados y hacer que ACM renueve certificados existentes del dominio, siempre que el registro siga en vigor y el certificado, en uso. No hace falta que vuelva a validar el control del dominio. Si elige la validación por correo electrónico en lugar de la de DNS, se envían correos electrónicos al propietario del dominio solicitando aprobación para emitir el certificado. Tras validar que posee o controla cada nombre de dominio de su solicitud, se emite el certificado, que está listo para aprovisionarse con otros servicios de AWS, como Elastic Load Balancing o Amazon CloudFront. Consulte la documentación de ACM para obtener más información.
¿Por qué ACM valida la propiedad del dominio en los certificados públicos?
Los certificados se usan para establecer la identidad del sitio y proteger las conexiones entre los navegadores y las aplicaciones y su sitio. Para emitir un certificado de confianza pública, Amazon debe validar que el solicitante del certificado tenga el control del nombre de dominio de la solicitud de certificado.
¿Cómo valida ACM la propiedad del dominio antes de emitir el certificado público de un dominio?
Antes de emitir un certificado, ACM valida que posee o controla los nombres de dominio de su solicitud de certificado. Puede elegir entre la validación de DNS o por correo electrónico al solicitar un certificado. Con la validación de DNS, puede validar la propiedad del dominio añadiendo un registro CNAME en su configuración de DNS. Consulte la validación de DNS para obtener más información. Si no tiene la capacidad de escribir registros en la configuración pública de DNS de su dominio, puede emplear la validación por correo electrónico en lugar de la de DNS. Con la validación por correo electrónico, ACM envía correos electrónicos al propietario del dominio registrado; y el propietario o un representante autorizado pueden aprobar la emisión de los nombres de dominio de la solicitud de certificado. Consulte la validación por correo electrónico para obtener más información.
¿Qué método de validación debería usar para mi certificado público: DNS o correo electrónico?
Le aconsejamos que utilice la validación de DNS si tiene la capacidad de cambiar la configuración de DNS de su dominio. Los clientes que no puedan recibir correos electrónicos de validación de ACM y aquellos que utilicen un registrador de dominios que no publique información de contacto electrónico del propietario del dominio en WHOIS deben emplear la validación de DNS. Si no puede modificar la configuración de DNS, deberá emplear la validación por correo electrónico.
¿Puedo convertir un certificado público existente de una validación por correo electrónico en una validación de DNS?
No, pero puede solicitar un certificado nuevo y gratuito desde ACM y elegir la validación de DNS para el nuevo.
¿Cuánto tarda la emisión de un certificado público?
El plazo para emitir un certificado tras validar todos los nombres de dominio de la solicitud de certificado puede ser de varias horas o más.
¿Qué sucede cuando solicito un certificado público?
ACM intenta validar la propiedad o el control de cada nombre de dominio de la solicitud de certificado mediante el método de validación que eligiera (DNS o correo electrónico) al realizar la solicitud. El estado de la solicitud de certificado es Validación pendiente mientras ACM intenta validar que posee o controla el dominio. Consulte las siguientes secciones sobre validación de DNS y validación por correo electrónico para obtener más información sobre el proceso de validación. Tras validar todos los nombres de dominio de la solicitud de certificado, el plazo para emitir certificados puede ser de varias horas o más. Cuando se emite el certificado, el estado de la solicitud de certificado cambia a Issued (Emitido), y puede comenzar a utilizarlo con otros servicios de AWS que estén integrados con ACM.
¿Comprueba ACM los registros de la Autorización de la autoridad de certificación (CAA) en el sistema de nombres de dominio (DNS) antes de emitir certificados públicos?
Sí. Los registros de la Autorización de la autoridad de certificación (CAA) en el sistema de nombres de dominio (DNS) permiten a los propietarios de dominios especificar las entidades de certificación que están autorizadas a emitir los certificados de sus dominios. Cuando se solicita un certificado ACM, AWS Certificate Manager busca un registro de la CAA en la configuración de la zona DNS correspondiente al dominio. Si no existe ningún registro de la CAA, Amazon puede emitir el certificado del dominio. La mayoría de los clientes están dentro de esta categoría.
