116
AWS Certificate Manager Guía del usuario Version 1.0

AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

  • Upload
    letram

  • View
    233

  • Download
    0

Embed Size (px)

Citation preview

Page 1: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate ManagerGuía del usuario

Version 1.0

Page 2: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

AWS Certificate Manager: Guía del usuarioCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

Page 3: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Table of Contents¿Qué es AWS Certificate Manager? ...................................................................................................... 1

Conceptos ................................................................................................................................. 1Certificado de ACM ............................................................................................................. 2Dominio de ápex ................................................................................................................ 3Criptografía de clave asimétrica ............................................................................................ 3Certificate Authority ............................................................................................................. 4Registro de transparencia de certificados ............................................................................... 4Sistema de nombres de dominio ........................................................................................... 4Nombres de dominio ........................................................................................................... 5Cifrado y descifrado ............................................................................................................ 6Nombre de dominio completo (FQDN) ................................................................................... 6Infraestructura de claves públicas ......................................................................................... 6Certificado raíz ................................................................................................................... 6Capa de conexión segura (SSL) ........................................................................................... 6HTTPS seguro ................................................................................................................... 6Certificados de servidor SSL ................................................................................................ 6Criptografía de clave simétrica ............................................................................................. 7Seguridad de la capa de transporte (TLS) .............................................................................. 7Confianza .......................................................................................................................... 7

Características de los certificados de ACM ..................................................................................... 7Regiones admitidas ..................................................................................................................... 9Servicios integrados .................................................................................................................... 9Precintos del sitio y logotipos de confianza ................................................................................... 11Límites .................................................................................................................................... 11

Número de certificados de ACM al año (últimos 365 días) ....................................................... 11Cantidad de nombres de dominio por certificado de ACM ....................................................... 12Número de CA y certificados privados ................................................................................. 12

Prácticas recomendadas ............................................................................................................ 12AWS CloudFormation ........................................................................................................ 12Asignación de certificados .................................................................................................. 13Validación de dominio ....................................................................................................... 13Añadir o eliminar nombres de dominio ................................................................................. 13Desactivación del registro de transparencia de certificados ...................................................... 14Activación de AWS CloudTrail ............................................................................................ 15

Precios .................................................................................................................................... 15Configuración ................................................................................................................................... 16

Configurar IAM y AWS .............................................................................................................. 16Suscribirse en AWS .......................................................................................................... 16Creación de un usuario de IAM .......................................................................................... 16

Registrar un nombre de dominio ................................................................................................. 17Configurar su sitio o aplicación ................................................................................................... 17

Inicio rápido de Linux ........................................................................................................ 18Inicio rápido de Windows ................................................................................................... 18

(Opcional) Configuración del correo electrónico ............................................................................. 18Base de datos WHOIS ...................................................................................................... 19Registro MX ..................................................................................................................... 19

(Opcional) Configuración de una CAA .......................................................................................... 19Introducción ..................................................................................................................................... 22

Solicitud de un certificado público ............................................................................................... 22Solicitud de un certificado público mediante la consola ........................................................... 22Solicitud de un certificado público mediante la CLI ................................................................. 24

Solicitud de un certificado privado ............................................................................................... 24Solicitud de un certificado privado mediante la consola ........................................................... 25Solicitud de un certificado privado mediante la CLI ................................................................ 25

Version 1.0iii

Page 4: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Exportación de un certificado privado ........................................................................................... 26Exportación de un certificado privado mediante la consola ...................................................... 26Exportación de un certificado privado mediante la CLI ............................................................ 26

Validación con DNS .................................................................................................................. 27Añadir un registro CNAME a la base de datos ...................................................................... 31Eliminación de un registro CNAME de la base de datos .......................................................... 31

Validación con el correo electrónico ............................................................................................. 31Enumerar certificados ................................................................................................................ 35

Enumerar certificados (consola) .......................................................................................... 35Enumerar certificados (CLI) ................................................................................................ 36

Describir certificados ................................................................................................................. 37Describir certificados (consola) ............................................................................................ 37Describir certificados (CLI) ................................................................................................. 37

Borrar certificados ..................................................................................................................... 39Borrar certificados (consola) ............................................................................................... 39Borrar certificados (CLI) ..................................................................................................... 39

Instalar Certificados de ACM ...................................................................................................... 39Volver a enviar correo electrónico (opcional) ................................................................................. 39

Volver a enviar el correo electrónico (consola) ...................................................................... 40Volver a enviar el correo electrónico (CLI) ............................................................................ 40

Renovación administrada ................................................................................................................... 41Validación de dominio ............................................................................................................... 41

Cómo funciona la validación automática de dominios ............................................................. 42Cuando la validación automática produce un error ................................................................. 42

Comprobación del estado de renovación ...................................................................................... 43Comprobar el estado (consola) ........................................................................................... 44Comprobar el estado (API) ................................................................................................. 44Comprobar el estado (CLI) ................................................................................................. 44Comprobar el estado (PHD) ............................................................................................... 44

Solicitar un correo electrónico (opcional) ...................................................................................... 46Importar certificados .......................................................................................................................... 47

Requisitos previos ..................................................................................................................... 48Formato del certificado .............................................................................................................. 48Importar un certificado ............................................................................................................... 50

Importar mediante la consola .............................................................................................. 50Importe utilizando el AWS CLI ............................................................................................ 50

Reimportar un certificado ........................................................................................................... 51Reimportar utilizando la consola .......................................................................................... 51Reimportar utilizando el AWS CLI ....................................................................................... 51

Etiquetar certificados de ACM ............................................................................................................. 53Restricciones de las etiquetas .................................................................................................... 53Gestión de etiquetas ................................................................................................................. 54

Administración de etiquetas (Consola) .................................................................................. 54Administración de etiquetas (AWS Command Line Interface) ................................................... 55Administración de etiquetas (API de AWS Certificate Manager) ................................................ 55

Autenticación y control de acceso ....................................................................................................... 56Autenticación ............................................................................................................................ 56Control de acceso ..................................................................................................................... 57Información general sobre la administración de acceso ................................................................... 57

Recursos y operaciones de ACM ........................................................................................ 58Titularidad de los recursos ................................................................................................. 58Administración de acceso a certificados de ACM ................................................................... 58

Políticas administradas por AWS ................................................................................................. 59AWSCertificateManagerReadOnly ........................................................................................ 59AWSCertificateManagerFullAccess ...................................................................................... 60

Políticas administradas por el cliente ........................................................................................... 60Políticas insertadas ................................................................................................................... 60

Version 1.0iv

Page 5: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Creación de una lista de certificados ................................................................................... 60Recuperación de un certificado ........................................................................................... 61Importación de un certificado .............................................................................................. 61Borrar un certificado .......................................................................................................... 61Acceso de solo lectura a ACM ............................................................................................ 62Acceso completo a ACM .................................................................................................... 62Acceso de administrador a todos los recursos de AWS .......................................................... 62

Referencia de los permisos de la API de ACM .............................................................................. 63Uso de AWS CloudTrail ..................................................................................................................... 65

Registro de llamadas a la API ACM ............................................................................................ 65Adición de etiquetas .......................................................................................................... 66Borrar un certificado .......................................................................................................... 67Descripción de un certificado .............................................................................................. 67Exportación de un certificado .............................................................................................. 68Importar un certificado ....................................................................................................... 69Creación de una lista de certificados ................................................................................... 70Visualización de etiquetas .................................................................................................. 71Eliminar etiquetas ............................................................................................................. 72Solicitud de un certificado .................................................................................................. 72Reenvío de emails ............................................................................................................ 73Recuperación de un certificado ........................................................................................... 74

Registro de llamadas a la API relacionadas con ACM .................................................................... 74Creación de un balanceador de carga ................................................................................. 75Registrar Amazon EC2 ...................................................................................................... 75Cifrando una clave privada ................................................................................................. 76Descifrando una clave privada ............................................................................................ 77

Uso de la API de ACM ...................................................................................................................... 79AddTagsToCertificate ................................................................................................................ 79DeleteCertificate ....................................................................................................................... 81DescribeCertificate .................................................................................................................... 82ExportCertificate ....................................................................................................................... 84GetCertificate ........................................................................................................................... 86ImportCertificate ........................................................................................................................ 88ListCertificates .......................................................................................................................... 90ListTagsForCertificate ................................................................................................................ 92RemoveTagsFromCertificate ....................................................................................................... 93RequestCertificate ..................................................................................................................... 94ResendValidationEmail .............................................................................................................. 96

Seguridad de la clave privada de ACM ................................................................................................ 98Solución de problemas ...................................................................................................................... 99

Registros de CAA ..................................................................................................................... 99Correo electrónico ..................................................................................................................... 99

No he recibido el correo electrónico de validación ................................................................ 100Correo electrónico enviado al subdominio ........................................................................... 101Información de contacto oculta .......................................................................................... 102Renovación de certificados ............................................................................................... 102Limitación controlada de WHOIS ....................................................................................... 102

Importación de certificados ....................................................................................................... 102Asignación de certificados ........................................................................................................ 103Solicitudes de certificados ........................................................................................................ 103

Tiempo de espera de solicitud de certificado agotado ........................................................... 103Error de solicitud de certificado ......................................................................................... 103

Renovación de certificados ....................................................................................................... 105Validación automática de dominios .................................................................................... 105Proceso asíncrono .......................................................................................................... 106

Validación de certificados ......................................................................................................... 106Validación incompleta ...................................................................................................... 106

Version 1.0v

Page 6: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Dominios .IO ........................................................................................................................... 106API Gateway .......................................................................................................................... 107

Historial de revisión ......................................................................................................................... 108

Version 1.0vi

Page 7: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioConceptos

¿Qué es AWS Certificate Manager?Le damos la bienvenida al servicio AWS Certificate Manager (ACM). ACM facilita la compleja tarea decrear y administrar certificados SSL/TLS públicos para sus sitios web y aplicaciones basados en AWS.Puede utilizar los certificados públicos que proporciona ACM (p. 22) (certificados de ACM) o loscertificados que importe a ACM (p. 47). Los certificados de ACM pueden proteger varios nombresde dominio y varios nombres dentro de un dominio. También puede utilizar ACM para crear certificadoscomodín SSL que pueden proteger un número ilimitado de subdominios.

ACM está estrechamente vinculado a AWS Certificate Manager Private Certificate Authority. Puedeutilizar ACM PCA para crear una entidad de certificación (CA) privada y, después, utilizar ACM paraemitir certificados privados. Estos son los certificados SSL/TLS X.509 que identifican internamente a losusuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos. Los certificados privados nopueden ser de confianza pública. Para obtener más información acerca de ACM PCA, consulte AWSCertificate Manager Private Certificate Authority User Guide. Los certificados privados emitidos medianteACM son muy similares a los certificados públicos de ACM. Ofrecen beneficios y cuentan con restriccionessimilares. Entre los beneficios se incluyen la administración de las claves privadas asociadas al certificado,la renovación de certificados y el permitirle utilizar la consola para implementar su certificado privadocon servicios integrados. Para obtener más información acerca de las restricciones relacionadas con eluso de ACM, consulte Solicitud de un certificado privado (p. 24). También puede utilizar ACM paraexportar un certificado privado y una clave privada cifrada para usarlos en cualquier lugar. Para obtenermás información, consulte Exportación de un certificado privado (p. 26). Para obtener más informaciónacerca de los beneficios de utilizar ACM PCA como un servicio independiente para emitir certificadosprivados, consulte la introducción en la Guía del usuario de ACM PCA.

Note

No puede instalar certificados públicos de ACM directamente en su sitio web o aplicación. Debeinstalar el certificado a través de uno de los servicios integrados con ACM y ACM PCA. Paraobtener más información acerca de estos servicios, consulte Servicios integrados con AWSCertificate Manager (p. 9).

Temas• Conceptos (p. 1)• Características de los certificados de ACM (p. 7)• Regiones admitidas (p. 9)• Servicios integrados con AWS Certificate Manager (p. 9)• Precintos del sitio y logotipos de confianza (p. 11)• Límites (p. 11)• Prácticas recomendadas (p. 12)• Precios de AWS Certificate Manager (p. 15)

ConceptosEsta sección presenta términos y conceptos básicos relacionados con AWS Certificate Manager (ACM).

Temas• Certificado de ACM (p. 2)

Version 1.01

Page 8: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCertificado de ACM

• Dominio de ápex (p. 3)• Criptografía de clave asimétrica (p. 3)• Certificate Authority (p. 4)• Registro de transparencia de certificados (p. 4)• Sistema de nombres de dominio (p. 4)• Nombres de dominio (p. 5)• Cifrado y descifrado (p. 6)• Nombre de dominio completo (FQDN) (p. 6)• Infraestructura de claves públicas (p. 6)• Certificado raíz (p. 6)• Capa de conexión segura (SSL) (p. 6)• HTTPS seguro (p. 6)• Certificados de servidor SSL (p. 6)• Criptografía de clave simétrica (p. 7)• Seguridad de la capa de transporte (TLS) (p. 7)• Confianza (p. 7)

Certificado de ACMACM genera certificados X.509 versión 3. Cada uno tiene una validez de 13 meses y contiene lassiguientes extensiones.

• Basic Constraints (Restricciones básicas): especifica si el sujeto del certificado es una entidad decertificación (CA)

• Authority Key Identifier (Identificador de la clave de entidad): permite la identificación de la clave públicacorrespondiente a la clave privada utilizada para firmar el certificado.

• Subject Key Identifier (Identificador de la clave de sujeto): permite la identificación de certificados quecontienen una clave pública determinada.

• Key Usage (Uso de clave): define el propósito de la clave pública incorporada en el certificado.• Extended Key Usage (Uso ampliado de claves): especifica uno o varios fines para los que la clave

pública se puede utilizar además de los fines especificados por la extensión Key Usage.• CRL Distribution Points (Puntos de distribución de CRL): especifica dónde se puede obtener información

de la CRL.

Certificate: Data: Version: 3 (0x2) Serial Number: f2:16:ad:85:d8:42:d1:8a:3f:33:fa:cc:c8:50:a8:9e Signature Algorithm: sha256WithRSAEncryption Issuer: O=Example CA Validity Not Before: Jan 30 18:46:53 2018 GMT Not After : Jan 31 19:46:53 2018 GMT Subject: C=US, ST=VA, L=Herndon, O=Amazon, OU=AWS, CN=example.com Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:ba:a6:8a:aa:91:0b:63:e8:08:de:ca:e7:59:a4: 69:4c:e9:ea:26:04:d5:31:54:f5:ec:cb:4e:af:27:

Version 1.02

Page 9: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDominio de ápex

e3:94:0f:a6:85:41:6b:8e:a3:c1:c8:c0:3f:1c:ac: a2:ca:0a:b2:dd:7f:c0:57:53:0b:9f:b4:70:78:d5: 43:20:ef:2c:07:5a:e4:1f:d1:25:24:4a:81:ab:d5: 08:26:73:f8:a6:d7:22:c2:4f:4f:86:72:0e:11:95: 03:96:6d:d5:3f:ff:18:a6:0b:36:c5:4f:78:bc:51: b5:b6:36:86:7c:36:65:6f:2e:82:73:1f:c7:95:85: a4:77:96:3f:c0:96:e2:02:94:64:f0:3a:df:e0:76: 05:c4:56:a2:44:72:6f:8a:8a:a1:f3:ee:34:47:14: bc:32:f7:50:6a:e9:42:f5:f4:1c:9a:7a:74:1d:e5: 68:09:75:19:4b:ac:c6:33:90:97:8c:0d:d1:eb:8a: 02:f3:3e:01:83:8d:16:f6:40:39:21:be:1a:72:d8: 5a:15:68:75:42:3e:f0:0d:54:16:ed:9a:8f:94:ec: 59:25:e0:37:8e:af:6a:6d:99:0a:8d:7d:78:0f:ea: 40:6d:3a:55:36:8e:60:5b:d6:0d:b4:06:a3:ac:ab: e2:bf:c9:b7:fe:22:9e:2a:f6:f3:42:bb:94:3e:b7: 08:73 Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: CA:FALSE X509v3 Authority Key Identifier: keyid:84:8C:AC:03:A2:38:D9:B6:81:7C:DF:F1:95:C3:28:31:D5:F7:88:42 X509v3 Subject Key Identifier: 97:06:15:F1:EA:EC:07:83:4C:19:A9:2F:AF:BA:BB:FC:B2:3B:55:D8 X509v3 Key Usage: critical Digital Signature, Key Encipherment X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication X509v3 CRL Distribution Points: Full Name: URI:http://example.com/crl

Signature Algorithm: sha256WithRSAEncryption 69:03:15:0c:fb:a9:39:a3:30:63:b2:d4:fb:cc:8f:48:a3:46: 69:60:a7:33:4a:f4:74:88:c6:b6:b6:b8:ab:32:c2:a0:98:c6: 8d:f0:8f:b5:df:78:a1:5b:02:18:72:65:bb:53:af:2f:3a:43: 76:3c:9d:d4:35:a2:e2:1f:29:11:67:80:29:b9:fe:c9:42:52: cb:6d:cd:d0:e2:2f:16:26:19:cd:f7:26:c5:dc:81:40:3b:e3: d1:b0:7e:ba:80:99:9a:5f:dd:92:b0:bb:0c:32:dd:68:69:08: e9:3c:41:2f:15:a7:53:78:4d:33:45:17:3e:f2:f1:45:6b:e7: 17:d4:80:41:15:75:ed:c3:d4:b5:e3:48:8d:b5:0d:86:d4:7d: 94:27:62:84:d8:98:6f:90:1e:9c:e0:0b:fa:94:cc:9c:ee:3a: 8a:6e:6a:9d:ad:b8:76:7b:9a:5f:d1:a5:4f:d0:b7:07:f8:1c: 03:e5:3a:90:8c:bc:76:c9:96:f0:4a:31:65:60:d8:10:fc:36: 44:8a:c1:fb:9c:33:75:fe:a6:08:d3:89:81:b0:6f:c3:04:0b: a3:04:a1:d1:1c:46:57:41:08:40:b1:38:f9:57:62:97:10:42: 8e:f3:a7:a8:77:26:71:74:c2:0a:5b:9e:cc:d5:2c:c5:27:c3: 12:b9:35:d5

Dominio de ápexConsulte Nombres de dominio (p. 5).

Criptografía de clave asimétricaA diferencia de la Criptografía de clave simétrica (p. 7), la criptografía asimétrica utiliza clavesdistintas, pero relacionadas matemáticamente para cifrar y descifrar el contenido. Una de las claves espública y suele estar disponible mediante un certificado X.509 v3. La otra clave es privada y se almacenade forma segura. El certificado X.509 asocia la identidad de un usuario, un equipo o cualquier otro recurso(el sujeto del certificado) a la clave pública.

Version 1.03

Page 10: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCertificate Authority

Los certificados de ACM son certificados SSL/TLS X.509 que asocian la identidad de un sitio web y losdetalles de una organización a la clave pública que contiene el certificado. ACM almacena la clave privadaasociada en un módulo de seguridad de hardware (HSM).

Certificate AuthorityUna autoridad de certificación (CA) es una entidad que emite certificados digitales. Desde el puntode vista comercial, el tipo más común de certificado digital se basa en el estándar ISO X.509. La CAemite certificados digitales firmados que reafirman la identidad del sujeto del certificado y vinculan dichaidentidad a la clave pública del certificado. Una CA también suele gestionar la revocación de certificados.

Registro de transparencia de certificadosPara protegerse contra los certificados SSL/TLS emitidos por error o por una CA comprometida, algunosnavegadores requieren que los certificados públicos emitidos para su dominio se registren en un logde transparencia de certificados. El nombre de dominio se registra. La clave privada no se registra. Loscertificados que no se han registrado suelen generar un error en el navegador.

Puede monitorizar los logs para asegurarse de que solo se emitan para su dominio los certificados queusted ha autorizado. Puede utilizar un servicio como Certificate Search para comprobar los logs.

Antes de que la CA de Amazon emita un certificado SSL/TLS de confianza pública para su dominio, envíael certificado al menos a dos servidores de log de transparencia de certificados. Estos servidores añaden elcertificado a sus bases de datos públicas y devuelven una marca de tiempo de certificado firmada (SCT) ala CA de Amazon. Después, la CA incorpora la SCT al certificado, firma el certificado y lo emite para usted.Las marcas de tiempo se incluyen con otras extensiones X.509.