Si la configuración de DNS contiene un registro de la CAA, en ese registro debe especificarse uno de los nombres de entidad de certificación siguientes para que Amazon pueda emitir el certificado del dominio: amazon.com, amazontrust.com, awstrust.com o amazonaws.com. Consulte Configuración de un registro de CAA o Solución de problemas con la autorización de la entidad de certificación (CAA) en la guía del usuario de AWS Certificate Manager para obtener más información.
¿Admite ACM otros métodos para validar un dominio?
Por ahora no.
Validación de DNS
¿Qué es la validación de DNS?
Con la validación de DNS, puede validar su propiedad de un dominio añadiendo un registro CNAME a su configuración de DNS. La validación de DNS le facilita la tarea de establecer que posee un dominio al solicitar certificados públicos de SSL/TLS desde ACM.
¿Qué beneficios reporta la validación de DNS?
La validación de DNS le facilita la tarea de validar que posee o controla un dominio para poder obtener un certificado de SSL/TLS. Con la validación de DNS, basta con escribir un registro CNAME en la configuración de DNS para establecer el control de su nombre de dominio. Para simplificar el proceso de validación de DNS, la consola de administración de ACM puede configurar sus registros DNS si usted los administra con Amazon Route 53. De este modo, resulta más fácil establecer el control de su nombre de dominio con tan solo unos clics. Una vez configurado el registro CNAME, ACM renueva de forma automática los certificados que estén en uso (asociados con otros recursos de AWS), siempre que el registro DNS de validación siga en vigor. Las renovaciones son completamente automáticas y sin contacto.
¿Quién debe utilizar la validación de DNS?
Todo aquel que solicite un certificado mediante ACM y tenga la capacidad de cambiar la configuración de DNS del dominio que soliciten debe plantearse el uso de la validación de DNS.
¿Admite ACM todavía la validación por correo electrónico?
Sí. ACM sigue admitiendo la validación por correo electrónico para los clientes que no puedan cambiar la configuración de DNS.
¿Qué registros tengo que añadir a la configuración de DNS para validar un dominio?
Debe añadir un registro CNAME en el dominio que desee validar. Por ejemplo, para validar el nombre www.example.com, debe agregar un registro CNAME a la zona de example.com. El registro que agregue debe contener un token único que ACM genera al azar específicamente para su dominio y su cuenta de AWS. Puede obtener las dos partes del registro CNAME (nombre y etiqueta) desde ACM. Para obtener más instrucciones, consulte la guía del usuario de ACM.
¿Cómo puedo añadir o modificar registros DNS en mi dominio?
Para obtener más información sobre cómo añadir o modificar registros DNS, consulte a su proveedor de DNS. La documentación de DNS de Amazon Route 53 ofrece más información para los clientes que utilizan DNS de Amazon Route 53.
¿Puede ACM simplificar la validación de DNS a los clientes de DNS de Amazon Route 53?
Sí. Para los clientes que utilicen DNS de Amazon Route 53 para administrar registros DNS, la consola de ACM puede agregar registros a su configuración de DNS cuando solicite un certificado. La zona hospedada en el DNS de Route 53 de su dominio debe configurarse en la misma cuenta de AWS que aquella desde la que realiza la solicitud, y necesita los permisos suficientes para realizar cambios en la configuración de Amazon Route 53. Para obtener más instrucciones, consulte la guía del usuario de ACM.
¿La validación de DNS me obliga a utilizar un proveedor de DNS específico?
No. Puede utilizar la validación de DNS con cualquier proveedor de DNS, siempre que este le permita añadir un registro CNAME a la configuración de DNS.
¿Cuántos registros DNS necesito si quiero obtener más de un certificado para el mismo dominio?
Solo uno. Puede obtener varios certificados para el mismo nombre de dominio de la misma cuenta de AWS con un registro CNAME. Por ejemplo, si realiza dos solicitudes de certificado desde la misma cuenta de AWS del mismo nombre de dominio, tan solo necesita un registro CNAME de DNS.
¿Puedo validar varios nombres de dominio con el mismo registro CNAME?
No. Cada nombre de dominio debe tener un registro CNAME único.
¿Puedo validar un nombre de dominio comodín con la validación de DNS?
Sí.
¿Cómo crea ACM registros CNAME?
Los registros CNAME de DNS tienen dos componentes: un nombre y una etiqueta. El componente de nombre de un CNAME generado por ACM se crea a partir de un guion bajo (_) seguido de un token, que es una cadena única vinculada a su cuenta de AWS y su nombre de dominio. ACM antepone el guion bajo y el token a su nombre de dominio para crear el componente de nombre. ACM crea la etiqueta a partir de un guion bajo antepuesto a otro token que también está vinculado a su cuenta de AWS y su nombre de dominio. ACM antepone el guion bajo y el token a un nombre de dominio DNS que AWS utiliza para realizar validaciones: acm-validations.aws. Estos ejemplos muestran el formato de CNAME de www.example.com, subdomain.example.com y *.example.com.
_TOKEN1.www.example.com CNAME _TOKEN2.acm-validations.aws
_TOKEN3.subdominio.example.com CNAME _TOKEN4.acm-validations.aws
_TOKEN5.example.com CNAME _TOKEN6.acm-validations.aws
Tenga en cuenta que ACM elimina la etiqueta comodín (*) al generar registros CNAME de nombres comodín. En consecuencia, el registro CNAME generado por ACM para un nombre comodín (como *.example.com) es el mismo registro proporcionado para el nombre de dominio sin la etiqueta comodín (example.com).
¿Puedo validar todos los subdominios de un dominio con un solo registro CNAME?
No. Todos los nombres de dominio, incluidos nombres de host y de subdominios, deben validarse por separado; cada uno con registro CNAME único.
¿Por qué ACM utiliza registros CNAME en la validación de DNS en lugar de registros TXT?
Con un registro CNAME, ACM puede renovar certificados mientras exista el registro CNAME. El registro CNAME dirige a un registro TXT de un dominio de AWS (acm-validations.aws) que ACM puede actualizar si hace falta para validar o volver a validar un nombre de dominio, sin que tenga que hacer nada.
¿La validación de DNS funciona en todas las regiones de AWS?
Sí. Puede crear un registro CNAME de DNS y utilizarlo para obtener certificados en la misma cuenta de AWS en cualquier región de AWS donde ACM esté disponible. Configure el registro CNAME una vez y podrá obtener certificados emitidos y renovados desde ACM para ese nombre sin tener que crear otro registro.
¿Puedo elegir métodos de validación distintos en el mismo certificado?
No. Cada certificado solo puede tener un método de validación.
¿Cómo puedo renovar un certificado validado con la validación de DNS?
ACM renueva de forma automática los certificados que estén en uso (asociados con otros recursos de AWS), siempre que el registro DNS de validación siga en vigor.
¿Puedo revocar el permiso para emitir certificados para mi dominio?
Sí. Basta con quitar el registro CNAME. ACM no volverá a emitir ni renovar certificados para su dominio con la validación de DNS cuando haya quitado el registro CNAME y el cambio se distribuya a través de DNS. El tiempo de propagación para quitar el registro depende del proveedor de DNS.
¿Qué ocurre si quito el registro CNAME?
ACM no puede emitir ni renovar certificados para su dominio con la validación de DNS si quita el registro CNAME.
Validación por correo electrónico
¿Qué es la validación por correo electrónico?