X509v3 extensions:

CT Precertificate SCTs: Signed Certificate Timestamp: Version : v1(0) Log ID : BB:D9:DF:...8E:1E:D1:85 Timestamp : Apr 24 23:43:15.598 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...18:CB:79:2F Signed Certificate Timestamp: Version : v1(0) Log ID : 87:75:BF:...A0:83:0F Timestamp : Apr 24 23:43:15.565 2018 GMT Extensions: none Signature : ecdsa-with-SHA256 30:45:02:...29:8F:6C

El registro de transparencia de certificados se lleva a cabo de forma automática al solicitar o renovarun certificado a menos que decida cancelarlo. Para obtener más información acerca de la cancelación,consulte Desactivación del registro de transparencia de certificados (p. 14).

Sistema de nombres de dominioEl sistema de nombres de dominio (DNS) es un sistema de nombres distribuido jerárquicamente paraequipos y otros recursos conectados a Internet o a una red privada. El DNS se utiliza fundamentalmentepara convertir los nombres de dominio con formato de texto, como aws.amazon.com, en direccionesIP (protocolo de Internet) numéricas con el formato 111.222.333.444. La base de datos de DNS desu dominio, sin embargo, contiene un número de registros que se pueden utilizar para otros fines. Por

Version 1.04

Page 11: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioNombres de dominio

ejemplo, con ACM puede utilizar un registro CNAME para validar que usted es el propietario o controla undominio cuando solicita un certificado. Para obtener más información, consulte Uso de DNS para validarque usted es el propietario del dominio (p. 27).

Nombres de dominioUn nombre de dominio es una cadena de texto como, por ejemplo, www.example.com que el sistema denombres de dominio (DNS) puede traducir en una dirección IP. Las redes informáticas, incluida Internet,utilizan direcciones IP en lugar de nombres de texto. Un nombre de dominio se compone de variasetiquetas separadas por puntos:

TLD

La última etiqueta se denomina dominio de nivel superior (TLD). Por ejemplo, .com, .net y .edu.Además, el TLD para las entidades registradas en algunos países es la abreviatura del nombre del país yse denomina código de país. Por ejemplo, .uk para el Reino Unido, .ru para Rusia y .fr para Francia.Cuando se utilizan códigos de país, se suele introducir un segundo nivel de jerarquía para el TLD con el finde identificar el tipo de entidad registrada. Por ejemplo, el TLD .co.uk identifica compañías comercialesen el Reino Unido.

Dominio de ápex

El nombre de dominio de ápex incluye el dominio de nivel superior y lo amplía. Para los nombres dedominio que incluyen un código de país, el dominio de ápex incluye el código y, en su caso, las etiquetasque identifican el tipo de entidad registrada. El dominio de ápex no incluye subdominios (consulteel párrafo siguiente). En www.example.com, el nombre de dominio de ápex es example.com. Enwww.example.co.uk, el nombre de dominio de ápex es example.co.uk. A menudo se utilizan otrosnombres en lugar de ápex, como base, desnudo, raíz, ápex raíz o ápex de zona.

Subdominio

Los nombres de subdominio se anteponen al nombre de dominio de ápex y se separan de él y entre sí conun punto. El nombre de subdominio más común es www, pero es posible utilizar cualquier otro. Además, losnombres de subdominio puede tener varios niveles. Por ejemplo, en jake.dog.animals.example.com,los subdominios son jake, dog y animals, por ese orden.

FQDN

Un nombre de dominio completo (FQDN) es el nombre de DNS completo de un equipo, un sitio web uotro recurso conectado a una red o a Internet. Por ejemplo, aws.amazon.com es el FQDN de AmazonWeb Services. Un FQDN incluye todos los dominios hasta el dominio de nivel superior. Por ejemplo,[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]representa el formato general de un FQDN.

PQDN

Un nombre de dominio que no está completo se denomina nombre de dominio incompleto (PQDN) y esambiguo. Un nombre como [subdomain1.subdomain2.] es un PQDN porque no se puede determinar eldominio raíz.

Registro

El derecho a utilizar un nombre de dominio lo delegan los registradores de nombres de dominio. Losregistradores suelen estar acreditados por la ICANN (Internet Corporation for Assigned Names andNumbers). Además, otras organizaciones denominadas registros mantienen las bases de datos de TLD.Cuando se solicita un nombre de dominio, el registrador envía la información del solicitante al registrode TLD correspondiente. El registro asigna un nombre de dominio, actualiza la base de datos de TLD ypublica la información en WHOIS. Normalmente, los nombres de dominio deben comprarse.

Version 1.05

Page 12: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCifrado y descifrado

Cifrado y descifradoEl cifrado es el proceso de determinación de la confidencialidad de los datos. El descifrado invierte elproceso y recupera los datos originales. Por lo general, los datos no cifrados se denominan habitualmentetexto no cifrado, ya sea texto o no. Los datos encriptados se suelen llamar texto cifrado. La encriptaciónHTTPS de mensajes entre clientes y servidores utiliza algoritmos y claves. Los algoritmos definen elprocedimiento paso a paso mediante al cual los datos de texto no cifrado se convierten en texto cifrado(encriptación) y el texto cifrado se vuelve a convertir en el texto cifrado original (proceso de descifrado).Las claves se utilizan por algoritmos durante el proceso de cifrado o descifrado. Las claves pueden serprivadas o públicas.

Nombre de dominio completo (FQDN)Consulte Nombres de dominio (p. 5).

Infraestructura de claves públicasUna infraestructura de claves públicas (PKI) se compone de hardware, software, personas, políticas,documentos y procedimientos necesarios para crear, emitir, administrar, distribuir, utilizar, almacenar yrevocar los certificados digitales. PKI facilita la transferencia segura de información a través de las redesde equipos.

Certificado raízUna entidad de certificación (CA) normalmente existe dentro de una estructura jerárquica que contieneotras muchas CA con relaciones principal-secundario claramente definidas entre ellas. Las CA secundariaso subordinadas están certificadas por su CA principal, lo que crea una cadena de certificados. La CA de laparte superior de la jerarquía se denomina "raíz de la CA" y su certificado se denomina "certificado raíz".Este certificado suele estar autofirmado.

Capa de conexión segura (SSL)La capa de conexión segura (SSL) y la Transport Layer Security (TLS) son protocolos criptográficos queproporcionan seguridad de comunicación a través de una red de equipos. TLS es el sucesor de SSL.Ambos utilizan los certificados X.509 para autenticar el servidor, y ambos protocolos negocian una clavesimétrica entre el cliente y el servidor que se utiliza para cifrar el flujo de datos entre las dos entidades.

HTTPS seguroHTTPS significa HTTP sobre SSL/TLS, un método seguro de HTTP que es compatible con la mayoría delos navegadores y servidores principales. Todas las solicitudes y respuestas de HTTP se cifran antes deenviarse a través de una red. HTTPS combina el protocolo HTTP con técnicas criptográficas simétricas,asimétricas y basadas en el certificado X.509. HTTPS funciona insertando una capa de seguridadcriptográfica por debajo de la aplicación HTTP y por encima de la capa de transporte TCP del modelo deinterconexión de sistemas abiertos (OSI). La capa de seguridad utiliza el protocolo de capa de conexiónsegura (SSL) o el protocolo Transport Layer Security (TLS).

Certificados de servidor SSLLas transacciones HTTPS requieren certificados de servidor para autenticar un servidor. Un certificadode servidor es una estructura de datos X.509 v3 que vincula la clave pública del certificado al asunto delcertificado. Un certificado SSL/TLS está firmado por una entidad de certificación (CA) y contiene el nombredel servidor, el periodo de validez, la clave pública, el algoritmo de firma y mucho más.

Version 1.06

Page 13: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCriptografía de clave simétrica

Criptografía de clave simétricaLa criptografía de clave simétrica utiliza la misma clave tanto para cifrar como para descifrar datosdigitales. Véase también Criptografía de clave asimétrica (p. 3).

Seguridad de la capa de transporte (TLS)Consulte Capa de conexión segura (SSL) (p. 6).

ConfianzaPara que un navegador web confíe en la identidad de un sitio web, el navegador debe tener la posibilidadde verificar el certificado del sitio web. Los navegadores, sin embargo, solo confían en una pequeñacantidad de certificados conocidos como certificados raíz de la CA. Una tercera parte de confianza,conocida como entidad de certificación (CA), valida la identidad del sitio web y emite un certificado digitalfirmado para el operador del sitio web. El navegador puede comprobar la firma digital para validar laidentidad del sitio web. Si la validación se realiza correctamente, el navegador muestra un icono de uncandado en la barra de direcciones.

Características de los certificados de ACMLos certificados proporcionados por ACM tienen las características que se describen en esta sección.

Note

Estas características se aplican únicamente a los certificados proporcionados por ACM. Puedeque no se apliquen a los certificados que usted importe a ACM (p. 47).

Validación de dominio (DV)

Los certificados de ACM son validados por dominio. Es decir, el campo de asunto de un certificado deACM identifica un nombre de dominio y nada más. Cuando solicita un certificado de ACM, debe validarque usted es el propietario o controla todos los dominios que especifica en su solicitud. Puede validarla titularidad a través del correo electrónico o DNS. Para obtener más información, consulte Uso delcorreo electrónico para validar que usted es el propietario del dominio (p. 31) y Uso de DNS paravalidar que usted es el propietario del dominio (p. 27).

Periodo de validez

El periodo de validez de los certificados de ACM actualmente es de 13 meses.Renovación e implementación administradas

ACM administra el proceso de renovación de los certificados de ACM y el aprovisionamiento delos mismos una vez renovados. La renovación automática puede ayudarle a evitar el tiempo deinactividad debido a certificados configurados incorrectamente, revocados o caducados. Para obtenermás información, consulte Renovación administrada para certificados emitidos por Amazon deACM (p. 41).

Confianza de navegador y de aplicación

Los certificados de ACM son de confianza para la mayoría de los principales navegadores, comoGoogle Chrome, Microsoft Internet Explorer y Microsoft Edge, Mozilla Firefox y Apple Safari. Losnavegadores que confían en los certificados de ACM muestran un icono de candado en la barrade estado o en una barra de direcciones cuando se conectan por SSL/TLS a sitios que utilizancertificados de ACM. Los certificados de ACM también son de confianza para Java.

Version 1.07

Page 14: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCaracterísticas de los certificados de ACM

Varios nombres de dominio

Cada certificado de ACM debe incluir al menos un nombre de dominio totalmente cualificado (FQDN).Puede añadir nombres adicionales si lo desea. Por ejemplo, cuando cree un certificado de ACM parawww.example.com, puede añadir el nombre www.example.net si los clientes pueden acceder asu sitio utilizando ambos nombres. Lo mismo sucede con los dominios vacíos (también conocidoscomo ápex de zona o dominios desnudos). Es decir, puede solicitar un certificado de ACM parawww.example.com y añadir el nombre example.com. Para obtener más información, consulte Solicitudde un certificado público (p. 22).

Nombres con comodines

ACM le permite utilizar un asterisco (*) en el nombre de dominio para crear un certificado de ACM quecontenga un nombre comodín que pueda proteger varios sitios en el mismo dominio. Por ejemplo,*.example.com protege www.example.com e images.example.com.

Note

Cuando solicita un certificado de comodín, el asterisco (*) debe encontrarse en la posiciónmás a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Porejemplo, *.example.com puede proteger login.example.com y test.example.com,pero no puede proteger test.login.example.com. Tenga en cuenta también que*.example.com protege solo los subdominios de example.com. No protege el dominiodesnudo o ápex (example.com). Sin embargo, puede solicitar un certificado que protejauna dominio desnudo o ápex y sus subdominios especificando varios nombres de dominioen su solicitud. Por ejemplo, puede solicitar un certificado que proteja example.com y*.example.com.

Algoritmos

Un certificado debe especificar un algoritmo y un tamaño de clave. En la actualidad, ACM admite lossiguientes algoritmos de clave pública:• RSA de 1024 bits (RSA_1024)• RSA de 2048 bits (RSA_2048)• RSA de 4096 bits (RSA_4096)• Elliptic Prime Curve de 256 bits (EC_prime256v1)• Elliptic Prime Curve de 384 bits (EC_secp384r1)• Elliptic Prime Curve de 521 bits (EC_secp521r1)

Important

Tenga en cuenta que los servicios integrados solo permiten asociar a sus recursos losalgoritmos y tamaños de clave que admiten. Además, la compatibilidad varía en función desi el certificado se importa en IAM o en ACM. Para obtener más información, consulte ladocumentación de de cada servicio.• Para Elastic Load Balancing, consulte Agentes de escucha HTTPS para Application Load

Balancer.• Para CloudFront, consulte Protocolos SSL/TLS y cifrados admitidos.

Excepciones

Tenga en cuenta lo siguiente:• ACM no proporciona certificados de validación extendida (EV) ni certificados de validación de

organización (OV).• ACM solo proporciona certificados para protocolos SSL/TLS.• No puede utilizar certificados de ACM para el cifrado de correo electrónico.• ACM solo admite ASCII con codificación UTF-8 para los nombres de dominio, incluidas las etiquetas

que contienen "xn--" (Punycode). ACM no acepta entradas Unicode (etiquetas u) para nombres dedominio.

Version 1.08

Page 15: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRegiones admitidas

• ACM actualmente no le permite desactivar la renovación de certificados administrada (p. 41)de los certificados de ACM. Además, la renovación administrada no está disponible para loscertificados que importa a ACM.

• No se pueden solicitar certificados para nombres de dominio propiedad de Amazon, por ejemplo losque terminan en amazonaws.com, cloudfront.net o elasticbeanstalk.com.

• No puede descargar la clave privada para un certificado de ACM.• No puede instalar directamente certificados de ACM en su sitio web o aplicación de Amazon Elastic

Compute Cloud (Amazon EC2). No obstante, sí puede utilizar su certificado con cualquier serviciointegrado. Para obtener más información, consulte Servicios integrados con AWS CertificateManager (p. 9).

Regiones admitidasVisite Regiones y puntos de conexión de AWS en la AWS General Reference o la Tabla de regiones deAWS para ver la disponibilidad regional de ACM.

Al igual que la mayoría de los recursos de AWS, los certificados de ACM también son recursos regionales.Para utilizar un certificado con Elastic Load Balancing para el mismo nombre completo del dominio (FQDN)o el conjunto de FQDN en más de una región de AWS, debe solicitar o importar un certificado para cadaregión. En el caso de los certificados proporcionados por ACM, esto significa que debe validar cadanombre de dominio en el certificado de cada región. No puede copiar un certificado de una región en otra.

Para utilizar un certificado de ACM con Amazon CloudFront, debe solicitar o importar el certificado enla región US East (N. Virginia). Los certificados de ACM de esta región que estén asociados a unadistribución de CloudFront se distribuyen a todas las ubicaciones geográficas configuradas para esadistribución.

Servicios integrados con AWS Certificate ManagerAWS Certificate Manager da soporte a un número creciente de servicios de AWS. No puede instalar elcertificado de ACM ni el certificado privado de ACM PCA directamente en su aplicación o sitio web basadoen AWS. Debe utilizar uno de los siguientes servicios.

Elastic Load Balancing

Elastic Load Balancing distribuye automáticamente su tráfico entrante de aplicaciones en múltiplesinstancias Amazon EC2. Detecta las instancias en mal estado y redirige el tráfico hacia otras enbuen estado, hasta que se restauren las instancias en mal estado. Elastic Load Balancing escalaautomáticamente su capacidad de gestión de solicitudes en respuesta al tráfico entrante. Para obtenermás información sobre el balanceo de carga, consulte Guía del usuario de Elastic Load Balancing.

En general, para distribuir contenido seguro a través de SSL/TLS, los balanceadores de cargarequieren que los certificados SSL/TLS se instalen en el balanceador de carga o en la instanciaAmazon EC2 de backend. ACM se integra con Elastic Load Balancing para implementar certificadosde ACM en el balanceador de carga. Para obtener más información, consulte la sección Crear unApplication Load Balancer.

Amazon CloudFront

Amazon CloudFront es un servicio web que acelera la distribución de su contenido web estático ydinámico para los usuarios finales mediante la entrega de su contenido desde una red mundial deubicaciones de borde. Cuando un usuario final solicita contenido que usted distribuye a través deCloudFront, al usuario se le remite a la ubicación de borde que ofrece la latencia más baja. De estemodo, se garantiza que el contenido se entrega con el máximo desempeño posible. Si el contenido

Version 1.09

Page 16: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioServicios integrados

se encuentra actualmente en dicha ubicación de borde, CloudFront lo entrega inmediatamente. Siel contenido no se encuentra actualmente en dicha ubicación de borde, CloudFront lo recupera delservidor web o el bucket de Amazon S3 que usted haya identificado como la fuente de contenidodefinitiva. Para obtener más información sobre CloudFront, consulte Guía para desarrolladores deAmazon CloudFront.

Para distribuir contenido protegido a través de SSL/TLS, CloudFront requiere que los certificados SSL/TLS se instalen en la distribución de CloudFront o en la fuente de contenido de backend. ACM seintegra con CloudFront para implementar certificados de ACM en la distribución de CloudFront. Paraobtener más información, consulte la sección Obtener un certificado SSL/TLS.

Note

Para utilizar un certificado de ACM con CloudFront, debe solicitar o importar el certificado enla región US East (N. Virginia).

AWS Elastic Beanstalk

Elastic Beanstalk le ayuda a implementar y administrar aplicaciones en la nube de AWS sin tenerque preocuparse por la infraestructura en la que se ejecutan. AWS Elastic Beanstalk reduce lacomplejidad de la administración. Solo tiene que cargar la aplicación y Elastic Beanstalk gestionaráde manera automática los detalles de aprovisionamiento de capacidad, equilibrio de carga, escaladoy monitorización de la salud. Elastic Beanstalk utiliza el servicio Elastic Load Balancing para crear unbalanceador de carga. Para obtener más información sobre Elastic Beanstalk, consulte Guía paradesarrolladores de AWS Elastic Beanstalk.

Para elegir un certificado, debe configurar el balanceador de carga para su aplicación en la consolade Elastic Beanstalk. Para obtener más información, consulte la sección Configuración de subalanceador de carga del entorno Elastic Beanstalk para terminar HTTPS.

Amazon API Gateway

Con la proliferación de dispositivos móviles y el crecimiento del Internet de las cosas (IoT), es cadavez más habitual crear API que se puedan utilizar para obtener acceso a los datos e interactuar conlos sistemas backend en AWS. Puede utilizar API Gateway para publicar, mantener, monitorizar yproteger sus API. Después de implementar la API en API Gateway, puede configurar un nombrede dominio personalizado para simplificar el acceso a ella. Para configurar un nombre de dominiopersonalizado, debe proporcionar un certificado SSL/TLS. Puede utilizar ACM para generar o importarel certificado.

AWS CloudFormation

AWS CloudFormation le ayuda a diseñar y configurar sus recursos de Amazon Web Services. Puedecrear una plantilla que describa los recursos de AWS que desee utilizar, como Elastic Load Balancingo API Gateway. A continuación, AWS CloudFormation se encarga de aprovisionar y configurar parausted dichos recursos. No es necesario crear y configurar individualmente los recursos de AWS niaveriguar qué depende de qué. AWS CloudFormation se encarga de todo eso. Los certificados deACM se incluyen como plantilla de recursos, lo que significa que AWS CloudFormation puede solicitarcertificados de ACM que usted puede utilizar con servicios de AWS para permitir conexiones seguras.Para obtener más información, consulte AWS::CertificateManager::Certificate. Además, los certificadosde ACM se incluyen con muchos de los recursos de AWS que usted puede configurar con AWSCloudFormation.

Note

Si crea un certificado de ACM con AWS CloudFormation, la pila de AWS CloudFormationpermanece en el estado CREATE_IN_PROGRESS. Cualquier otra operación de pila seretrasa hasta que usted actúe según las instrucciones del correo electrónico de validación delcertificado. Para obtener más información, consulte Recursos que no pueden estabilizarsedurante una operación de pila de creación, actualización o eliminación.

Version 1.010

Page 17: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioPrecintos del sitio y logotipos de confianza

Precintos del sitio y logotipos de confianzaAmazon no proporciona un precinto del sitio ni permite que su marca comercial se utilice como tal:

• AWS Certificate Manager (ACM) no proporciona un precinto de sitio seguro que usted pueda utilizaren su sitio web. Si desea utilizar un precinto del sitio, puede obtener uno de un proveedor de terceros.Le recomendamos que escoja un proveedor que evalúe y confirme la seguridad de sus prácticas denegocio o de la página web.

• Amazon no permite a su marca comercial o logotipo que sea utilizado como insignia de certificado,precinto de sitio o logotipo de confianza. Los precintos y las insignias de este tipo pueden copiarse ensitios que no utilicen el servicio ACM, y es posible que sean utilizados de forma inadecuada para crearconfianza con falsas pretensiones. Para proteger a nuestros clientes y la reputación de Amazon nopermitimos que nuestra marca comercial y nuestro logotipo se utilicen de esta manera.

LímitesLos siguientes límites de AWS Certificate Manager (ACM) son aplicables a todas las regiones y cuentas deAWS. Para solicitar límites superiores, abra un caso en el Centro de AWS Support. Las nuevas cuentas deAWS pueden comenzar con límites inferiores a los aquí descritos.

Elemento Límite predeterminado

Número de certificados de ACM 100

Número de certificados de ACM al año (últimos365 días)

El doble del límite de su cuenta

Número de certificados importadas 100

Número de certificados importados al año (últimos365 días)

El doble del límite de su cuenta

Cantidad de nombres de dominio por certificado deACM

10

Número de CA privadas 10

Número de certificados privados por CA 50 000

Temas• Número de certificados de ACM al año (últimos 365 días) (p. 11)• Cantidad de nombres de dominio por certificado de ACM (p. 12)• Número de CA y certificados privados (p. 12)

Número de certificados de ACM al año (últimos365 días)Puede solicitar hasta el doble del límite de certificados de ACM cada año. Por ejemplo, si el límite es de25, puede solicitar hasta 50 certificados de ACM al año. Si solicita 50 certificados, debe eliminar 25 duranteel año para mantenerse dentro de su límite. Si necesita más de 25 certificados, en este ejemplo, debeponerse en contacto con el Centro de AWS Support.

Version 1.011

Page 18: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCantidad de nombres de dominio por certificado de ACM

Note

Aunque en la tabla anterior se indica que una cuenta puede poseer hasta 100 certificados deACM, las nuevas cuentas de AWS pueden empezar con un límite inferior.

Cantidad de nombres de dominio por certificado deACMEl límite predeterminado es 10 nombres de dominio para cada certificado de ACM. Ese límite puede sersuperior. El primer nombre de dominio que envía se incluye como nombre común (CN) de sujeto delcertificado. Todos los nombres se incluyen en la extensión del nombre alternativo de asunto.

Puede solicitar hasta 100 nombres de dominio. Para solicitar un aumento de su límite, abra un caso en el Centro de AWS Support, pero antes de hacerlo, lea la siguiente información para saber cómo añadir másnombres de dominio puede significar más trabajo administrativo para usted si usa la validación por correoelectrónico. Para obtener más información, consulte Validación de dominio (p. 13).

Note

El límite de cantidad de nombres de dominio por certificado de ACM es aplicable solo acertificados proporcionados por ACM. Este límite no es aplicable a los certificados que importa aACM. Las secciones siguientes son aplicables solo a los certificados de ACM.

Número de CA y certificados privadosACM está integrado con ACM PCA. Puede utilizar la consola de ACM, la AWS CLI o la API de ACM parasolicitar certificados privados a una entidad de certificación (CA) privada existente. Los certificados seadministran dentro del entorno de ACM y tienen las mismas restricciones que los certificados públicosemitidos por ACM. Para obtener más información, consulte Solicitud de un certificado privado (p. 24).También puede emitir certificados privados mediante el servicio ACM PCA independiente. Para obtenermás información, consulte el artículo sobre cómo emitir un certificado privado. Puede crear 10 CA privadasy 50 000 certificados privados para cada una de ellas.

Prácticas recomendadasLas prácticas recomendadas son recomendaciones que pueden ayudarle a utilizar AWS CertificateManager (AWS Certificate Manager) con mayor eficacia. Las siguientes prácticas recomendadas se basanen experiencias reales de clientes de ACM actuales.

Temas• AWS CloudFormation (p. 12)• Asignación de certificados (p. 13)• Validación de dominio (p. 13)• Añadir o eliminar nombres de dominio (p. 13)• Desactivación del registro de transparencia de certificados (p. 14)• Activación de AWS CloudTrail (p. 15)

AWS CloudFormationCon AWS CloudFormation puede crear una plantilla que describa los recursos de AWS que desea utilizar.A continuación, AWS CloudFormation aprovisiona y configura dichos recursos. AWS CloudFormationpermite aprovisionar recursos compatibles con ACM como Elastic Load Balancing, Amazon CloudFront y

Version 1.012

Page 19: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAsignación de certificados

Amazon API Gateway. Para obtener más información, consulte Servicios integrados con AWS CertificateManager (p. 9).

Si utiliza AWS CloudFormation, puede crear y eliminar rápidamente varios entornos de pruebas,le recomendamos que no cree un certificado de ACM independiente para cada entorno. Alhacerlo, su certificado agotará rápidamente el límite del certificado. Para obtener más información,consulte Límites (p. 11). En su lugar, cree un certificado comodín que abarque todos losnombres de dominio que utilice para las pruebas. Por ejemplo, si crea repetidamente certificadosde ACM para nombres de dominio que varían en función solo de un número de versión, como<version>.service.example.com, cree en su lugar un único certificado comodín para<*>.service.example.com. Incluya el certificado comodín en la plantilla que AWS CloudFormationutiliza para crear su entorno de pruebas.

Asignación de certificadosLa asignación de certificados, en ocasiones denominada asignación de SSL, es un proceso que puedeutilizar en su aplicación para validar un host remoto asociando dicho host directamente con su clavepública o certificado X.509 en lugar de hacerlo con una jerarquía de certificados. La aplicación, portanto, utiliza la asignación para omitir la validación de la cadena de certificados SSL/TLS. El procesode validación típico de SSL comprueba las firmas en toda la cadena de certificados del certificado dela entidad de certificación (CA) raíz hasta los certificados de CA subordinados, si hay alguno. Tambiéncomprueba el certificado del host remoto en la parte inferior de la jerarquía. Su aplicación puede en sulugar asignar el certificado para el host remoto para indicar que solo dicho certificado y no el certificadoraíz o cualquier otro de la cadena es de confianza. Puede añadir el certificado o la clave pública del hostremoto a la aplicación durante el desarrollo. Asimismo, la aplicación puede añadir el certificado o clavecuando se conecta por primera vez al host.

Warning

Le recomendamos que su aplicación no asigne un certificado de ACM. ACM realiza Renovaciónadministrada para certificados emitidos por Amazon de ACM (p. 41) para renovarautomáticamente sus certificados SSL/TLS emitidos por Amazon antes de que caduquen. Pararenovar un certificado, ACM genera un nuevo par de claves pública y privada. Si su aplicaciónasigna el certificado de ACM y el certificado se renueva correctamente con una nueva clavepública, puede que la aplicación no se conecte a su dominio.

Si decide asignar un certificado, las siguientes opciones no obstaculizan que su aplicación se conecte a sudominio:

• Importe su propio certificado a ACM y, a continuación, asigne su aplicación al certificado importado.ACM no intenta renovar automáticamente los certificados importados.

• Asigne su aplicación a un certificado raíz de Amazon.

Validación de dominioPara que la entidad de certificación (CA) de Amazon pueda emitir un certificado para su sitio, AWSCertificate Manager (ACM) debe verificar que usted es el propietario o controla todos los dominiosque ha especificado en la solicitud. Puede realizar la verificación mediante el correo electrónico oDNS. Para obtener más información, consulte Uso del correo electrónico para validar que usted es elpropietario del dominio (p. 27) y Uso del correo electrónico para validar que usted es el propietario deldominio (p. 27).

Añadir o eliminar nombres de dominioNo se pueden añadir ni eliminar nombres de dominio de un certificado de ACM existente. En su lugar, debesolicitar un certificado nuevo con la lista de nombres de dominio revisada. Por ejemplo, si el certificado

Version 1.013

Page 20: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDesactivación del registro de transparencia de certificados

tiene cinco nombres de dominio y desea añadir cuatro más, debe solicitar un certificado nuevo con losnueve nombres de dominio. Al igual que con cualquier certificado nuevo, debe validar la titularidad detodos los nombres de dominio de la solicitud, incluidos los que ya se habían validado para el certificadooriginal.

Si utiliza la validación por correo electrónico, recibe hasta ocho mensajes de correo electrónico devalidación para cada dominio, y deberá actuar sobre al menos uno de ellos en un plazo de 72 horas. Porejemplo, si solicita un certificado con cinco nombres de dominio, recibirá hasta 40 mensajes de validacióny deberá actuar sobre al menos cinco de ellos en un plazo de 72 horas. A medida que la cantidad denombres de dominio de la solicitud de certificado aumente, aumentará también el trabajo necesario paravalidar la titularidad de los dominios mediante el correo electrónico.

Si utiliza la validación por DNS en su lugar, solo debe escribir un nuevo registro de DNS en la base dedatos para el FQDN que desea validar. ACM envía el registro que se debe crear y posteriormente consultala base de datos para determinar si se ha agregado el registro. La inclusión del registro constata queusted es el propietario o controla el dominio. En el ejemplo anterior, si solicita un certificado con cinconombres de dominio, debe crear cinco registros de DNS. Le recomendamos que utilice la validación porDNS cuando sea posible.

Desactivación del registro de transparencia decertificados

Important

Independientemente de las acciones que lleve a cabo para desactivar el registro de transparenciade certificados, el certificado aún puede ser registrado por cualquier cliente o persona quetenga acceso al punto de enlace público o privado al que vincula el certificado. Sin embargo, elcertificado no contendrá una marca de tiempo de certificado firmada (SCT). Solo la CA emisorapuede integrar una SCT en un certificado.

A partir del 30 de abril de 2018, Google Chrome dejará de confiar en los certificados SSL/TLS públicosque no estén registrados en un log de transparencia de certificados. Por lo tanto, a partir del 24 de abril de2018, la CA de Amazon comenzará a publicar todos los nuevos certificados y las renovaciones al menosen dos logs públicos. Una vez que un certificado se ha registrado, no se puede eliminar. Para obtener másinformación, consulte Registro de transparencia de certificados (p. 4).

El registro se realiza automáticamente cuando se solicita o se renueva un certificado, pero puede optar porno hacerlo. Entre los motivos más comunes para hacerlo se incluyen las preocupaciones por la seguridad yprivacidad. Por ejemplo, el registro de nombres de dominio de host internos ofrece a los posibles atacantesinformación sobre las redes internas que de otro modo no sería pública. Además, el registro podría filtrarlos nombres de productos y sitios web nuevos o que todavía no se han publicado.

Para cancelar el registro de transparencia al solicitar un certificado, utilice el parámetro Options delcomando de la AWS CLI request-certificate o la API RequestCertificate.

Si el certificado se emitió antes del 24 de abril de 2018 y desea asegurarse de que no se ha registradodurante la renovación, puede llamar al comando update-certificate-options o a la APIUpdateCertificateOptions para desactivar el registro.

Una vez que un certificado se ha registrado, no se puede eliminar del log. En ese momento, la cancelaciónno tendrá ningún efecto. Si desactiva el registro al solicitar un certificado y después elige volver aactivarlo, el certificado no se registrará hasta que no se renueve. Si desea que el certificado se registreinmediatamente, le recomendamos que emita uno nuevo.

Note

Actualmente no puede utilizar la consola para desactivar o activar el registro de transparencia.

Version 1.014

Page 21: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioActivación de AWS CloudTrail

En el siguiente ejemplo se muestra cómo utilizar el comando request-certificate para deshabilitar latransparencia del certificado cuando se solicita un certificado nuevo.

aws acm request-certificate \--domain-name www.example.com \--validation-method DNS \--options CertificateTransparencyLoggingPreference=DISABLED \--idempotency-token 184627

El comando anterior muestra el ARN del nuevo certificado.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}

Si ya tiene un certificado y no desea que se registre cuando se renueve, utilice el comando update-certificate-options. Este comando no devuelve ningún valor.

aws acm update-certificate-options \--certificate-arn arn:aws:acm:region:account:\certificate/12345678-1234-1234-1234-123456789012 \--options CertificateTransparencyLoggingPreference=DISABLED

Activación de AWS CloudTrailActive el registro de CloudTrail antes de empezar a utilizar ACM. CloudTrail le permite monitorizar susimplementaciones de AWS recuperando un historial de las llamadas a la API de AWS de su cuenta,incluidas las llamadas a la API realizadas mediante la consola de administración de AWS, los SDKde AWS, la AWS Command Line Interface y los servicios de AWS de nivel superior. También puedeidentificar qué usuarios y cuentas llamaron a las API de ACM, la dirección IP de origen desde la que serealizaron las llamadas y el momento en que se efectuaron las llamadas. Puede integrar CloudTrail en lasaplicaciones mediante la API, automatizar la creación de registros de seguimiento para su organización,comprobar el estado de sus registros de seguimiento y controlar la forma en que los administradoresactivan y desactivan los registros de CloudTrail. Para obtener más información, consulte Crear un registrode seguimiento. Vaya a Uso de AWS CloudTrail (p. 65) para ver ejemplos de registros de seguimientopara acciones de ACM.

Precios de AWS Certificate ManagerAWS no le aplicará ningún cargo por los certificados SSL/TLS que administre con AWS CertificateManager. Solo pagará por los recursos de AWS que cree para ejecutar su sitio web o aplicación. Paraobtener información actualizada sobre los precios de ACM, consulte la página de Precios de AWSCertificate Manager en el sitio web de AWS.

Version 1.015

Page 22: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioConfigurar IAM y AWS

ConfiguraciónAWS Certificate Manager (ACM) le permite aprovisionar y administrar certificados SSL/TLS para susaplicaciones y sitios web basados en AWS. Utilice ACM para crear (o importar) y administrar certificados.Para implementar el certificado en su sitio web o aplicación necesita utilizar otros servicios de AWS. Paraobtener más información acerca de los servicios integrados con ACM, consulte Servicios integrados conAWS Certificate Manager (p. 9). Los siguientes temas tratan los pasos a seguir antes de poder utilizarACM.

Note

Además de utilizar los certificados proporcionados por ACM, también puede importar certificadosa ACM. Para obtener más información, consulte Importar certificados (p. 47).

Temas• Configurar IAM y AWS (p. 16)• Registrar un nombre de dominio (p. 17)• Configurar su sitio web o aplicación (p. 17)• (Opcional) Configuración del correo electrónico para su dominio (p. 18)• (Opcional) Configuración de un registro de CAA (p. 19)

Configurar IAM y AWSPara poder utilizar ACM debe inscribirse en Amazon Web Services. Es recomendable que cree un usuariode IAM para limitar las acciones puede realizar cada usuario.

Suscribirse en AWSSi todavía no es cliente de Amazon Web Services (AWS), debe inscribirse para poder utilizar ACM. Sucuenta se inscribe automáticamente en todos los servicios disponibles, pero solo se le cobrará por los queutilice. Si es cliente nuevo de AWS, puede comenzar de forma gratuita. Obtenga más información acercade la Capa gratuita de AWS.

Para inscribirse en una cuenta de AWS

1. Visite https://aws.amazon.com/ y seleccione Inscribirse.2. Siga las instrucciones en pantalla.

Note

Recibirá una llamada telefónica automatizada y deberá introducir el PIN proporcionado en elteclado del teléfono como parte del procedimiento de registro. También deberá proporcionar unnúmero de tarjeta de crédito aunque se esté inscribiendo en la capa gratuita.

Creación de un usuario de IAMTodas las cuentas de AWS tienen credenciales de usuario raíz (es decir, las credenciales del propietariode la cuenta). Estas credenciales permiten acceso pleno a todos los recursos de la cuenta. Dado que nopuede restringir los permisos de las credenciales de usuario raíz, le recomendamos que elimine las clavesde acceso de usuario raíz. A continuación, cree credenciales de usuario de AWS Identity and Access

Version 1.016

Page 23: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRegistrar un nombre de dominio

Management (IAM) para las interacciones cotidianas con AWS. Para obtener más información, consulteLock away your AWS account (root) access keys en la Guía del usuario de IAM.

Note

Es posible que necesite el acceso de la Usuario de la cuenta raíz de AWS para tareasespecíficas, tales como cambiar un plan de soporte de AWS o cerrar la cuenta. En estos casos,inicie sesión en la Consola de administración de AWS con su correo electrónico y contraseña.Consulte Correo electrónico y contraseña (usuario raíz).

Para obtener una lista de tareas que requieren el acceso de usuario raíz, consulte Tareas de AWS queexigen un usuario raíz de la cuenta de AWS.

Con IAM, puede controlar de forma segura el acceso a los servicios y recursos de AWS para los usuariosde su cuenta de AWS. Por ejemplo, si requiere permisos de administrador, puede crear un usuario IAM,concederle acceso pleno y, a continuación, utilizar esas credenciales para interaccionar con AWS. Sinecesita modificar o revocar sus permisos, puede eliminar o modificar las políticas que están asociadascon ese usuario de IAM.

Si tiene varios usuarios que requieren acceso a su cuenta de AWS, puede crear credenciales exclusivaspara cada uno de ellos y definir quién tendrá acceso a los distintos recursos. No tiene que compartir lascredenciales. Por ejemplo, puede crear usuarios de IAM con acceso de solo lectura a los recursos de sucuenta de AWS y distribuir esas credenciales a los usuarios.

ACM proporciona también dos políticas administradas de AWS que puede utilizar:

• AWSCertificateManagerFullAccess• AWSCertificateManagerReadOnly

Note

Todas las actividades y los costos asociados con el usuario de IAM se facturarán al propietario dela cuenta de AWS.

Registrar un nombre de dominioUn nombre de dominio completo (FQDN) es el nombre único de una organización o individuo en Internet,seguido de una extensión de dominio de nivel superior como, por ejemplo, .com o .org. Si aún no tieneun nombre de dominio registrado, puede registrar uno a través de Amazon Route 53 o cualquier otroregistrador comercial. Lo normal es dirigirse al sitio web del registrador y solicitar un nombre de dominio.El registrador consulta WHOIS para determinar si el FQDN solicitado está disponible. Si lo está, elregistrador suele enumerar los nombres relacionados cuyas extensiones de dominio difieran y ofrece laoportunidad de adquirir cualquiera de los disponibles. El registro suele durar un periodo determinado antessu renovación como, por ejemplo, uno o dos años.

Para obtener más información acerca del registro de nombres de dominio con Amazon Route 53, consulteRegistering Domain Names Using Amazon Route 53 en la Guía para desarrolladores de Amazon Route 53.

Configurar su sitio web o aplicaciónPuede instalar su sitio web en una instancia de Amazon EC2 Linux o Windows. Para obtener másinformación sobre las instancias de Amazon EC2 de Linux, consulte la Guía del usuario de AmazonElastic Compute Cloud para Linux. Para obtener más información sobre las instancias de Amazon EC2 deWindows, consulte la Guía del usuario de Amazon Elastic Compute Cloud para Microsoft Windows.

Version 1.017

Page 24: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioInicio rápido de Linux

Aunque instale su sitio web en una instancia de Amazon EC2, no puede implementar directamente uncertificado de ACM en dicha instancia. En su lugar, debe implementar su certificado a través de uno delos servicios integrados con ACM. Para obtener más información, consulte Servicios integrados con AWSCertificate Manager (p. 9).

Para poner en funcionamiento rápidamente su sitio web en Windows o Linux, consulte los siguientestemas.

Temas• Inicio rápido de Linux (p. 18)• Inicio rápido de Windows (p. 18)

Inicio rápido de LinuxPara crear su sitio web o aplicación en una instancia de Linux, puede elegir una imagen de máquina deAmazon (AMI) de Linux e instalar un servidor web Apache en ella. Para obtener más información, consulteel Tutorial: Instalar un servidor web LAMP en Amazon Linux en la Guía del usuario de Amazon EC2 parainstancias de Linux.

Inicio rápido de WindowsPara adquirir un servidor de Microsoft Windows en el que pueda instalar su sitio web o aplicación, elijauna AMI de Windows Server que se incluye con un servidor web Microsoft Internet Information Services(IIS). A continuación, utilice el sitio web predeterminado o cree uno nuevo. También puede instalar unservidor WIMP en su instancia Amazon EC2. Para obtener más información, consulte Tutorial: instalaciónde un servidor WIMP en una instancia Amazon EC2 que ejecute Windows Server en la Guía del usuario deAmazon EC2 para instancias de Windows.