Con la validación por correo electrónico, se envía un correo electrónico solicitando aprobación al propietario del dominio registrado por cada nombre de dominio de la solicitud de certificado. El propietario del dominio o su representante autorizado (aprobador) puede aprobar la solicitud de certificado siguiendo las instrucciones del correo electrónico. Las instrucciones indican al aprobador que se dirija al sitio web de aprobación haciendo clic en el vínculo del correo electrónico, o pegando dicho vínculo en el navegador web. El aprobador confirma la información asociada con la solicitud de certificado, como el nombre de dominio, ID del certificado (ARN) e ID de la cuenta de AWS que ha iniciado la solicitud, y la aprueba si la información es correcta.
Cuando solicite un certificado y elija la validación por correo electrónico, ¿a qué direcciones de correo electrónico se envía la solicitud de aprobación del certificado?
Cuando solicita un certificado con la validación por correo electrónico, se utiliza una búsqueda WHOIS de cada nombre de dominio incluido en la solicitud de certificado para recuperar la información de contacto del dominio. Se envía un correo electrónico al registrador del dominio, al contacto administrativo y al contacto técnico mencionados en el dominio. También se envía un correo electrónico a cinco direcciones especiales, que se forman poniendo delante del dominio que solicita lo siguiente: admin@, administrator@, hostmaster@, webmaster@ y postmaster@. Por ejemplo, si solicita un certificado para server.example.com, se envía un correo electrónico al registrador del dominio, al contacto técnico y al contacto administrativo a través de la información de contacto proporcionada por la búsqueda WHOIS del dominio example.com, así como a [email protected], [email protected], [email protected], [email protected] y [email protected].
Las cinco direcciones de correo electrónico especiales se crean de forma distinta, dependiendo de si se trata de nombres de dominio que empiezan por "www" o nombres comodín que empiezan por (*). ACM elimina "www" o el asterisco y se envía el correo electrónico a la dirección administrativa, compuesta de admin@, administrator@, hostmaster@, postmaster@ y webmaster@, y la parte restante del nombre de dominio. Por ejemplo, si solicita un certificado para www.example.com, se envía el correo electrónico a los contactos WHOIS, tal y como se ha descrito anteriormente, y a [email protected] en lugar de a [email protected]. Las otras cuatro direcciones de correo electrónico especiales se crean de forma similar.
Una vez solicitado un certificado, puede visualizar la lista de direcciones de correo electrónico a las que se ha enviado un correo por cada dominio a través de la consola de ACM, la CLI de AWS o las API.
¿Puedo configurar las direcciones de correo electrónico a las que se envía la solicitud de aprobación del certificado?
No, pero puede configurar el nombre de dominio base al que desea que se envíe el correo electrónico de validación. El nombre de dominio base debe ser un superdominio del nombre de dominio de la solicitud de certificado. Por ejemplo, si desea solicitar un certificado para servidor.dominio.example.com, pero quiere que el correo electrónico de aprobación se dirija a [email protected], puede hacerlo usando la interfaz de línea de comandos (CLI) de AWS o las API. Consulte la referencia sobre la interfaz de línea de comandos (CLI) de ACM y la referencia sobre las API de ACM para obtener más información.
¿Puedo utilizar dominios que tengan información de contacto de proxy (como Privacy Guard o WhoisGuard)?
Sí. Sin embargo, el envío del correo electrónico podría retrasarse por motivo del proxy. El correo electrónico enviado a través de un proxy podría terminar en la carpeta de spam. Consulte en la guía del usuario de ACM sugerencias de resolución de problemas.
¿Puede ACM validar mi identidad utilizando el contacto técnico de mi cuenta de AWS?
Los procedimientos y las políticas de validación de la identidad del propietario del dominio son muy estrictos y los determina el CA/Browser Forum, que establece los estándares de política para las autoridades de certificados de confianza pública. Para obtener más información, consulte el documento Amazon Trust Services Certification Practices Statement más reciente en el repositorio de Amazon Trust Services.