(Opcional) Configuración del correo electrónicopara su dominio

Note

Los siguientes pasos solo son necesarios si utiliza la validación por correo electrónico paraconstatar que usted es el propietario o controla el FQDN (nombre de dominio completo) que haespecificado en su solicitud de certificado. ACM requiere que usted valide que es el propietario ocontrola el dominio antes de emitir un certificado. Puede usar la validación por correo electrónicoo la validación por DNS. Para obtener más información sobre la validación por correo electrónico,consulte Uso del correo electrónico para validar que usted es el propietario del dominio (p. 31).Si no puede editar su configuración de DNS, le recomendamos que utilice la validación dedominios de DNS en lugar de la validación por correo electrónico. La validación por DNS eliminala necesidad de configurar el correo electrónico para el nombre de dominio. Para obtener másinformación sobre la validación por DNS, consulte Uso de DNS para validar que usted es elpropietario del dominio (p. 27).

Utilice el sitio web del registrador para asociar sus direcciones de contacto con el nombre de dominio. Elregistrador añade las direcciones de correo electrónico de contacto a la base de datos WHOIS y añadeuno o más servidores de correo electrónico a los registros de intercambio de correo (MX) de un servidorDNS. Si decide usar la validación por correo electrónico, ACM envía un correo electrónico de validacióna las direcciones de contacto y a cinco direcciones administrativas formadas desde su registro MX. ACMenvía hasta ocho mensajes de correo electrónico de validación cada vez que se crea un nuevo certificado,se renueva un certificado o se solicita un nuevo mensaje de validación. El correo electrónico de validacióncontiene instrucciones para confirmar que el propietario del dominio o un representante designado aprueba

Version 1.018

Page 25: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioBase de datos WHOIS

el certificado de ACM. Para obtener más información, consulte Uso del correo electrónico para validar queusted es el propietario del dominio (p. 31). Si tiene problemas con el correo electrónico de validación,consulte Solución de problemas del correo electrónico (p. 99).

Base de datos WHOISLa base de datos WHOIS contiene la información de contacto del dominio. Para validar su identidad,ACM envía un correo electrónico a las siguientes tres direcciones de WHOIS. Debe asegurarse de quesu información de contacto es pública o que el correo electrónico que se envía a una dirección oculta sereenvía a su dirección de correo electrónico real.

• Titularidad del dominio• Contacto técnico• Contacto administrativo

Registro MXAl registrar su dominio, el registrador envía su registro de intercambio de correo (MX) a un servidor delsistema de nombres de dominio (DNS). Un registro MX indica qué servidores aceptan correo electrónicopara su dominio. El registro contiene un nombre de dominio completo (FQDN). Puede solicitar uncertificado para dominios o subdominios de ápex.

Por ejemplo, si utiliza la consola para solicitar un certificado para abc.xyz.example.com, ACM primerointenta encontrar el registro MX de dicho subdominio. Si no se puede encontrar el registro, ACM realizauna búsqueda MX de xyz.example.com. Si no puede encontrar el registro, ACM realiza una búsqueda MXde example.com. En caso de que no se pueda encontrar el registro o de que no exista ningún registro MX,ACM elige el dominio original para el que solicitó el certificado (abc.xyz.example.com en este ejemplo). Acontinuación ACM envía un correo electrónico estas las cinco direcciones comunes de administración delsistema para el dominio o subdominio:

• administrator@su_nombre_de_dominio

• hostmaster@su_nombre_de_dominio

• postmaster@su_nombre_de_dominio

• webmaster@su_nombre_de_dominio

• admin@su_nombre_de_dominio

Si utiliza la operación API RequestCertificate o el comando request-certificate de la AWS CLI, AWS norealiza una búsqueda del registro MX. En su lugar, RequestCertificate le permite especificar tantoel nombre de dominio como el nombre de un dominio de validación. Si especifica el parámetro opcionalValidationDomain, AWS envía aquí los cinco mensajes de correo electrónico anteriores en lugar deenviarlos a su dominio.

ACM siempre envía el correo electrónico de validación a las cinco direcciones comunes mostradasanteriormente si utiliza la consola, la API o la AWS CLI. Sin embargo, AWS solo realiza una búsqueda delregistro MX cuando utiliza la consola para solicitar un certificado.

Si no recibe un correo electrónico de validación, consulte No he recibido el correo electrónico devalidación (p. 100) para obtener información sobre las posibles causas y soluciones provisionales.

(Opcional) Configuración de un registro de CAASi lo desea, puede configurar un registro de DNS de autorización de la autoridad de certificación (CAA)para especificar que se permite a AWS Certificate Manager (ACM) emitir un certificado para su dominio

Version 1.019

Page 26: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario(Opcional) Configuración de una CAA

o subdominio. Después de validar su dominio, ACM comprueba la presencia de registros de CAA paraasegurarse de que puede emitir un certificado para usted. Puede elegir no configurar ningún registro deCAA para su dominio o dejar en blanco el registro si no desea permitir que ACM realice la comprobaciónde CAA. Un registro de CAA contiene los siguientes campos de datos:

flags

Especifica si ACM admite el valor del campo tag. Establezca este valor en 0.etiqueta

El campo tag puede tener uno de los siguientes valores. Tenga en cuenta que el campo iodef se omiteactualmente.issue

Indica que la CA de ACM especificada en el campo value tiene autorización para emitir uncertificado para su dominio o subdominio.

issuewild

Indica que la CA de ACM especificada en el campo value tiene autorización para emitir uncertificado comodín para su dominio o subdominio. Un certificado comodín se aplica al dominio osubdominio y a todos sus subdominios.

value

El valor de este campo depende del valor del campo tag. Debe incluir este valor entre comillas ("").Cuando tag es issue

El campo value contiene el nombre de dominio de la CA. Este campo puede contener el nombrede una CA que no sea una CA de Amazon. No obstante, si no dispone de un registro de CAA queespecifique una de las cuatro CA de Amazon siguientes, ACM no puede emitir un certificado parasu dominio o subdominio:• amazon.com• amazontrust.com• awstrust.com• amazonaws.com

El campo value también puede contener un punto y coma (;) para indicar que no se debe permitira la CA emitir un certificado para su dominio o subdominio. Utilice este campo si en algúnmomento decide que ya no desea que se le emita un certificado para un dominio determinado.

Cuando tag es issuewild

El campo value es igual que cuando tag es issue salvo que el valor se aplica a los certificadoscomodín.

Example Ejemplos de registros de CAA

En los siguientes ejemplos, su nombre de dominio aparece primero seguido del tipo de registro (CAA).El campo flags siempre es 0. El campo tags puede ser issue o issuewild. Si el campo es issue y escribeel nombre de dominio de un servidor de CA en el campo value, el registro de CAA indica que el servidorespecificado tiene permiso para emitir el certificado solicitado. Si escribe un punto y coma ";" en el campovalue, el registro de CAA indica que ninguna CA tiene permiso para emitir un certificado. La configuraciónde los registros de CAA varía en función del proveedor de DNS.

Domain Record type Flags Tag Value

example.com. CAA 0 issue "SomeCA.com"

Version 1.020

Page 27: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario(Opcional) Configuración de una CAA

example.com. CAA 0 issue "amazon.com"example.com. CAA 0 issue "amazontrust.com"example.com. CAA 0 issue "awstrust.com"example.com. CAA 0 issue "amazonaws.com"example.com CAA 0 issue ";"

Para obtener más información sobre cómo añadir o modificar registros de DNS, consulte con el proveedorde DNS. Route 53 admite registros de CAA. Si Route 53 es su proveedor de DNS, consulte Formato deCAA para obtener más información sobre la creación de un registro.

Version 1.021

Page 28: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioSolicitud de un certificado público

IntroducciónInicie sesión en la consola de administración de AWS y abra la consola de ACM en https://console.aws.amazon.com/acm/home. Si aparece la página de introducción, elija Get Started. De locontrario, elija Certificate Manager o Private CAs (CA privadas) en el panel de navegación izquierdo.

ACM admite certificados SSL/TLS que se puede utilizar para habilitar la comunicación segura a travésde Internet o de una red interna. Puede solicitar un certificado de confianza pública emitido por ACM oimportar un certificado. Los certificados importados pueden estar emitidos por un tercero y ser de confianzapública, o pueden estar autofirmados. También puede utilizar la consola de ACM para solicitar que seauna entidad de certificación (CA) privada de su organización la que emita un certificado privado. Deforma predeterminada no se confía en los certificados privados. Los administradores deben instalarlos enalmacenes de confianza del cliente.

En esta documentación se explican principalmente los certificados públicos de ACM y de terceros.También se describe cómo emitir un certificado privado mediante una CA privada existente. Para obtenermás información acerca de la creación y el uso de una CA privada, consulte AWS Certificate ManagerPrivate Certificate Authority.

Temas• Solicitud de un certificado público (p. 22)• Solicitud de un certificado privado (p. 24)• Exportación de un certificado privado (p. 26)• Uso de DNS para validar que usted es el propietario del dominio (p. 27)• Uso del correo electrónico para validar que usted es el propietario del dominio (p. 31)• Enumerar certificados administrados por ACM (p. 35)• Describir certificados de ACM (p. 37)• Borrar certificados administrados por ACM (p. 39)• Instalar Certificados de ACM (p. 39)• Volver a enviar el correo electrónico de validación (opcional) (p. 39)

Solicitud de un certificado públicoEn las secciones siguientes se explica cómo utilizar la consola de ACM o la AWS CLI para solicitar uncertificado público de ACM. Si tiene problemas para solicitar un certificado, consulte Solucionar problemasde solicitud de certificados (p. 103). Si tiene problemas para solicitar un certificado para un dominio .IO,consulte Solución de problemas de dominios .IO (p. 106). Para solicitar un certificado privado mediantesu entidad de certificación (CA) privada, consulte Solicitud de un certificado privado (p. 24).

Temas• Solicitud de un certificado público mediante la consola (p. 22)• Solicitud de un certificado público mediante la CLI (p. 24)

Solicitud de un certificado público mediante la consolaPara solicitar un certificado público de ACM (consola)

1. Inicie sesión en la consola de administración de AWS y abra la consola de ACM en https://console.aws.amazon.com/acm/home.

Version 1.022

Page 29: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioSolicitud de un certificado público mediante la consola

2. En la página Request a certificate, escriba su nombre de dominio. Puede utilizar un nombre dedominio completo (FQDN) como www.example.com o un nombre de dominio desnudo o ápexcomo example.com. También puede utilizar un asterisco (*) como comodín en la posición más a laizquierda para proteger varios nombres de sitio del mismo dominio. Por ejemplo, *.example.comprotege corp.example.comy images.example.com. El nombre comodín aparecerá en el campoSubject (Sujeto) y en la extensión Subject Alternative Name (Nombre alternativo de sujeto) delcertificado de ACM.

Note

Cuando solicita un certificado de comodín, el asterisco (*) debe encontrarse en la posiciónmás a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Porejemplo, *.example.com puede proteger login.example.com y test.example.com,pero no puede proteger test.login.example.com. Tenga en cuenta también que*.example.com protege solo los subdominios de example.com. No protege el dominiodesnudo o ápex (example.com). Para proteger ambos, consulte el siguiente paso.

3. Para añadir más nombres de dominio al certificado de ACM, elija Add more names (Añadir másnombres) y escriba otro nombre de dominio en el cuadro de texto que se abrirá. Esto resulta útil paraproteger tanto los dominios desnudos como los ápex (como example.com) y sus subdominios (*.example.com).

4. Una vez que haya introducido los nombres de dominio válidos, elija Review and Request o Cancelpara salir.

Important

A menos que decida desactivarlo, el certificado se registrará automáticamente al menos endos bases de datos públicas de transparencia de los certificados. Actualmente no puedeutilizar la consola para desactivarlo. Para ello debe utilizar la AWS CLI o la API. Para obtenermás información, consulte Desactivación del registro de transparencia de certificados (p. 14).Para obtener información general sobre los logs de transparencia, consulte Registro detransparencia de certificados (p. 4).

5. Si la página de revisión contiene la información correcta proporcionada para su solicitud, elija Confirmand request. La siguiente página muestra que el estado de su solicitud está pendiente de validación.

Antes de que ACM emita un certificado, valida que usted es el propietario o controla los nombres dedominio incluidos en la solicitud de certificado. Puede usar la validación por correo electrónico o lavalidación por DNS. Si elige la validación por correo electrónico, ACM envía un correo electrónico atres direcciones de contacto registradas en la base de datos WHOIS y a cinco direcciones comunes deadministración del sistema para cada nombre de dominio. Usted o un representante autorizado deberesponder a uno de estos mensajes de correo electrónico. Para obtener más información, consulteUso del correo electrónico para validar que usted es el propietario del dominio (p. 31). Si utilizala validación por DNS, solo tiene que escribir un registro CNAME proporcionado por ACM en suconfiguración de DNS. Para obtener más información sobre la validación por DNS, consulte Uso deDNS para validar que usted es el propietario del dominio (p. 27).

Note

Si no puede editar su configuración de DNS, le recomendamos que utilice la validación dedominios de DNS en lugar de la validación por correo electrónico. La validación por DNSVersion 1.0

23

Page 30: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioSolicitud de un certificado público mediante la CLI

presenta varias ventajas con respecto a la validación por correo electrónico. Consulte Uso deDNS para validar que usted es el propietario del dominio (p. 27).

Solicitud de un certificado público mediante la CLIUtilice el comando request-certificate para solicitar un nuevo certificado público de ACM en la línea decomandos.

aws acm request-certificate \--domain-name www.example.com \--validation-method DNS \--idempotency-token 1234 \--options CertificateTransparencyLoggingPreference=DISABLED

Este comando devuelve el nombre de recurso de Amazon (ARN) del nuevo certificado privado.

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}

Solicitud de un certificado privadoEn las secciones siguientes se explica cómo se utiliza la consola de ACM o la CLI de ACM PCA parasolicitar un certificado privado a una entidad de certificación (CA) privada existente. Para obtener másinformación acerca de la creación de una CA privada, consulte el artículo sobre cómo crear una entidad decertificación privada.

Los certificados privados emitidos por ACM son parecidos a los certificados públicos emitidos por ACM.Los certificados tienen las siguientes restricciones:

• Debe utilizar los nombres de sujeto de DNS. Para obtener más información, consulte Nombres dedominio (p. 5)

• Solo puede utilizar un algoritmo RSA de clave privada de 2048 bits.• El único algoritmo de firma que se admite es SHA256WithRSAEncryption.• Cada certificado tiene una validez de 13 meses.• La CA privada debe estar activa y el tipo de clave privada de CA debe ser RSA 2048 o RSA 4096.• ACM renueva el certificado de forma automática, si es posible, después de 11 meses.

Los certificados privados emitidos por ACM PCA no tienen las restricciones anteriores. Puede utilizar suCA privada para crear certificados que tengan cualquier nombre de sujeto y que usen cualquiera de losalgoritmos de clave privada, algoritmos de firma y periodos de validez admitidos. Esto resulta beneficiososi debe identificar un sujeto por un nombre específico o si no puede rotar los certificados fácilmente. Paraobtener más información, consulte el artículo sobre cómo emitir un certificado privado.

Temas• Solicitud de un certificado privado mediante la consola (p. 25)• Solicitud de un certificado privado mediante la CLI (p. 25)

Version 1.024

Page 31: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioSolicitud de un certificado privado mediante la consola

Solicitud de un certificado privado mediante la consola1. Inicie sesión en la consola de administración de AWS y abra la consola de ACM en https://

console.aws.amazon.com/acm/home.2. Seleccione Request a private certificate (Solicitar un certificado privado) y, a continuación, elija

Request a certificate (Solicitar un certificado).3. Seleccione la CA privada en la lista desplegable. La información sobre la CA se completa debajo de la

lista para ayudarle a comprobar que ha elegido la CA que desea.

Note

La consola de ACM muestra Ineligible (No válida) para las CA privadas con claves ECDSA.4. Seleccione Siguiente.5. En la página Request a certificate (Solicitar un certificado), escriba un nombre de dominio. Puede

utilizar un nombre de dominio completo (FQDN) como www.example.com o un nombre de dominiodesnudo o ápex como example.com. También puede utilizar un asterisco (*) como comodínen la posición más a la izquierda para proteger varios nombres de sitio del mismo dominio. Porejemplo, *.example.com protege corp.example.comy images.example.com. El nombrecomodín aparecerá en el campo Subject (Sujeto) y en la extensión Subject Alternative Name (Nombrealternativo de sujeto) del certificado de ACM.

Note

Cuando solicita un certificado de comodín, el asterisco (*) debe encontrarse en la posiciónmás a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Porejemplo, *.example.com puede proteger login.example.com y test.example.com,pero no puede proteger test.login.example.com. Tenga en cuenta también que*.example.com protege solo los subdominios de example.com. No protege el dominiodesnudo o ápex (example.com). Para proteger ambos, consulte el siguiente paso.

6. Para añadir más nombres de dominio al certificado de ACM, elija Add more names (Añadir másnombres) y escriba otro nombre de dominio en el cuadro de texto que se abrirá. Esto resulta útil paraproteger tanto los dominios desnudos como los ápex (como example.com) y sus subdominios (*.example.com).

7. Una vez que haya introducido nombres válidos, elija Review and Request (Revisar o solicitar) oCancel (Cancelar) para salir.

8. Consulte la página Review (Revisión) para asegurarse de que todo está bien y, a continuación, elijaConfirm and request (Confirmar y solicitar).

Note

No es necesario validar un certificado privado.

Solicitud de un certificado privado mediante la CLIUtilice el comando request-certificate para solicitar un certificado privado en ACM.

aws acm request-certificate \--domain-name www.example.com \--idempotency-token 12563 \--options CertificateTransparencyLoggingPreference=DISABLED \--certificate-authority-arn arn:aws:acm-pca:region:account:\certificate-authority/12345678-1`234-1234-1234-123456789012

Este comando devuelve el nombre de recurso de Amazon (ARN) del nuevo certificado privado.Version 1.0

25

Page 32: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioExportación de un certificado privado

{ "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"}

Exportación de un certificado privadoPuede exportar un certificado privado para utilizarlo en cualquier lugar. Puede exportar el certificado, lacadena de certificados y la clave privada cifrada. Debe almacenar la clave privada en un lugar seguro. Laclave está relacionada con la clave pública incorporada en el certificado.

La clave privada es una clave RSA 2048 bits. Puede utilizar el siguiente comando de OpenSSL paradescifrarla. Proporcione la frase de contraseña cuando se le solicite.

openssl rsa -in encrypted_key.pem -out decrypted_key.pem

Temas• Exportación de un certificado privado mediante la consola (p. 26)• Exportación de un certificado privado mediante la CLI (p. 26)

Exportación de un certificado privado mediante laconsola1. Inicie sesión en la consola de administración de AWS y abra la consola de ACM en https://

console.aws.amazon.com/acm/home.2. Elija Certificate Manager3. Seleccione el certificado que desea exportar.4. En el menú Actions (Acciones), elija Export (private certificates only) (Exportar (solo certificados

privados)).5. Escriba y confirme una frase de contraseña para la clave privada.6. Elija Generate PEM Encoding (Generar codificación PEM).7. Puede copiar el certificado, la cadena de certificados y la clave cifrada en la memoria o elegir Export to

a file (Exportar a un archivo) para cada uno de ellos.8. Seleccione Listo.

Exportación de un certificado privado mediante la CLIUtilice el comando export-certificate para exportar un certificado privado y la clave privada. Para mayorseguridad, almacene la frase de contraseña de forma segura en un archivo antes de usar este comando.Esto impide que la frase de contraseña se almacene en el historial de comandos y que otras personas lavean mientras la escribe.

aws acm export-certificate --certificate-arn \arn:aws:acm:region:account:\certificate/12345678-1234-1234-1234-123456789012 \--passphrase --file://path-to-passphrase-file

Este comando genera el certificado, la cadena de certificados y la clave privada en formato PEMcodificados en base64. La clave privada se genera con la sintaxis de PKCS #8.

Version 1.026

Page 33: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación con DNS

{ "PrivateKey": "-----BEGIN ENCRYPTED PRIVATE KEY----- ...PKCS8 Base64-encoded encrypted private key ... -----END ENCRYPTED PRIVATE KEY-----", "CertificateChain": "-----BEGIN CERTIFICATE----- ...Base64-encoded certificate... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ...Base64-encoded private key... -----END CERTIFICATE-----", "Certificate": "-----BEGIN CERTIFICATE----- ...Base64-encoded certificate... -----END CERTIFICATE-----"}

Para generar todo en un archivo, utilice el redirector > como se muestra en el siguiente ejemplo.

aws acm export-certificate --certificate-arn \arn:aws:acm:region:account:\certificate/12345678-1234-1234-1234-123456789012 \--passphrase file://path-to-passphrase-file\> c:\temp\export.txt

Uso de DNS para validar que usted es el propietariodel dominio

Para que la entidad de certificación (CA) de Amazon pueda emitir un certificado para su sitio, AWSCertificate Manager (ACM) debe verificar que usted es el propietario o controla todos los nombres dedominio que ha especificado en la solicitud. Puede elegir entre la validación por correo electrónico o lavalidación por DNS cuando solicita un certificado. En este tema se explica la validación por DNS. Paraobtener información sobre la validación por correo electrónico, consulte Uso del correo electrónico paravalidar que usted es el propietario del dominio (p. 31).

Note

La validación se aplica únicamente a los certificados proporcionados por AWS Certificate Manager(ACM). ACM no valida la propiedad del dominio para los certificados importados (p. 47).

El sistema de nombres de dominio (DNS) es un servicio de directorio para los recursos conectados a unared. En Internet, los servidores DNS se utilizan principalmente para convertir los nombres de dominio endirecciones IP numéricas que identifican y buscan recursos, como equipos y otros dispositivos. Las basesde datos de los servidores DNS contienen registros de dominio que se utilizan para esta conversión y parahabilitar otras funciones. Por ejemplo, los registros A son un tipo de registro de DNS que se utiliza paraasignar nombres de dominio a las direcciones IPV4. Los registros MX se utilizan para enrutar el correoelectrónico. Los registros NS muestran todos los servidores de nombres del dominio.

ACM utiliza los registros CNAME (nombre canónico) para validar que usted es el propietario o controlaun dominio. Cuando elige la validación por DNS, ACM le proporciona uno o varios registros CNAMEpara que los inserte en su base de datos de DNS. Por ejemplo, si solicita un certificado para el dominioexample.com con www.example.com como nombre adicional, ACM crea dos registros CNAME parausted. Cada registro, creado específicamente para su dominio y su cuenta, contiene un nombre y unvalor. El valor es un alias que apunta a un dominio que ACM posee y que ACM utiliza para renovarautomáticamente su certificado. Los registros CNAME se añaden a la base de datos de DNS una sola

Version 1.027

Page 34: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación con DNS

vez. ACM renueva automáticamente su certificado, siempre y cuando esté en uso y su registro CNAMEsiga existiendo. Además, si utiliza Amazon Route 53 para crear el dominio, ACM puede crear los registrosCNAME por usted.

En la siguiente tabla se muestran ejemplos de registros CNAME para cinco nombres dedominio. Los valores _x son cadenas largas aleatorias generadas por ACM. Por ejemplo_3639ac514e785e898d2646601fa951d5.example.com representa un nombre generado. Tengaen cuenta que los dos primeros valores _x de la tabla son iguales. Es decir, la cadena aleatoria creadapor ACM para el nombre comodín *.example.com es la misma que la creada para el nombre dedominio base example.com. Tenga también en cuenta que ACM crea registros CNAME distintos paraexample.com y www.example.com.

Domain name(Nombre deldominio)

Zona DNS Nombre Tipo Valor

*.example.com example.com _x1.example.com CNAME _x2.acm-validations.aws

example.com example.com _x1.example.com CNAME _x2.acm-validations.aws

www.ejemplo.com example.com _x3.www.example.comCNAME _x4.acm-validations.aws

host.example.com example.com _x5.host.example.comCNAME _x6.acm-validations.aws

subdomain.example.comsubdomain.example.com_x7.subdomain.example.comCNAME _x8.acm-validations.aws

host.subdomain.example.comsubdomain.example.com_x9.host.subdomain.example.comCNAME _x10.acm-validations.aws

La validación por DNS tiene una serie de ventajas con respecto a la validación por correo electrónico:

• La validación por DNS requiere que cree únicamente un registro CNAME por cada nombre de dominiocuando solicite un certificado de ACM. La validación por correo electrónico envía hasta ocho mensajesde correo electrónico por nombre de dominio.

• Puede solicitar certificados de ACM adicionales para su FQDN mientras su registro de DNS sigaexistiendo. Es decir, puede crear varios certificados que tengan el mismo nombre de dominio. Nonecesita obtener un nuevo registro CNAME. Puede haber muchos motivos para hacerlo. Es posible que,por ejemplo, necesite certificados nuevos para diferentes subdominios. Puede que le interese crear elmismo certificado en varias regiones (el token de validación funciona para cualquier región). O puedeque desee sustituir un certificado que ha eliminado.

• ACM renueva automáticamente los certificados de ACM que ha validado mediante la utilización de DNS.ACM renueva cada certificado antes de que caduque, siempre y cuando esté en uso y el registro deDNS siga existiendo.

• ACM puede añadir el registro CNAME por usted si utiliza Route 53 para administrar sus registros deDNS públicos.

• Puede automatizar más fácilmente el proceso de validación por DNS que el proceso de validación porcorreo electrónico.

Tenga en cuenta, sin embargo, que puede ser necesario utilizar la validación por correo electrónico si notiene permiso para modificar los registros de DNS del dominio.

Version 1.028

Page 35: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación con DNS

Para utilizar la validación por DNS:

1. Inicie sesión en la consola de administración de AWS y abra la consola de ACM en https://console.aws.amazon.com/acm/home. Si aparece la página de introducción, elija Get Started. De locontrario, elija Request a certificate.

2. En la página Request a certificate, escriba su nombre de dominio. Para obtener más informaciónacerca de cómo escribir nombres de dominio, consulte Solicitud de un certificado público (p. 22).

3. Para añadir más nombres de dominio al certificado de ACM, escriba otros nombres como cuadros detexto abiertos bajo el nombre que acaba de escribir.

4. Seleccione Siguiente.5. Elija DNS validation.6. Elija Review and request. Compruebe que el nombre de dominio y el método de validación son

correctos.7. Elija Confirm and request.8. En la página Validation, expanda la información del dominio o elija Export DNS configuration to a file.

Si expande la información del dominio, ACM muestra el nombre y valor del registro CNAME que debeañadir a la base de datos de DNS para validar que usted controla el dominio.

9. Aparece el botón Create record in Route 53 si se cumplen las siguientes condiciones:

• Usa Route 53 como su proveedor de DNS.• Aloja el dominio en Route 53.• Tiene permiso para escribir en la zona hospedada de Route 53.• Su FQDN aún no se ha validado.

Si su FQDN ya se ha validado o si no tiene permiso para escribir en la zona hospedada deRoute 53 para el nombre de dominio que está solicitando, el botón Create record in Route 53 estarádeshabilitado. Para obtener más información acerca de los conjuntos de recursos de Route 53,consulte Trabajar con conjuntos de registros de recursos.

Version 1.029

Page 36: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación con DNS

Note

Actualmente, no puede solicitar mediante programación que ACM cree automáticamente suregistro en Route 53. Sin embargo, puede realizar una llamada de AWS CLI o API a Route 53para crear el registro.

10. Añada el registro de la consola o el archivo exportado a su base de datos. Para obtener másinformación acerca de cómo añadir registros de DNS, consulte Añadir un registro CNAME a la base dedatos (p. 31). Puede elegir Continue para omitir este paso. Puede volver a él más tarde abriendo lasolicitud de certificado en la consola.

Note

Si su FQDN se validó cuando solicitó un certificado anterior y solicita otro certificado para elmismo FQDN, no es necesario que añada otro registro de DNS.

Note

Añadir un registro CNAME que contiene un nombre de dominio (como, por ejemplo.example.com) podría provocar la duplicación del nombre de dominio (como, porejemplo .example.com.example.com). Para evitar la duplicación, puede copiarmanualmente solo la parte del CNAME que necesita y que podría tener el siguiente aspecto_3639ac514e785e898d2646601fa951d5.

11. Después de actualizar la configuración de DNS, seleccione Continue. ACM muestra una vista de tablaque incluye todos los certificados. Se muestra el certificado que ha solicitado y su estado. Una vezque su proveedor de DNS propague la actualización del registro, ACM puede tardar varias horas envalidar el nombre de dominio y emitir el certificado. Durante este tiempo, ACM muestra el estado devalidación como Pending validation. Después de validar el nombre de dominio, ACM cambia el estadode validación a Success. Cuando AWS emite el certificado, ACM cambia el estado a Issued.

Note

Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momentoen que genera un valor de CNAME por usted, ACM cambia el estado del certificado aValidation timed out. La razón más probable de este resultado es que no actualizó laconfiguración DNS con el valor que ACM generó. Para solucionar este problema, debesolicitar un certificado nuevo.

Version 1.030

Page 37: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAñadir un registro CNAME a la base de datos

Añadir un registro CNAME a la base de datosPara utilizar la validación por DNS, debe poder añadir un registro CNAME a la configuración de DNS de sudominio. Si Route 53 no es su proveedor de DNS, póngase en contacto con su proveedor para saber cómoañadir registros. Si Route 53 es su proveedor, ACM puede crear el registro CNAME por usted tal y comose ha descrito anteriormente en el paso 9. Si desea añadir el registro usted mismo, consulte Edición de losconjuntos de registros de recursos en la Guía para desarrolladores de Route 53.

Note

Si no tiene permiso para editar la configuración de DNS, debe utilizar la validación por correoelectrónico.

Eliminación de un registro CNAME de la base dedatosACM renueva automáticamente su certificado mientras esté en uso y el registro CNAME que creóACM por usted siga estando en su base de datos de DNS. Puede detener la renovación automáticaeliminando el certificado del servicio de AWS con el que está asociado o eliminando el registro CNAME. SiRoute 53 no es su proveedor de DNS, póngase en contacto con su proveedor para saber cómo eliminarel registro. Si Route 53 es su proveedor, consulte Eliminación de conjuntos de registros de recursosen la Guía para desarrolladores de Route 53. Para obtener más información sobre la renovación decertificados administrados, consulte Renovación administrada para certificados emitidos por Amazon deACM (p. 41).

Uso del correo electrónico para validar que usted esel propietario del dominio

Para que la entidad de certificación (CA) de Amazon pueda emitir un certificado para su sitio, AWSCertificate Manager (ACM) debe verificar que usted es el propietario o controla todos los dominios que haespecificado en la solicitud. Puede realizar la verificación mediante el correo electrónico o DNS. En estetema se explica la validación por correo electrónico. Para obtener información acerca de la validación porDNS, consulte Uso de DNS para validar que usted es el propietario del dominio (p. 27).

Note

La validación se aplica únicamente a los certificados proporcionados por AWS Certificate Manager(ACM). ACM no valida la propiedad del dominio para los certificados importados (p. 47). Sitiene problemas para validar un certificado de ACM, consulte Solución de problemas de validaciónde certificados (p. 106). Si no recibe ningún correo electrónico, consulte No he recibido el correoelectrónico de validación (p. 100).

AWS Certificate Manager (ACM) envía un mensaje de correo electrónico a las tres direcciones de contactoque se indican en WHOIS y a cinco direcciones del sistema comunes para cada dominio que especifique.Es decir, se enviarán hasta ocho mensajes de correo electrónico para cada dominio y nombre alternativode sujeto que incluya en su solicitud. Por ejemplo, si especifica 1 solo nombre de dominio, recibirá hasta 8mensajes de correo electrónico. Para validar, debe actuar sobre uno de estos ocho mensajes en un plazode 72 horas. Si especifica 3 nombres de dominio, recibirá hasta 24 mensajes. Para validar, debe actuarsobre al menos tres de estos mensajes de correo electrónico, uno por cada nombre especificado, en unplazo de 72 horas.

Se envía un correo electrónico a las siguientes tres direcciones de contacto registradas en WHOIS:

Version 1.031

Page 38: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación con el correo electrónico

• Titularidad del dominio• Contacto técnico• Contacto administrativo

Note

Algunos registradores permiten ocultar la información de contacto en los listados de WHOIS yotros permiten sustituir la dirección de correo electrónico por una dirección privada (o proxy).Para evitar problemas en la recepción del correo electrónico de validación de dominio de ACM,asegúrese de que la información de contacto esté visible en WHOIS. Si el listado de WHOISmuestra una dirección de correo electrónico privada, asegúrese de que el correo electrónicoenviado a dicha dirección se reenvíe a la dirección de correo electrónico real. O simplementeincluya su dirección de correo electrónico real.

Si utiliza la consola para solicitar un certificado, ACM realiza una búsqueda del registro MX paradeterminar qué servidores aceptan correo electrónico para su dominio y envía un correo electrónico alas cinco direcciones del sistema comunes siguientes para el primer dominio encontrado. Si utiliza la APIRequestCertificate o el comando request-certificate de la AWS CLI, ACM no realiza una búsqueda delregistro MX. En su lugar, envía un correo electrónico al nombre de dominio especificado en el parámetroDomainName o en el parámetro opcional ValidationDomain. Para obtener más información, consulteRegistro MX (p. 19).

• administrator@su_nombre_de_dominio

• hostmaster@su_nombre_de_dominio

• postmaster@su_nombre_de_dominio

• webmaster@su_nombre_de_dominio

• admin@su_nombre_de_dominio

Para obtener más información sobre cómo ACM determina las direcciones de correo electrónico para susdominios, consulte (Opcional) Configuración del correo electrónico para su dominio (p. 18).

La consola muestra el destino de los mensajes de correo electrónico de validación para elprimer nombre de dominio especificado en la solicitud. El correo electrónico se envía desde [email protected].

Version 1.032

Page 39: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación con el correo electrónico

Note

Existe una excepción al proceso descrito anteriormente. Si solicita un certificado de ACM paraun nombre de dominio que empiece por www o un asterisco de comodín (*), ACM elimina lasletras www o el asterisco del principio y envía un correo a las direcciones administrativas. Estasdirecciones se forman agregando el prefijo admin@, administrator@, hostmaster@, postmaster@y webmaster@, a la parte restante del nombre de dominio. Por ejemplo, si solicita un certificadode ACM para www.example.com, se envía un correo electrónico a [email protected] envez de hacerlo a [email protected]. Del mismo modo, si solicita un certificado de ACMpara *.test.example.com, se envía un correo electrónico a [email protected]. El resto dedirecciones administrativas comunes se forman de manera similar.

Note

Asegúrese de que se envía el correo electrónico a las direcciones administrativas de undominio ápex, como example.com, en lugar de hacerlo a las direcciones administrativas de unsubdominio como test.example.com. Para hacerlo, especifique la opción ValidationDomainde la API RequestCertificate o el comando request-certificate de la AWS CLI. Esta característicano se admite actualmente cuando utiliza la consola para solicitar un certificado.

El siguiente ejemplo muestra el correo electrónico de validación que se envía por cada nombre de dominioespecificado en la solicitud de certificado.

Version 1.033

Page 40: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación con el correo electrónico

Elija el enlace que le envía al sitio web de aprobaciones de certificados de Amazon y, a continuación, elijaApprove.

Después de elegir Approve, se abre un sitio web para indicar que la solicitud se ha realizadocorrectamente.

Version 1.034

Page 41: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioEnumerar certificados

Puede volver a la consola de ACM haciendo clic en un enlace en la página de éxito. ACM puede tardarvarias horas en validar el nombre de dominio y emitir el certificado. Durante este tiempo, ACM muestra elestado de validación como Pending validation. Después de validar el nombre de dominio, ACM cambia elestado de validación a Success. Cuando AWS emite el certificado, ACM cambia el estado a Issued.

Enumerar certificados administrados por ACMPuede utilizar la consola de ACM o la AWS CLI para enumerar los certificados administrados por ACM.

Temas• Enumerar certificados (consola) (p. 35)• Enumerar certificados (CLI) (p. 36)

Enumerar certificados (consola)Mostrar la información del certificadoCada certificado ocupa una fila en la consola. De forma predeterminada, se muestran las siguientescolumnas en cada certificado:

• Domain Name: el nombre de dominio totalmente cualificado para el certificado.• Additional Names: nombres adicionales compatibles con este certificado.• Status: estado del certificado. Puede ser cualquiera de los siguientes valores:

Version 1.035

Page 42: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioEnumerar certificados (CLI)

• Pending validation• Issued• Inactivo• Expired• Revoked• Error• Timed out

• In Use? si el certificado de ACM se relaciona activamente con un servicio AWS como Elastic LoadBalancing o CloudFront. El valor puede ser No o Yes.

Personalizar la pantalla de la consola

Puede seleccionar las columnas que desee visualizar eligiendo el icono del engranaje ( ) de laesquina superior derecha de la consola. Puede seleccionar de entre las siguientes columnas.

Enumerar certificados (CLI)Puede utilizar el comando list-certificates para obtener una lista de los certificados administrados por ACM.

aws acm list-certificates --max-items 10

El comando list-certificates produce la siguiente información.

{ "CertificateSummaryList": [ { "CertificateArn": "arn:aws:acm:region:account:certificate/123456789012-1234-1234-1234-12345678", "DomainName": "example.com" }, { "CertificateArn": "arn:aws:acm:region:account:certificate/123456789012-1234-1234-1234-12345678", "DomainName": "mydomain.com" } ]

Version 1.036

Page 43: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDescribir certificados

}

De forma predeterminada, solo se enumeran los certificados compatibles con los Servicios integrados conAWS Certificate Manager (p. 9). Es decir, solo se devuelven los certificados con keyTypes RSA_1024 yRSA_2048. Para ver otros certificados de los que es propietario o que controla que utilizan un algoritmoy tamaño bits diferentes, utilice el parámetro --includes como se muestra en el siguiente ejemplo. Elparámetro le permite especificar un miembro de la estructura Filtros.

aws acm list-certificates --max-items 10 --includes keyTypes=RSA_4096

Describir certificados de ACMPuede utilizar la consola de ACM o la AWS CLI para enumerar los metadatos sobre sus certificados.

Temas• Describir certificados (consola) (p. 37)• Describir certificados (CLI) (p. 37)

Describir certificados (consola)Para mostrar los metadatos del certificado, seleccione la flecha situada a la izquierda inmediata del nombrede dominio. La consola muestra información similar a la siguiente.

Describir certificados (CLI)Puede utilizar el AWS CLI para obtener información acerca de un certificado expedido, eliminar uncertificado o volver a enviar el correo electrónico de validación.

Recuperar los campos de certificado de ACMPuede utilizar el comando describe-certificate para enumerar los metadatos de un certificado.

Version 1.037

Page 44: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDescribir certificados (CLI)

aws acm describe-certificate --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012

El comando describe-certificate produce la siguiente información.

{ "Certificate": { "CertificateArn": "arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012", "Status": "EXPIRED", "Options": { "CertificateTransparencyLoggingPreference": "ENABLED" }, "SubjectAlternativeNames": [ "example.com", "www.example.com" ], "DomainName": "gregpe.com", "NotBefore": 1450137600.0, "RenewalEligibility": "INELIGIBLE", "NotAfter": 1484481600.0, "KeyAlgorithm": "RSA-2048", "InUseBy": [ "arn:aws:cloudfront::account:distribution/E12KXPQHVLSYVC" ], "SignatureAlgorithm": "SHA256WITHRSA", "CreatedAt": 1450212224.0, "IssuedAt": 1450212292.0, "KeyUsages": [ { "Name": "DIGITAL_SIGNATURE" }, { "Name": "KEY_ENCIPHERMENT" } ], "Serial": "07:71:71:f4:6b:e7:bf:63:87:e6:ad:3c:b2:0f:d0:5b", "Issuer": "Amazon", "Type": "AMAZON_ISSUED", "ExtendedKeyUsages": [ { "OID": "1.3.6.1.5.5.7.3.1", "Name": "TLS_WEB_SERVER_AUTHENTICATION" }, { "OID": "1.3.6.1.5.5.7.3.2", "Name": "TLS_WEB_CLIENT_AUTHENTICATION" } ], "DomainValidationOptions": [ { "ValidationEmails": [ "[email protected]", "[email protected]", "[email protected]", "[email protected]", "[email protected]" ], "ValidationDomain": "example.com", "DomainName": "example.com" }, { "ValidationEmails": [ "[email protected]",

Version 1.038

Page 45: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioBorrar certificados

"[email protected]", "[email protected]", "[email protected]", "[email protected]" ], "ValidationDomain": "www.example.com", "DomainName": "www.example.com" } ], "Subject": "CN=example.com" }}

Borrar certificados administrados por ACMPuede utilizar la consola de ACM o la AWS CLI para borrar un certificado.