¿Qué debería hacer si no recibo el correo electrónico de aprobación?
Consulte en la guía del usuario de ACM sugerencias de resolución de problemas.
Protección de claves privadas
¿Cómo se administran las claves privadas de los certificados proporcionados por ACM?
Se crea un par de claves para cada certificado que proporciona ACM. ACM se diseñó para proteger y administrar las claves privadas que se usan con los certificados SSL/TLS. Se utilizan las prácticas recomendadas de cifrado complejo y administración de claves para proteger y almacenar las claves privadas.
¿Copia ACM certificados de una región a otra de AWS?
No. La clave privada de cada certificado de ACM se almacena en la región en la que se ha solicitado el certificado. Por ejemplo, si obtiene un certificado nuevo en la región EE.UU. Este (Norte de Virginia), ACM almacena la clave privada en la región del Norte de Virginia. Los certificados de ACM solo se copian de una región a otra si el certificado está asociado con una distribución de CloudFront. En ese caso, CloudFront distribuye el certificado de ACM a las ubicaciones geográficas configuradas en su distribución.
Renovación e implementación administradas
¿Qué son la renovación e implementación administradas de ACM?
La renovación e implementación administradas de ACM administran el proceso de renovación de los certificados de ACM SSL/TLS y su implementación una vez renovados.
¿Qué beneficios reporta utilizar la renovación e implementación administradas de ACM?
ACM puede administrar la renovación e implementación de certificados de SSL/TLS. ACM hace de la configuración y el mantenimiento de SSL/TLS para un servicio o aplicación web seguros un sistema más eficaz que los procesos manuales, susceptibles a errores. La renovación e implementación administradas pueden ayudarle a evitar los tiempos de inactividad derivados de certificados caducados. ACM funciona como un servicio que se integra con otros servicios de AWS. Eso significa que puede administrar e implementar certificados a nivel central en la plataforma de AWS mediante consola de administración de AWS, la CLI de AWS o las API. Con Private CA, puede crear certificados privados y exportarlos. ACM renueva los certificados exportados, lo que permite que su código de automatización del lado del cliente los descargue e implemente.
¿Qué certificados de ACM se pueden renovar e implementar automáticamente?
Certificados públicos
ACM puede renovar e implementar certificados de ACM públicos sin ninguna validación adicional del propietario del dominio. Si un certificado no se puede renovar sin validación adicional, ACM administrará el proceso de renovación validando la propiedad del dominio o control por cada nombre de dominio del certificado. Una vez validado cada nombre de dominio del certificado, ACM renueva el certificado y lo implementa automáticamente en sus recursos de AWS. Si ACM no puede validar la propiedad del dominio, se lo notificaremos al propietario de la cuenta de AWS.
Si eligió la validación de DNS en la solicitud de certificado, ACM puede renovar su certificado de forma indefinida sin que tenga que hacer nada, siempre que el certificado esté en uso (asociado con otros recursos de AWS) y el registro CNAME siga en vigor. Si eligió la validación por email al solicitar un certificado, puede mejorar la capacidad de ACM para renovar e implementar certificados de ACM de forma automática, lo que garantiza que el certificado esté en uso, que todos los nombres de dominio incluidos en el certificado se puedan apuntar a su sitio y que se pueda acceder a todos los nombres de dominio desde Internet.
Certificados privados
ACM ofrece dos opciones para administrar los certificados privados emitidos con AWS Private CA. ACM proporciona diferentes capacidades de renovación e implementación según la forma en que administre sus certificados privados. Puede elegir la mejor opción de administración para cada certificado privado que emita.
1) ACM puede automatizar completamente la renovación e implementación de los certificados privados emitidos con sus AWS Private CA y que se usan con los servicios integrados en ACM, como Elastic Load Balancing y API Gateway. ACM puede renovar e implementar certificados privados que se emiten a través de ACM mientras la CA privada que emitió dichos certificados permanezca en estado Activo.