Temas• Borrar certificados (consola) (p. 39)• Borrar certificados (CLI) (p. 39)

Borrar certificados (consola)En la lista de certificados, seleccione la casilla de verificación del certificado de ACM que desee borrar. En Actions, seleccione Delete.

Note

No puede eliminar un certificado de ACM que se esté utilizando en otro servicio de AWS. Paraeliminar un certificado que esté en uso, primero debe eliminar la asociación del certificado.

Borrar certificados (CLI)Puede utilizar el comando delete-certificate para enumerar los metadatos de un certificado.

aws acm delete-certificate --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-123456789012

Instalar Certificados de ACMNo puede utilizar ACM para instalar directamente su certificado de ACM en su aplicación o sitio webbasado en AWS. Debe utilizar uno de los servicios integrados con ACM. Para obtener más información,consulte Servicios integrados con AWS Certificate Manager (p. 9).

Volver a enviar el correo electrónico de validación(opcional)

Puede utilizar el correo electrónico para validar que usted es el propietario o controla un dominio. Cadacorreo electrónico contiene un token de validación que puede utilizar para aprobar una solicitud de

Version 1.039

Page 46: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioVolver a enviar el correo electrónico (consola)

certificado. No obstante, puesto que el correo electrónico de validación necesario para el proceso deaprobación puede ser bloqueado por filtros de spam o perderse en el camino, el token de validacióncaduca automáticamente después de 72 horas. Si no recibe el correo electrónico original o si el token havencido, puede solicitar que se vuelva a enviar el correo electrónico.

Temas• Volver a enviar el correo electrónico (consola) (p. 40)• Volver a enviar el correo electrónico (CLI) (p. 40)

Volver a enviar el correo electrónico (consola)Seleccione la casilla de verificación del certificado pendiente, elija Actions (Acciones) y, a continuación,elija Resend validation email (Volver a enviar el correo electrónico de validación). Si el periodo de 72 horasha expirado y el estado del certificado ha cambiado a Timed out, no podrá volver a enviar el correoelectrónico de validación.

Note

La información anterior se aplica únicamente a los certificados proporcionados por ACM yúnicamente a los certificados que utilizan la validación por correo electrónico. El correo electrónicode validación no es necesario para los certificados que importe a ACM (p. 47).

Note

El reenvío del correo electrónico de validación se aplica únicamente a los certificados que utilizanla validación por correo electrónico, no la validación por DNS. Para obtener más informaciónsobre la validación de dominios de DNS, consulte Uso de DNS para validar que usted es elpropietario del dominio (p. 27).

Volver a enviar el correo electrónico (CLI)Puede utilizar el comando resend-validation-email para enviar de nuevo el correo electrónico de validación.

aws acm resend-validation-email --certificate-arn arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012 --validation-domain example.com

Note

El comando resend-validation-email se aplica únicamente a los certificados de ACM para los queusa la validación por correo electrónico. La validación no es necesaria para los certificados que haimportado a ACM o para los certificados privados que administra mediante ACM.

Version 1.040

Page 47: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioValidación de dominio

Renovación administrada paracertificados emitidos por Amazon deACM

ACM proporciona renovación administrada para los certificados SSL/TLS que tenga y haya emitidoAmazon. Esto incluye tanto los certificados públicos como los privados emitidos mediante ACM. ACMintenta renovar los certificados antes de que expiren. Si es posible, ACM renueva los certificadosautomáticamente sin ninguna acción por su parte.

Note

La renovación automática no está disponible para los certificados de la CA privada de ACMpara los que ACM no crea la clave privada y la solicitud de firma de certificado (CSR), comolos certificados emitidos directamente desde su CA privada de ACM sin la administración decertificados de ACM. Además, la renovación automática tampoco está disponible para loscertificados importados (p. 47). Para obtener más información, consulte Cómo funciona lavalidación de dominio manual.Note

Cuando ACM renueva un certificado, el Nombre de recurso de Amazon (ARN) del certificadoseguirá siendo el mismo. Además, los certificados de ACM son recursos regionales (p. 9). Si tienecertificados para el mismo nombre de dominio en varias regiones de AWS, ACM renueva cadauno de estos certificados de manera independiente.Important

Su certificado de ACM debe estar asociado activamente con un servicio de AWS compatible paraque se pueda renovar automáticamente. Para obtener información acerca de los recursos queadmite ACM, consulte Servicios integrados con AWS Certificate Manager (p. 9).

Para obtener más información sobre la renovación de certificados administrados, consulte los siguientestemas. Si tienes problemas con la renovación administrada, consulte Solución de problemas de renovaciónadministrada de certificados (p. 105).

Temas• Cómo funciona la validación de dominios (p. 41)• Comprobar el estado de renovación de un certificado (p. 43)• Solicitar un correo electrónico de validación de dominio para renovación de certificado (p. 46)

Cómo funciona la validación de dominiosAntes de renovar un certificado, ACM intenta validar automáticamente cada nombre de dominiodel certificado. Para obtener más información, consulte Cómo funciona la validación automática dedominios (p. 42). Si ACM no puede validar automáticamente un nombre de dominio, le avisa de quedebe realizar las acciones necesarias para validarlo manualmente. Para obtener más información, consulteCuando la validación automática produce un error (p. 42). Si el certificado está en uso (asociado a unservicio de AWS integrado con ACM) y si todos los nombres de dominio del certificado se pueden validar,ACM renueva el certificado.

Temas• Cómo funciona la validación automática de dominios (p. 42)

Version 1.041

Page 48: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCómo funciona la validación automática de dominios

• Cuando la validación automática produce un error (p. 42)

Cómo funciona la validación automática de dominiosPara validar un dominio, ACM envía solicitudes HTTPS periódicas automatizada al mismo. Para losdominios que comienzan por www., ACM también envía solicitudes HTTPS al dominio principal. Porejemplo, si su dominio es www.example.com, ACM envía solicitudes periódicas a www.example.com yexample.com. Para los dominios que no comienzan por www., ACM también envía solicitudes de HTTPSa www.domain. ACM trata los nombres de dominio comodín (por ejemplo, *.example.com) de la mismamanera que el dominio principal. Para ver ejemplos, consulte la siguiente tabla.

Note

Si algún intento de conexión HTTPS es correcto, ACM intenta renovar el certificadoautomáticamente.

Ejemplos de nombres de dominio que ACM utiliza para la validación automática

Nombre de dominio en el certificado Nombres de dominio que ACM utiliza para lavalidación automática

example.com example.com

www.ejemplo.com

www.ejemplo.com www.ejemplo.com

example.com

*.example.com example.com

www.ejemplo.com

subdomain.example.com subdomain.example.com

www.subdomain.example.com

www.subdomain.example.com www.subdomain.example.com

subdomain.example.com

*.subdomain.example.com subdomain.example.com

www.subdomain.example.com

Si ACM establece correctamente una conexión HTTPS, ACM examina el certificado que es devuelto paragarantizar que coincida con el que ACM está renovando. Si el certificado coincide con, ACM consideravalidado el nombre de dominio.

Cuando la validación automática produce un errorSi ACM no puede validar automáticamente uno o más nombres de dominio en un certificado, ACM le avisade que debe realizar las acciones necesarias para validar manualmente el dominio. Un dominio puederequerir la validación manual por las siguientes razones:

• ACM no puede establecer una conexión HTTPS con el dominio.• El certificado que se devuelve en la respuesta a las solicitudes HTTPS no coincide con el que ACM está

renovando.

Version 1.042

Page 49: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioComprobación del estado de renovación

Cuando han pasado 45 días desde el vencimiento de su certificado y uno o más nombres de dominio delcertificado requieren validación manual, ACM le avisa de las siguientes formas:

Enviando un correo electrónico al propietario del dominio (validación por correo electrónico)

Si utilizó originalmente la validación por correo electrónico cuando solicitó el certificado, ACM envía uncorreo electrónico al propietario del dominio por cada nombre de dominio que requiere la validaciónmanual. Para garantizar que este correo electrónico se recibe, el propietario del dominio debeconfigurar correctamente el correo electrónico de cada dominio. Para obtener más información,consulte (Opcional) Configuración del correo electrónico para su dominio (p. 18). El correo electrónicocontiene un enlace que puede seguir para realizar la validación. Este enlace vence después de 72horas. En caso necesario, puede utilizar la consola de AWS Certificate Manager, la AWS CLI o laAPI para solicitar que ACM reenvíe el correo electrónico de validación de dominio. Para obtener másinformación, consulte Solicitar un correo electrónico de validación de dominio para renovación decertificado (p. 46).

Enviando un correo electrónico a su cuenta de AWS (validación por DNS)

Si utilizó originalmente la validación por DNS al solicitar el certificado, ACM envía un correo electrónicoa la dirección asociada a su cuenta de AWS. El correo electrónico le informa de que ACM hadetectado un problema al intentar renovar su certificado. Los problemas más probables son queel registro CNAME original ya no está en vigor o que el certificado no está asociado a un serviciode AWS integrado con ACM. Si desea validar el dominio y renovar su certificado, debe editar laconfiguración de DNS para asegurarse de que el registro CNAME original sigue en vigor. Además,debe asegurarse de que su certificado de ACM esté en uso. Para obtener más información sobre lavalidación por DNS, consulte Uso de DNS para validar que usted es el propietario del dominio (p. 27).

Mediante notificación en su AWS Personal Health Dashboard

ACM envía notificaciones a su AWS Personal Health Dashboard para informarle de que debenrenovarse uno o varios nombres de dominio del certificado. ACM envía estas notificacionescuando falten 45 días, 30 días, 15 días, 7 días, 3 días y 1 día para que venza el certificado. Estasnotificaciones son solo informativas.

Comprobar el estado de renovación de uncertificado

Puede utilizar la consola de AWS Certificate Manager, la API de ACM la AWS CLI o el Personal HealthDashboard para comprobar el estado de renovación de un certificado de ACM. Si utiliza la consola, laAWS CLI o la API de ACM, la renovación del certificado puede tener uno de los cuatro posibles valoresde estado que se indican a continuación. Se muestran valores similares si utiliza el Personal HealthDashboard.

Pending automatic renewal

ACM está intentando validar automáticamente los nombres de dominio en el certificado. Para obtenermás información, consulte Cómo funciona la validación de dominios (p. 41). No hay que hacer nadamás.

Pending validation

ACM no pudo validar automáticamente uno o varios de los nombres de dominio del certificado. Debetomar medidas para validar estos nombres de dominio. De lo contrario, el certificado no se renovará.Si utilizó originalmente la validación por correo electrónico para el certificado, busque un mensaje decorreo electrónico de ACM y siga el enlace de ese mensaje para realizar la validación. Si utilizó lavalidación por DNS, compruebe que su registro de DNS existe y que su certificado sigue estando enuso.

Version 1.043

Page 50: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioComprobar el estado (consola)

Correcto

Todos los nombres de dominio del certificado están validados y ACM ha renovado el certificado. Nohay que hacer nada más.

Error

Uno o varios de los nombres de dominio no se validaron antes de que el certificado venciera y ACM norenovó el certificado. Puede solicitar un certificado nuevo (p. 22).

Note

Es posible que pasen varias horas hasta que los cambios de estado del certificado esténdisponibles.

Temas• Comprobar el estado (consola) (p. 44)• Comprobar el estado (API) (p. 44)• Comprobar el estado (CLI) (p. 44)• Comprobar el estado (PHD) (p. 44)

Comprobar el estado (consola)En el siguiente procedimiento se explica cómo utilizar la consola de ACM para comprobar el estado derenovación de un certificado de ACM.

1. Abra la consola de AWS Certificate Manager en https://console.aws.amazon.com/acm/home.2. Expanda un certificado para ver sus detalles.3. Busque Renewal Status en la sección Details. Si no ve el estado, ACM no ha comenzado el proceso

de renovación administrado de este certificado.

Comprobar el estado (API)Para ver un ejemplo de Java que muestra cómo utilizar la acción DescribeCertificate para comprobar elestado, consulte Descripción de un certificado (p. 82).

Comprobar el estado (CLI)El siguiente ejemplo muestra cómo comprobar el estado de renovación del certificado de ACM con la AWSCommand Line Interface (AWS CLI).

$ aws acm describe-certificate --certificate-arn arn:aws:acm:region:123456789012:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e

En la respuesta, observe el valor del campo RenewalStatus. Si no ve el campo RenewalStatus, ACMno ha comenzado el proceso de renovación administrado del certificado.

Comprobar el estado (PHD)ACM intenta renovar automáticamente su certificado de ACM sesenta días antes del vencimiento. ConsulteCómo funciona la validación de dominios (p. 41). Si ACM no puede renovar automáticamente sucertificado, envía avisos de eventos de renovación del certificado a su Personal Health Dashboard aintervalos de 45 días, 30 días, 15 días, 7 días, 3 días y 1 día desde la fecha de vencimiento para informarle

Version 1.044

Page 51: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioComprobar el estado (PHD)

de que necesita emprender medidas. El Personal Health Dashboard forma parte del servicio AWS Health.No precisa configuración y cualquier usuario autenticado en su cuenta puede consultarlo. Para obtenermás información, consulte Guía del usuario de AWS Health.

Para usar el Personal Health Dashboard:

1. Inicie sesión en el Personal Health Dashboard en https://phd.aws.amazon.com/phd/home#/.2. Elija Event log.3. En Filter by tags or attributes, elija Service.4. Elija Certificate Manager.5. Seleccione Aplicar.6. En Event category elija Scheduled Change.7. Seleccione Aplicar.

Si ACM ha renovado recientemente un certificado de ACM, verá información similar a la siguiente.

Version 1.045

Page 52: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioSolicitar un correo electrónico (opcional)

Solicitar un correo electrónico de validación dedominio para renovación de certificado

Una vez configuradas las direcciones de correo electrónico de contacto de su dominio (consulte (Opcional)Configuración del correo electrónico para su dominio (p. 18)), puede utilizar la consola AWS CertificateManager o la API de ACM para solicitar que ACM envíe un correo electrónico de validación de dominiopara la renovación del certificado. Debe hacerlo en las siguientes circunstancias:

• Utilizó la validación por correo electrónico cuando solicitó inicialmente su certificado de ACM.• El estado de renovación del certificado es pending validation. Para obtener más información sobre cómo

determinar el estado de renovación del certificado, consulte Comprobar el estado de renovación de uncertificado (p. 43).

• No ha recibido o no puede encontrar el correo electrónico de validación de dominio original que ACMenvió para la renovación del certificado.

Para solicitar que ACM reenvíe el correo electrónico de validación de dominio (consola)

1. Abra la consola de AWS Certificate Manager en https://console.aws.amazon.com/acm/home.2. Seleccione la casilla de verificación situada al lado del certificado que requiere la validación manual

del dominio. A continuación, elija Actions, Resend validation email.

Para solicitar que ACM reenvíe el correo electrónico de validación de dominio (API de ACM)

Utilice la operación ResendValidationEmail en la API de ACM. Al hacerlo, se aprueba el ARN delcertificado, el dominio que requiere validación manual y el dominio donde desea recibir los correoselectrónicos de validación de dominio. El siguiente ejemplo muestra cómo hacerlo con la AWS CLI. Esteejemplo contiene saltos de línea para facilitar la lectura.

$ aws acm resend-validation-email --certificate-arn arn:aws:acm:us-east-2:111122223333:certificate/97b4deb6-8983-4e39-918e-ef1378924e1e --domain subdomain.example.com --validation-domain example.com

Version 1.046

Page 53: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Importar certificados a AWSCertificate Manager

Además de solicitar certificados SSL/TLS proporcionados por AWS Certificate Manager (ACM), puedeimportar certificados obtenidos fuera de AWS. Posiblemente necesite o quiera hacerlo porque ha obtenidoun certificado de un tercer emisor, o porque los certificados proporcionados por ACM no cumplen ciertosrequisitos.

Después de importar un certificado SSL/TLS obtenido fuera de AWS y asociarlo con servicios integradoscon ACM, puede volver a importarlo y sus asociaciones se mantendrán.

Después de importar un certificado, puede utilizarlo con los servicios de AWS integrados con ACM (p. 9).Los certificados importados funcionan de la misma manera que los proporcionados por ACM, aunquecon una excepción importante: ACM no ofrece renovación administrada (p. 41) para los certificadosimportados.

Important

El cliente es responsable de vigilar la fecha de vencimiento de los certificados importados y derenovarlos antes de que se venzan. Si importara un certificado nuevo con el mismo ARN que eldel certificado vencido, el certificado nuevo sustituirá al antiguo. Además, ACM asociará el nuevocertificado con los mismos servicios y recursos que el antiguo.

Important

Le recomendamos que no asigne un certificado de ACM. Para obtener más información,consulte Asignación de certificados (p. 13) y Solución de problemas de asignación decertificados (p. 103).

Para renovar un certificado importado, puede obtener un nuevo certificado del emisor y, a continuación,importarlo a ACM, o puede solicitar un nuevo certificado (p. 22) de ACM.

En ACM, todos los certificados son recursos regionales, incluso los importados. Para utilizar el mismocertificado con balanceadores de carga de Elastic Load Balancing en diferentes regiones de AWS, debeimportarlo a cada una de las regiones en las que desee utilizarlo. Para utilizar un certificado con AmazonCloudFront, debe importarlo a la región US East (N. Virginia). Para obtener más información, consulteRegiones admitidas (p. 9).

Para más información acerca de cómo importar certificados a ACM, consulte los siguientes temas.Si tiene problemas al importar un certificado, consulte Solucionar problemas de importación decertificados (p. 102).

Temas• Requisitos previos para la importación de certificados (p. 48)• Formato del certificado y de la clave para la importación (p. 48)• Importar un certificado (p. 50)• Reimportar un certificado (p. 51)

Version 1.047

Page 54: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRequisitos previos

Requisitos previos para la importación decertificados

Para importar un certificado SSL/TLS autofirmado en ACM, debe proporcionar el certificado y su claveprivada. Para importar un certificado firmado, también debe incluir la cadena de certificados. El certificadodebe satisfacer los criterios siguientes:

• El certificado debe especificar un algoritmo y un tamaño de clave. En la actualidad, ACM admite lossiguientes algoritmos de clave pública:• RSA de 1024 bits (RSA_1024)• RSA de 2048 bits (RSA_2048)• RSA de 4096 bits (RSA_4096)• Elliptic Prime Curve de 256 bits (EC_prime256v1)• Elliptic Prime Curve de 384 bits (EC_secp384r1)• Elliptic Prime Curve de 521 bits (EC_secp521r1)

Important

Tenga en cuenta que los servicios integrados solo permiten asociar a sus recursos los algoritmosy tamaños de clave que admiten. Además, la compatibilidad varía en función de si el certificado seimporta en IAM o en ACM. Para obtener más información, consulte la documentación de de cadaservicio.

• Para Elastic Load Balancing, consulte Agentes de escucha HTTPS para Application LoadBalancer.

• Para CloudFront, consulte Protocolos SSL/TLS y cifrados admitidos.

• El certificado debe ser un certificado SSL/TLS X.509 versión 3. Debe contener una clave pública, elnombre de dominio completo (FQDN) del sitio web e información sobre el emisor. El certificado puedeser autofirmado por su propia clave privada o por la clave privada de una CA emisora. Si el certificadoestá firmado por una CA, se deberá incluir la cadena de certificados al importarlo.

• El certificado debe ser válido en el momento de la importación. No puede importar un certificado antesde que comience su periodo de validez o después de que venza. El campo de certificado NotBeforecontiene la fecha de comienzo de validez y el campo NotAfter contiene la fecha de finalización.

• La clave privada no debe estar cifrada. No puede importar una clave privada que esté protegida por unacontraseña o frase de contraseña.

• El certificado, la clave privada y la cadena de certificados deben estar codificados en PEM. Para obtenermás información y ejemplos, consulte Formato del certificado y de la clave para la importación (p. 48).

Formato del certificado y de la clave para laimportación

El certificado, la clave privada y la cadena de certificados deben estar codificados en PEM. PEM son lassiglas de correo de privacidad mejorada. El formato PEM se utiliza a menudo para representar certificados,solicitudes de certificados, cadenas de certificados y claves. La extensión típica de un archivo con formatoPEM es .pem, pero no es obligatoria. En los siguientes ejemplos se muestra el formato. Tenga en cuentaque si edita incorrectamente cualquiera de los caracteres de un archivo PEM o si añade uno o varios

Version 1.048

Page 55: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioFormato del certificado

espacios al final de cualquier línea, el certificado, la cadena de certificados o la clave privada dejarán deser válidos.

Example Certificado codificado en PEM

-----BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE-----

Example Cadena de certificados codificada en PEM

Una cadena de certificados contiene uno o más certificados. Puede utilizar un editor de texto, el comandocopy de Windows o el comando cat de Linux para concatenar archivos de certificado en una cadena.Los certificados deben concatenarse por orden, de modo que cada uno certifique directamente al anterior.Copie el certificado de CA raíz en último lugar. El siguiente ejemplo contiene tres certificados, pero unacadena de certificados podría contener más o menos.

Important

No copie su certificado en la cadena de certificados.

-----BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE----------BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE----------BEGIN CERTIFICATE-----Base64–encoded certificate-----END CERTIFICATE-----

Example Claves privadas codificadas en PEM

Los certificados X.509 versión 3 utilizan algoritmos de clave pública. Cuando se crea una solicitud decertificado o un certificado X.509, se debe especificar el algoritmo y el tamaño de la clave en bits que sedeben utilizar para crear el par clave privada-clave pública. La clave pública se incluye en el certificado o lasolicitud. Debe mantener en secreto la clave privada asociada. Especifique la clave privada al importar elcertificado. La clave no debe estar cifrada. En el ejemplo siguiente se muestra una clave privada RSA.

-----BEGIN RSA PRIVATE KEY-----Base64–encoded private key-----END RSA PRIVATE KEY-----

En el ejemplo siguiente se muestra una clave privada de curva elíptica codificada en PEM. En función decómo se cree la clave, es posible que no se incluya el bloque de parámetros. Si se incluye el bloque deparámetros, ACM lo elimina antes de utilizar la clave durante el proceso de importación.

-----BEGIN EC PARAMETERS-----Base64–encoded parameters-----END EC PARAMETERS----------BEGIN EC PRIVATE KEY-----Base64–encoded private key-----END EC PRIVATE KEY-----

Version 1.049

Page 56: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioImportar un certificado

Importar un certificadoPuede importar un certificado a ACM utilizando la Consola de administración de AWS, el AWS CLI o la APIde ACM. Los siguientes temas le muestran cómo utilizar la Consola de administración de AWS y el AWSCLI.

Temas• Importar mediante la consola (p. 50)• Importe utilizando el AWS CLI (p. 50)

Importar mediante la consolaEl siguiente ejemplo muestra cómo importar un certificado con la Consola de administración de AWS.

1. Abra la consola de ACM en https://console.aws.amazon.com/acm/home.2. Seleccione Import a certificate.3. Haga lo siguiente:

a. En el Certificate body, pegue el certificado codificado en PEM para importar.b. En Certificate private key, pegue la clave privada codificada en PEM y sin cifrar que coincida con

la clave pública del certificado.Important

Actualmente, Servicios integrados con AWS Certificate Manager (p. 9) solo admite losalgoritmos RSA_1024 y RSA_2048.

c. (Opcional) En Certificate chain, pegue la cadena de certificados codificada en PEM.4. Seleccione Review and import.5. Revise la información sobre su certificado y, a continuación, seleccione Import.

Importe utilizando el AWS CLIEl siguiente ejemplo muestra cómo importar un certificado con AWS Command Line Interface (AWS CLI).El ejemplo supone lo siguiente:

• El certificado codificado en PEM se guarda en un archivo llamado Certificate.pem.• La cadena de certificados codificados en PEM se guarda en un archivo llamadoCertificateChain.pem.

• La clave privada codificada en PEM sin cifrar se guarda en un archivo llamado PrivateKey.pem.

Para utilizar el siguiente ejemplo, sustituya los nombres de archivo con el suyo y escriba el comando enuna línea continua. El siguiente ejemplo incluye saltos de línea y espacios adicionales para facilitar sulectura.

$ aws acm import-certificate --certificate file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem

Si el comando import-certificate es correcto, devolverá el nombre de recurso de Amazon (ARN) delcertificado importado.

Version 1.050

Page 57: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioReimportar un certificado

Reimportar un certificadoSi ha importado un certificado y lo ha asociado a otros servicios de AWS, puede reimportar dichocertificado antes de que venza mientras preserva las asociaciones del servicio de AWS del certificadooriginal. Para obtener más información acerca de los servicios de AWS integrados con ACM, consulteServicios integrados con AWS Certificate Manager (p. 9).

Las siguientes condiciones se aplican al volver a importar un certificado:

• Puede añadir o eliminar nombres de dominio.• No puede eliminar todos los nombres de dominio de un certificado.• Puede añadir nuevas extensiones de uso de claves, pero los valores de extensión existentes no se

pueden eliminar.• Puede añadir nuevas extensiones de uso ampliado de claves, pero los valores de extensión existentes

no se pueden eliminar.• El tipo y el tamaño de clave no pueden modificarse.

Temas• Reimportar utilizando la consola (p. 51)• Reimportar utilizando el AWS CLI (p. 51)

Reimportar utilizando la consolaEl siguiente ejemplo muestra cómo reimportar un certificado con la Consola de administración de AWS.

1. Abra la consola de ACM en https://console.aws.amazon.com/acm/home.2. Seleccione o amplíe el certificado que vaya a reimportar.3. Abra el panel de detalles del certificado y haga clic en el botón Reimport certificate. Si ha seleccionado

el certificado marcando la casilla junto a su nombre, elija Reimport certificate en el menú Actions.4. En Certificate body, pegue el certificado de entidad final codificado en PEM.5. En Certificate private key, pegue la clave privada codificada en PEM y sin cifrar asociada con la clave

pública del certificado.

Important

Actualmente, Servicios integrados con AWS Certificate Manager (p. 9) solo admite losalgoritmos RSA_1024 y RSA_2048.

6. (Opcional) En Certificate chain, pegue la cadena de certificados codificada en PEM. La cadenade certificados incluye uno o más certificados para todas las autoridades intermedias emisoras decertificación y el certificado raíz. Si el certificado que se va a importar se asigna automáticamente, noes necesaria ninguna cadena de certificados.

7. Seleccione Review and import.8. Revise la información acerca de su certificado. Si no hay errores, elija Reimport.

Reimportar utilizando el AWS CLIEl siguiente ejemplo muestra cómo reimportar un certificado con AWS Command Line Interface (AWS CLI).El ejemplo supone lo siguiente:

• El certificado codificado en PEM se guarda en un archivo llamado Certificate.pem.

Version 1.051

Page 58: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioReimportar utilizando el AWS CLI

• La cadena de certificados codificados en PEM se guarda en un archivo llamadoCertificateChain.pem.

• La clave privada codificada en PEM sin cifrar se guarda en un archivo llamado PrivateKey.pem.• Tiene el ARN del certificado que desea importar.

Para utilizar el siguiente ejemplo, sustituya los nombres de archivo y el ARN con el suyo y escriba elcomando en una línea continua. El siguiente ejemplo incluye saltos de línea y espacios adicionales parafacilitar su lectura.

Note

Para reimportar un certificado, debe especificar el ARN del certificado.

$ aws acm import-certificate --certificate file://Certificate.pem --certificate-chain file://CertificateChain.pem --private-key file://PrivateKey.pem --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

Si el comando import-certificate es correcto, devolverá el nombre de recurso de Amazon (ARN) delcertificado.

Version 1.052

Page 59: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRestricciones de las etiquetas

Etiquetar certificados de AWSCertificate Manager

Una etiqueta es una marca que se puede asignar a un certificado de ACM. Cada etiqueta consta de unaclave y un valor. Puede añadir, ver o eliminar etiquetas de certificados de ACM con la consola de AWSCertificate Manager la AWS Command Line Interface (AWS CLI) o la API de ACM. Puede elegir quéetiquetas de ACM mostrar en la consola.

También puede crear etiquetas personalizadas que se adapten mejor a sus necesidades. Por ejemplo,puede proporcionar una etiqueta Environment = Prod o Environment = Beta a varios certificadosde ACM para identificar el entorno para el que está pensado cada certificado. La siguiente lista incluyealgunos ejemplos adicionales de etiquetas personalizadas:

• Admin = Alice

• Purpose = Website

• Protocol = TLS

• Registrar = Route53

Otros recursos de AWS también admiten etiquetado. Por lo tanto, puede asignar la misma etiqueta adiferentes recursos para indicar si están relacionados. Por ejemplo, puede asignar una etiqueta comoWebsite = example.com al certificado de ACM, al balanceador de carga y a otros recursos que utilicepara su sitio web example.com.

Temas• Restricciones de las etiquetas (p. 53)• Gestión de etiquetas (p. 54)

Restricciones de las etiquetasSe aplican las siguientes restricciones básicas a las etiquetas del certificado de ACM:

• El número máximo de etiquetas por certificado de ACM es 50.• La longitud máxima de una etiqueta de clave es 127 caracteres.• La longitud máxima de un valor de etiqueta es 255 caracteres.• Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas.• El prefijo aws: se reserva para uso de AWS; no puede añadir, editar o eliminar etiquetas cuya clave

empiece por aws:. Las etiquetas que comienzan por aws: no cuentan para el límite de etiquetas porrecurso.

• Si pretende utilizar su esquema de etiquetado en múltiples servicios y recursos, recuerde que otrosservicios pueden tener otras restricciones de caracteres permitidos. Consulte la documentacióncorrespondiente a dicho servicio.

• Las etiquetas del certificado de ACM no están disponibles para su uso en los Grupos de recursos y elEditor de etiquetas de Consola de administración de AWS.

Version 1.053

Page 60: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioGestión de etiquetas

Gestión de etiquetasPuede añadir, editar y eliminar etiquetas utilizando la consola de administración de AWS, la AWSCommand Line Interface o la API de AWS Certificate Manager.

Administración de etiquetas (Consola)Puede utilizar la Consola de administración de AWS para añadir, eliminar o editar etiquetas. Tambiénpuede mostrar etiquetas en columnas.

Adición de una etiqueta (Consola)Utilice el siguiente procedimiento para añadir etiquetas utilizando la consola de ACM.

Para añadir una etiqueta a un certificado (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Certificate Manageren https://console.aws.amazon.com/acm/home.

2. Elija la flecha situada al lado del certificado que desea etiquetar.3. En el panel de detalles, desplácese hasta Tags.4. Seleccione Edit y Add Tag.5. Escriba una clave y un valor para la etiqueta.6. Seleccione Save.

Eliminación de una etiqueta (Consola)Utilice el siguiente procedimiento para eliminar etiquetas utilizando la consola de ACM.

Para eliminar una etiqueta (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Certificate Manageren https://console.aws.amazon.com/acm/home.

2. Elija la flecha junto al certificado que tiene la etiqueta que desea eliminar.3. En el panel de detalles, desplácese hasta Tags.4. Elija Edit.5. Elija la X situada al lado de la etiqueta que desea eliminar.6. Seleccione Save.

Edición de una etiqueta (Consola)Utilice el siguiente procedimiento para editar etiquetas utilizando la consola de ACM.

Para editar una etiqueta (consola)

1. Inicie sesión en la Consola de administración de AWS y abra la consola de AWS Certificate Manageren https://console.aws.amazon.com/acm/home.

2. Elija la flecha situada al lado del certificado que desea editar.3. En el panel de detalles, desplácese hasta Tags.4. Elija Edit.5. Modifique la clave o el valor de la etiqueta que desea cambiar.

Version 1.054

Page 61: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAdministración de etiquetas (AWS Command Line Interface)

6. Seleccione Save.

Visualización de etiquetas en columnas (Consola)Utilice el siguiente procedimiento para mostrar etiquetas en columnas en la consola de ACM.

Para mostrar las etiquetas en columnas (consola)

1. Inicie sesión en la Consola de administración de AWS; y abra la consola de AWS Certificate Manageren https://console.aws.amazon.com/acm/home.

2.Seleccione las etiquetas que desea mostrar en columnas seleccionando el icono del engranaje en la esquina superior derecha de la consola.

3. Seleccione la casilla de verificación situada al lado de la etiqueta que desea mostrar en una columna.

Administración de etiquetas (AWS Command LineInterface)Consulte los siguientes temas para aprender a añadir, listar y eliminar etiquetas utilizando la AWS CLI.

• add-tags-to-certificate

• list-tags-for-certificate

• remove-tags-from-certificate

Administración de etiquetas (API de AWS CertificateManager)Consulte los siguientes temas para aprender a añadir, listar y eliminar etiquetas utilizando la API.

• AddTagsToCertificate

• ListTagsForCertificate

• RemoveTagsFromCertificate

Version 1.055

Page 62: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAutenticación

Autenticación y control de accesoObtener acceso a ACM requiere credenciales que puede utilizar AWS para autenticar las solicitudes. Lascredenciales deben tener permisos para acceder a los recursos AWS como certificados de ACM. En lassecciones siguientes se incluyen detalles sobre cómo puede utilizar AWS Identity and Access Management(IAM) y ACM para ayudar a proteger sus recursos controlando quién puede obtener acceso a los mismos.

Temas

• Autenticación (p. 56)• Control de acceso (p. 57)

AutenticaciónPuede tener acceso a AWS como cualquiera de los siguientes tipos de identidades:

• Usuario de la cuenta raíz de AWS – Cuando crea por primera vez una cuenta de AWS, comienzaúnicamente por una identidad de inicio de sesión único que tiene acceso completo a todos los serviciosy recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWSy se obtiene acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña queutilizó para crear la cuenta. Le recomendamos que no utilice el usuario raíz en sus tareas cotidianas,ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendadade utilizar el usuario raíz exclusivamente para crear el primer usuario de IAM. A continuación, guardelas credenciales del usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas deadministración de cuentas y servicios.

• Usuario de IAM: un usuario de IAM es una identidad dentro de su cuenta de AWS que tiene permisospersonalizados específicos (por ejemplo, permisos para crear a directory in ACM). Puede utilizar unnombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras de AWS, comola de Consola de administración de AWS, los foros de discusión de AWS o el AWS Support Center.

 

Además de un nombre de usuario y una contraseña, también puede generar claves de acceso paracada usuario. Puede utilizar estas claves cuando obtenga acceso a los servicios de AWS medianteprogramación, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface(CLI). El SDK y las herramientas de CLI usan claves de acceso para firmar criptográficamente susolicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. ACM supportsSignature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener másinformación sobre las solicitudes de autenticación, consulte Signature Version 4 Signing Process en laAWS General Reference.

 • Rol de IAM: Un rol de IAM es una identidad de IAM que se puede crear en la cuenta y que tiene

permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una determinada persona.Un rol de IAM le permite obtener claves de acceso temporal que se pueden utilizar para tener accesoa los servicios y recursos de AWS. Los roles de IAM con credenciales temporales son útiles en lassiguientes situaciones:

 • Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades de

usuario existentes de AWS Directory Service, del directorio de usuarios de su compañía o de unproveedor de identidades web. Esto se conoce como usuarios federados. AWS asigna un rol a unusuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más

Version 1.056

Page 63: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioControl de acceso

información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

 • Acceso al servicio de AWS: puede utilizar un rol de IAM en su cuenta para conceder permisos a un

servicio de AWS de forma que pueda tener acceso a los recursos de su cuenta. Por ejemplo, puedecrear un rol que permita a Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombrey, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtenermás información, consulte Creating a Role to Delegate Permissions to an AWS Service en la Guía delusuario de IAM.

 • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrar

credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en lainstancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas lasaplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene el rol ypermite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones quese ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Control de accesoPuede tener credenciales válidas para autenticar las solicitudes, pero a menos que tenga permisos nopodrá crear ni obtener acceso a los recursos de ACM. Por ejemplo, debe disponer de permiso para crear,importar, recuperar o enumerar los certificados.

Los siguientes temas describen cómo administrar los permisos. Le recomendamos que lea primero lainformación general.

• Introducción a la administración de acceso a sus recursos de ACM (p. 57)• Políticas administradas por AWS (p. 59)• Políticas administradas por el cliente (p. 60)• Políticas insertadas (p. 60)• Permisos API de ACM: Referencia de recursos y acciones (p. 63)

Introducción a la administración de acceso a susrecursos de ACM

Todos los recursos de AWS pertenecen a una cuenta de AWS y los permisos para crear o acceder a losrecursos se definen en las políticas de permisos de dicha cuenta. Un administrador de la cuenta puedeasociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles). Algunos servicios(incluido ACM) también permiten adjuntar políticas de permisos a los recursos.

Note

Un administrador de la cuenta (o usuario administrador) es un usuario con permisos deadministrador. Para obtener más información, consulte Creating an Admin User and Group en laGuía del usuario de IAM.

Al gestionar permisos, puede decidir quién obtiene los permisos, los recursos para los que obtienen lospermisos y las acciones específicas permitidas.

Version 1.057

Page 64: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRecursos y operaciones de ACM

Temas• Recursos y operaciones de ACM (p. 58)• Titularidad de los recursos (p. 58)• Administración de acceso a certificados de ACM (p. 58)

Recursos y operaciones de ACMEn ACM, el recurso principal es un certificado. Los certificados tienen nombres de recursos de Amazon(ARN) únicos asociados a ellos, tal y como se muestra en la siguiente lista.

• Certificado de ACM

Formato de ARN:

arn:aws:acm:AWS region:AWS account ID:certificate/Certificate ID

Ejemplo de ARN:

arn:aws:acm:us-west-2:123456789012:certificate/12345678-12ab-34cd-56ef-12345678

Titularidad de los recursosEl propietario del recurso es la cuenta de AWS que ha creado un recurso. Es decir, el propietario delrecurso es la cuenta de AWS de la entidad principal que autentica la solicitud que ha creado el recurso.(Una entidad puede ser un usuario raíz de la cuenta de AWS un usuario de IAM o un rol de IAM.) Lossiguientes ejemplos ilustran cómo funciona.

• Si utiliza las credenciales de un usuario raíz de la cuenta de AWS para crear un certificado de ACM, sucuenta de AWS es la propietaria del certificado.

• Si crea un usuario de AWS en su cuenta de IAM, puede conceder a dicho usuario permiso para crearun certificado de ACM. Sin embargo, la propietaria del certificado será la cuenta a la que pertenece elusuario.

• Si crea un rol de AWS en su cuenta de IAM y le concede permiso para crear un certificado de ACM,cualquiera que pueda asumir el rol puede crear un certificado. Sin embargo, la propietaria del certificadoes la cuenta a la que pertenece ese rol.

Administración de acceso a certificados de ACMUna política de permisos describe quién tiene acceso a qué. En esta sección se explican las opcionesdisponibles para crear políticas de permisos.

Note

En esta sección se explica cómo se utiliza IAM en el contexto de ACM. No se proporcionainformación detallada sobre el servicio de IAM. Para ver la documentación completa deIAM, consulte la Guía del usuario de IAM. Para obtener más información sobre la sintaxis ydescripciones de la política de IAM, consulte AWS IAM Policy Reference

Puede utilizar IAM para crear políticas que apliquen permisos a usuarios, grupos y roles de IAM. Estaspolíticas se denominan políticas basadas en identidades. IAM ofrece los siguientes tipos de políticasbasadas en identidades:

Version 1.058

Page 65: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioPolíticas administradas por AWS

• Políticas administradas por AWS: las políticas creadas y administradas por AWS. Estas son políticasindependientes que puede adjuntar a varios usuarios, grupos y roles de su cuenta de AWS.

• Políticas administradas por clientes: políticas que crea y administra en su cuenta de AWS y que sepueden adjuntar a varios usuarios, grupos y roles. Tiene un control más preciso cuando se utilizanpolíticas administradas por el cliente que cuando se utilizan políticas administradas por AWS.

• Políticas insertadas: políticas que crea y administra, y que integra directamente en un único usuario,grupo o rol.

Otros servicios, como Amazon S3, admiten también políticas de permisos basadas en recursos. Porejemplo, puede adjuntar una política a un bucket de Amazon S3 para administrar los permisos de acceso adicho bucket. ACM no admite políticas basadas en recursos.