2) En el caso de los certificados privados que usted exporte desde ACM para su uso con recursos que se encuentren en ubicaciones locales, instancias EC2 y dispositivos con IoT, ACM renueva su certificado automáticamente. Usted es responsable de recuperar el certificado nuevo y la clave privada y de implementarlos con su aplicación.
¿Cuándo renueva ACM los certificados?
ACM inicia el proceso de renovación hasta 60 días antes de la fecha de caducidad del certificado. Actualmente, el periodo de validez de los certificados de ACM es de 13 meses (395 días). Consulte la guía del usuario de ACM para obtener más información acerca de la renovación administrada.
¿Se me avisará antes de que se renueve el certificado y se implemente el nuevo?
No. ACM puede renovar el certificado o regenerar sus claves y reemplazar el anterior sin aviso previo.
¿ACM puede renovar certificados que contengan dominios vacíos, como "example.com" (también llamados de vértice de zona o dominios desnudos)?
Si eligió la validación de DNS en la solicitud de certificado para un certificado público, ACM puede renovar su certificado sin que tenga que hacer nada, siempre que el certificado esté en uso (asociado con otros recursos de AWS) y el registro CNAME siga en vigor.
Si eligió la validación por correo electrónico al solicitar un certificado público con un dominio vacío, compruebe que una búsqueda de DNS del dominio vacío se apunte al recurso de AWS asociado con el certificado. Apuntar el dominio vacío a un recurso de AWS podría resultar complicado a menos que utilice Route 53 u otro proveedor de DNS que admita los registros de recursos alias (o su equivalente) para la asignación de dominios vacíos a recursos de AWS. Para obtener más información, consulte la guía para desarrolladores de Route 53.
¿Abandonará mi sitio las conexiones existentes cuando ACM implemente el certificado renovado?
No, las conexiones establecidas después de implementar el nuevo certificado usan el dicho certificado, y las conexiones existentes no se ven afectadas
¿Puedo usar el mismo certificado con varios balanceadores de carga de Elastic Load Balancing y distribuciones de CloudFront?
Sí.
¿Puedo usar los certificados públicos con equilibradores de carga de Elastic Load Balancing internos, sin acceso al Internet público?
Sí, pero también puede considerar el uso de AWS Private CA para emitir certificados privados que ACM pueda renovar sin validación. Consulte Renovación e implementación administradas para obtener más información acerca de cómo ACM administra las renovaciones de certificados públicos a los que no se puede acceder desde el Internet público y de certificados privados.
Registro
¿Puedo inspeccionar el uso de las claves privadas del certificado?
Sí. Con AWS CloudTrail puede analizar los registros, que le indican cuándo se ha utilizado la clave privada de cada certificado.
¿Qué información de registro se encuentra disponible en AWS CloudTrail?
Puede identificar qué usuarios y cuentas llamaron a las API de AWS en relación con servicios compatibles con AWS CloudTrail, la dirección IP desde la que se efectuaron las llamadas y cuándo se realizaron. Por ejemplo, puede identificar qué usuario realizó una llamada a la API para asociar un certificado proporcionado por ACM con un Elastic Load Balancer, y cuándo el servicio Elastic Load Balancing descifró la clave con una llamada a la API de KMS.
Facturación
¿Cómo se cobra y factura el uso de los certificados de ACM?
Los certificados públicos y privados aprovisionados a través de AWS Certificate Manager para su utilización con los servicios integrados en ACM, como Elastic Load Balancing, Amazon CloudFront y Amazon API Gateway, son gratuitos. Solo paga por los recursos de AWS que cree para ejecutar su aplicación. AWS Private CA tiene precios de pago por uso. Visite la página de precios de AWS Private CA para obtener más información y ejemplos.
AWS Private Certificate Authority
¿Dónde puedo encontrar información sobre AWS Private CA?
Consulte las preguntas frecuentes de AWS Private CA para obtener información sobre el uso de AWS Private CA.