Políticas administradas por AWSLas políticas administradas por AWS son políticas independientes basadas en la identidad que ustedpuede adjuntar a varios usuarios, grupos y funciones de su cuenta AWS. Las políticas administradaspor AWS son creadas y administradas por AWS. Las siguientes políticas administradas por AWS estándisponibles para ACM. Para obtener más información acerca de cómo adjuntar políticas administradas aun usuario, grupo o función, consulte Trabajar con políticas administradas en Guía del usuario de IAM.

Para utilizar una política administrada de AWS, un usuario con privilegios administrativos debe adjuntar lapolítica a un usuario, función o grupo. Para obtener más información acerca de cómo adjuntar las políticasadministradas por AWS, consulte Attaching Managed Policies en Guía del usuario de IAM.

Temas• AWSCertificateManagerReadOnly (p. 59)• AWSCertificateManagerFullAccess (p. 60)

AWSCertificateManagerReadOnlyEsta política proporciona acceso de solo lectura a los certificados de ACM. Permite a los usuarios describir,enumerar y recuperar certificados de ACM.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource": "*" }}

Para ver esta política administrada de AWS en la consola, visite https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerReadOnly.

Version 1.059

Page 66: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAWSCertificateManagerFullAccess

AWSCertificateManagerFullAccessEsta política proporciona acceso completo a todas las acciones y recursos de ACM.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["acm:*"], "Resource": "*" }]}

Para ver esta política administrada de AWS en la consola, visite https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess.

Políticas administradas por el clienteLas políticas administradas son políticas independientes basadas en la identidad que usted crea y quepuede adjuntar a varios usuarios, grupos o funciones de su cuenta de AWS. Puede administrar y crearpolíticas con la Consola de administración de AWS, la AWS Command Line Interface (AWS CLI) o la APIde IAM. Para obtener más información, consulte Políticas administradas por el cliente.

Políticas insertadasLas políticas insertadas son aquellas que se crean y administran, y se integran directamente en un únicousuario, grupo o rol. Los siguientes ejemplos de políticas muestran cómo asignar permisos para realizaracciones de ACM. Para obtener más información acerca de cómo asociar políticas insertadas, consulteWorking with Inline Policies en la Guía del usuario de IAM. Utilice la Consola de administración de AWS, laAWS Command Line Interface (AWS CLI) o la API de IAM para crear e integrar políticas insertadas.

Temas• Creación de una lista de certificados (p. 60)• Recuperación de un certificado (p. 61)• Importación de un certificado (p. 61)• Borrar un certificado (p. 61)• Acceso de solo lectura a ACM (p. 62)• Acceso completo a ACM (p. 62)• Acceso de administrador a todos los recursos de AWS (p. 62)

Creación de una lista de certificadosLa siguiente política permite a un usuario crear una lista de todos los certificados de ACM de la cuenta deusuario.

{ "Version": "2012-10-17",

Version 1.060

Page 67: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRecuperación de un certificado

"Statement": [{ "Effect": "Allow", "Action": "acm:ListCertificates", "Resource": "*" }]}

Note

Se necesita este permiso para que los certificados de ACM aparezcan en las consolas de ElasticLoad Balancing y CloudFront.

Recuperación de un certificadoLa siguiente política le permite a un usuario recuperar un certificado de ACM específico.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "acm:GetCertificate", "Resource": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }}

Importación de un certificadoLa siguiente política le permite a un usuario importar un certificado.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "acm:ImportCertificate", "Resource": "arn:aws:acm:ap-northeast-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }}

Borrar un certificadoLa siguiente política le permite a un usuario eliminar un certificado de ACM específico.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "acm:DeleteCertificate", "Resource": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }}

Version 1.061

Page 68: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAcceso de solo lectura a ACM

Acceso de solo lectura a ACMLa siguiente política le permite un usuario describir e incluir en la lista un certificado de ACM y recuperardicho certificado y la cadena de certificados.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "acm:DescribeCertificate", "acm:ListCertificates", "acm:GetCertificate", "acm:ListTagsForCertificate" ], "Resource": "*" }}

Note

Esta política está disponible como política administrada de AWS en la Consola de administraciónde AWS. Para obtener más información, consulte AWSCertificateManagerReadOnly (p. 59).Para ver la política administrada en la consola, visite https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerReadOnly.

Acceso completo a ACMLa siguiente política le permite a un usuario realizar cualquier acción de ACM.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": ["acm:*"], "Resource": "*" }]}

Note

Esta política está disponible como política administrada de AWS en la Consola de administraciónde AWS. Para obtener más información, consulte AWSCertificateManagerFullAccess (p. 60).Para ver la política administrada en la consola, visite https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess.

Acceso de administrador a todos los recursos de AWSLa siguiente política le permite a un usuario realizar cualquier acción en cualquier recurso de AWS.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "*",

Version 1.062

Page 69: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioReferencia de los permisos de la API de ACM

"Resource": "*" }]}

Note

Esta política está disponible como política administrada de AWS en la Consola de administraciónde AWS. Para ver la política administrada en la consola, visite https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess.

Permisos API de ACM: Referencia de recursos yacciones

A la hora de configurar el control de acceso (p. 57) y de escribir una política de permisos que puedaadjuntar a una identidad de IAM (políticas basadas en identidad), puede utilizar la siguiente tabla lista comoreferencia. La primera columna de la tabla enumera cada operación de la API de ACM. Usted especificaacciones en un elemento Action de la política. El resto de columnas proporcionan información adicional:

Puede utilizar los elementos de la política de IAM en sus políticas de ACM para expresar condiciones. Paraver una lista completa, consulte Available Keys en la Guía del usuario de IAM.

Note

Para especificar una acción, use el prefijo acm: seguido del nombre de operación de la API (porejemplo, acm:RequestCertificate).

Permisos y operaciones API de ACM

Operaciones de la API de ACM Permisos necesarios (accionesde la API)

Recursos

AddTagsToCertificate acm:AddTagsToCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

DeleteCertificate acm:DeleteCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

DescribeCertificate acm:DescribeCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

ExportCertificate acm:ExportCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

GetCertificate acm:GetCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

ImportCertificate acm:ImportCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

ListCertificates acm:ListCertificates arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

ListTagsForCertificate acm:ListTagsForCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

RemoveTagsFromCertificate acm:RemoveTagsFromCertificatearn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

Version 1.063

Page 70: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioReferencia de los permisos de la API de ACM

Operaciones de la API de ACM Permisos necesarios (accionesde la API)

Recursos

RequestCertificate acm:RequestCertificate arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

ResendValidationEmail acm:ResendValidationEmail arn:aws:acm:AWS_region:AWS_account_ID:certificate/certificate_ID

Version 1.064

Page 71: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRegistro de llamadas a la API ACM

Uso de AWS CloudTrailPuede utilizar CloudTrail para registrar las llamadas a la API que realiza AWS Certificate Manager y losservicios integrados con ACM tal y como se explica en los temas siguientes.

Temas• Registro de llamadas a la API de AWS Certificate Manager con AWS CloudTrail (p. 65)• Registro de llamadas a la API relacionadas con ACM (p. 74)

Registro de llamadas a la API de AWS CertificateManager con AWS CloudTrail

AWS Certificate Manager (ACM) se integra con AWS CloudTrail, un servicio que captura las llamadas ala API, proporciona los archivos de registro a un bucket Amazon Simple Storage Service (Amazon S3)que especifique y mantiene el historial de llamadas a las API. CloudTrail captura las llamadas a la APIdesde la consola de AWS Certificate Manager, la CLI o desde el código. Con la información recopilada porCloudTrail, puede identificar la solicitud que se realizó a ACM, la dirección IP desde la que se realizó lasolicitud, quién la realizó y cuándo, etcétera.

Para obtener más información sobre CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la Guíadel usuario de AWS CloudTrail.

Cuando habilita el registro de CloudTrail en su cuenta de AWS, las llamadas a la API realizadas a accionesde ACM se registran en archivos de registro CloudTrail. Los registros ACM se escriben con otros registrosde servicio AWS. CloudTrail determina cuándo crear y escribir en un nuevo archivo de registro en funcióndel período de tiempo y del tamaño del archivo.

Se admiten las siguientes acciones ACM:

• AddTagsToCertificate• DeleteCertificate• DescribeCertificate• ExportCertificate• GetCertificate• ImportCertificate• ListCertificates• ListTagsForCertificate• RemoveTagsFromCertificate• RequestCertificate• ResendValidationEmail

Cada entrada de log contiene información sobre quién generó la solicitud. La información de identidad delusuario que figura en la entrada de registro le ayudará a determinar si la solicitud se hizo con credencialesde usuario IAM o raíz, con credenciales de seguridad temporal para un rol o un usuario federado, o porotro servicio AWS. Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Puede almacenar los archivos de log en su bucket todo el tiempo que desee, y también puede definirreglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de log automáticamente. De formapredeterminada, los archivos log se cifran mediante el cifrado del servidor (SSE) de Amazon S3.

Version 1.065

Page 72: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAdición de etiquetas

Puede hacer que CloudTrail publique notificaciones de Amazon SNS cuando se entreguen los nuevosarchivos de registro, si desea realizar una acción rápida al recibir un registro. Para obtener másinformación, consulte Configuring Amazon SNS Notifications for CloudTrail en la Guía del usuario AWSCloudTrail.

También puede agregar archivos de registro de AWS Certificate Manager de varias regiones de AWS yde varias cuentas de AWS en un solo bucket de Amazon S3. Para obtener más información, consulte Receiving CloudTrail Log Files from Multiple Regions y Receiving CloudTrail Log Files from MultipleAccounts.

Los archivos de registro de CloudTrail contienen una o varias entradas de registro, donde en cada entradase enumeran varios eventos con formato JSON. Una entrada de registro representa una única solicitudde cualquier origen e incluye información sobre la acción solicitada, la fecha y la hora de la acción, losparámetros de la solicitud, etcétera. Las entradas de log no se muestran en ningún orden concreto. Esdecir, no representan un rastro ordenado de las llamadas a API públicas. Para obtener más informaciónacerca de los campos que componen una entrada de registro, consulte la referencia de los eventos deCloudTrail.

Para ejemplos de posibles entradas ACM CloudTrail, consulte los siguientes temas.

Temas• Adición de etiquetas a un certificado (p. 66)• Borrar un certificado (p. 67)• Descripción de un certificado (p. 67)• Exportación de un certificado (p. 68)• Importar un certificado (p. 69)• Creación de una lista de certificados (p. 70)• Visualización de etiquetas de un certificado (p. 71)• Eliminar etiquetas de un certificado (p. 72)• Solicitud de un certificado (p. 72)• Reenviando correo electrónico de validación (p. 73)• Recuperación de un certificado (p. 74)

Adición de etiquetas a un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API AddTagsToCertificate.

{ Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T13:53:53Z", eventSource: "acm.amazonaws.com", eventName: "AddTagsToCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: {

Version 1.066

Page 73: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioBorrar un certificado

tags: [{ value: "Alice", key: "Admin" }], certificateArn: "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, responseElements: null, requestID: "ffd7dd1b-fbfe-11e5-ba7b-5f4e988901f9", eventID: "4e7b10bb-7010-4e60-8376-0cac3bc860a5", eventType: "AwsApiCall", recipientAccountId: "123456789012" }]}

Borrar un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API DeleteCertificate.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:26Z", "eventSource": "acm.amazonaws.com", "eventName": "DeleteCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": null, "requestID": "6b0f5bb9-ec9c-11e5-a28b-51e7e3169e0f", "eventID": "08f18f8a-a827-4924-b864-afaf98517793", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Descripción de un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API DescribeCertificate.

Note

El log de CloudTrail de la DescribeCertificate acción no muestra información sobre elcertificado de ACM que especifica. Puede consultar información acerca del certificado en laconsola, la AWS Command Line Interface o la API DescribeCertificate.

{

Version 1.067

Page 74: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioExportación de un certificado

"Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:42Z", "eventSource": "acm.amazonaws.com", "eventName": "DescribeCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": null, "requestID": "74b91d83-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "7779b6da-75c2-4994-b8c1-af3ad47b518a", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Exportación de un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada al API ExportCertificate.

{ "Records": [{ "version": "0", "id": "12345678-1234-1234-1234-123456789012" "detail-type": "AWS API Call via CloudTrail", "source": "aws.acm", "account": "123456789012", "time": "2018-05-24T15:28:11Z", "region": "us-east-1", "resources": [], "detail": { "eventVersion": "1.04", "userIdentity": { "type": "Root", "principalId": "123456789012", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2018-05-24T15:28:11Z", "eventSource": "acm.amazonaws.com", "eventName": "ExportCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.15.4 Python/2.7.9 Windows/8 botocore/1.10.4", "requestParameters": { "passphrase": { "hb": [42, 42, 42,

Version 1.068

Page 75: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioImportar un certificado

42, 42, 42, 42, 42, 42, 42], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 10, "capacity": 10, "address": 0 }, "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": { "certificateChain": "-----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----\n" -----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----\n", "privateKey": "**********", "certificate": "-----BEGIN CERTIFICATE----- base64 certificate -----END CERTIFICATE-----\n" }, "requestID": "11802113-5f67-11e8-bc6b-d93a70b3bedf", "eventID": "5b66558e-27c5-43b0-9b3a-10f28c527453", "eventType": "AwsApiCall" }}]

Importar un certificadoEl siguiente ejemplo muestra la entrada de registro de CloudTrail que registra una llamada a la operaciónde API ImportCertificate de ACM.

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-10-04T16:01:30Z", "eventSource": "acm.amazonaws.com", "eventName": "ImportCertificate", "awsRegion": "ap-southeast-2", "sourceIPAddress": "54.240.193.129", "userAgent": "Coral/Netty", "requestParameters": { "privateKey": { "hb": [ byte, byte, byte, ... ],

Version 1.069

Page 76: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCreación de una lista de certificados

"offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 1674, "capacity": 1674, "address": 0 }, "certificateChain": { "hb": [ byte, byte, byte, ... ], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 2105, "capacity": 2105, "address": 0 }, "certificate": { "hb": [ byte, byte, byte, ... ], "offset": 0, "isReadOnly": false, "bigEndian": true, "nativeByteOrder": false, "mark": -1, "position": 0, "limit": 2503, "capacity": 2503, "address": 0 } }, "responseElements": { "certificateArn": "arn:aws:acm:ap-southeast-2:111122223333:certificate/6ae06649-ea82-4b58-90ee-dc05870d7e99" }, "requestID": "cf1f3db7-8a4b-11e6-88c8-196af94bb7be", "eventID": "fb443118-bfaa-4c90-95c1-beef21e07f8e", "eventType": "AwsApiCall", "recipientAccountId": "111122223333"}

Creación de una lista de certificadosEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API ListCertificates.

Note

El registro de CloudTrail de la acción ListCertificates no muestra sus certificados de ACM.Puede ver la lista de certificados mediante la utilización de la consola, el AWS Command LineInterface o la API ListCertificates.

Version 1.070

Page 77: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioVisualización de etiquetas

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:43Z", "eventSource": "acm.amazonaws.com", "eventName": "ListCertificates", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "maxItems": 1000, "certificateStatuses": ["ISSUED"] }, "responseElements": null, "requestID": "74c99844-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "cdfe1051-88aa-4aa3-8c33-a325270bff21", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Visualización de etiquetas de un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API ListTagsForCertificate.

Note

El log de CloudTrail de la acción ListTagsForCertificate no muestra las etiquetas.Puede ver la lista de etiquetas mediante la consola, la AWS Command Line Interface o la APIListTagsForCertificate.

{ Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T13:30:11Z", eventSource: "acm.amazonaws.com", eventName: "ListTagsForCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { certificateArn: "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, responseElements: null,

Version 1.071

Page 78: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioEliminar etiquetas

requestID: "b010767f-fbfb-11e5-b596-79e9a97a2544", eventID: "32181be6-a4a0-48d3-8014-c0d972b5163b", eventType: "AwsApiCall", recipientAccountId: "123456789012" }]}

Eliminar etiquetas de un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la APIRemoveTagsFromCertificate.

{ Records: [{ eventVersion: "1.04", userIdentity: { type: "IAMUser", principalId: "AIDACKCEVSQ6C2EXAMPLE", arn: "arn:aws:iam::123456789012:user/Alice", accountId: "123456789012", accessKeyId: "AKIAIOSFODNN7EXAMPLE", userName: "Alice" }, eventTime: "2016-04-06T14:10:01Z", eventSource: "acm.amazonaws.com", eventName: "RemoveTagsFromCertificate", awsRegion: "us-east-1", sourceIPAddress: "192.0.2.0", userAgent: "aws-cli/1.10.16", requestParameters: { certificateArn: "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", tags: [{ value: "Bob", key: "Admin" }] }, responseElements: null, requestID: "40ded461-fc01-11e5-a747-85804766d6c9", eventID: "0cfa142e-ef74-4b21-9515-47197780c424", eventType: "AwsApiCall", recipientAccountId: "123456789012" }]}

Solicitud de un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API RequestCertificate.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice"

Version 1.072

Page 79: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioReenvío de emails

}, "eventTime": "2016-03-18T00:00:49Z", "eventSource": "acm.amazonaws.com", "eventName": "RequestCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "subjectAlternativeNames": ["example.net"], "domainName": "example.com", "domainValidationOptions": [{ "domainName": "example.com", "validationDomain": "example.com" }, { "domainName": "example.net", "validationDomain": "example.net" }], "idempotencyToken": "8186023d89681c3ad5" }, "responseElements": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "requestID": "77dacef3-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "a4954cdb-8f38-44c7-8927-a38ad4be3ac8", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Reenviando correo electrónico de validaciónEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API ResendValidationEmail.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-17T23:58:25Z", "eventSource": "acm.amazonaws.com", "eventName": "ResendValidationEmail", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "domain": "example.com", "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012", "validationDomain": "example.com" }, "responseElements": null, "requestID": "23760b88-ec9c-11e5-b6f4-cb861a6f0a28", "eventID": "41c11b06-ca91-4c1c-8c61-af349ea8bab8", "eventType": "AwsApiCall",

Version 1.073

Page 80: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRecuperación de un certificado

"recipientAccountId": "123456789012" }]}

Recuperación de un certificadoEl siguiente ejemplo de CloudTrail muestra los resultados de una llamada a la API GetCertificate.

{ "Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-03-18T00:00:41Z", "eventSource": "acm.amazonaws.com", "eventName": "GetCertificate", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "aws-cli/1.9.15", "requestParameters": { "certificateArn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" }, "responseElements": { "certificateChain": "-----BEGIN CERTIFICATE----- Base64-encoded certificate chain -----END CERTIFICATE-----", "certificate": "-----BEGIN CERTIFICATE----- Base64-encoded certificate -----END CERTIFICATE-----" }, "requestID": "744dd891-ec9c-11e5-ac34-d1e4dfe1a11b", "eventID": "7aa4f909-00dd-478a-9a00-b2709bcad2bb", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }]}

Registro de llamadas a la API relacionadas conACM

Puede utilizar CloudTrail para auditar las llamadas a la API realizadas por los servicios que se integran conACM. Para obtener más información en relación con el uso de CloudTrail, consulte la Guía del usuario deAWS CloudTrail. Los siguientes ejemplos muestran los tipos de registros que pueden ser generados enfunción de los recursos de AWS en los que aprovisione el certificado de ACM.

Temas• Creación de un balanceador de carga (p. 75)

Version 1.074

Page 81: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCreación de un balanceador de carga

• Registrar una instancia Amazon EC2 con un balanceador de carga (p. 75)• Cifrando una clave privada (p. 76)• Descifrando una clave privada (p. 77)

Creación de un balanceador de cargaEl siguiente ejemplo muestra una llamada a la función CreateLoadBalancer por parte de una usuaria deIAM llamada Alice. El nombre del balanceador de carga es TestLinuxDefault y el agente de escuchase crea utilizando un certificado ACM.

{ "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice" }, "eventTime": "2016-01-01T21:10:36Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "CreateLoadBalancer", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0/24", "userAgent": "aws-cli/1.9.15", "requestParameters": { "availabilityZones": ["us-east-1b"], "loadBalancerName": "LinuxTest", "listeners": [{ "sSLCertificateId": "arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012", "protocol": "HTTPS", "loadBalancerPort": 443, "instanceProtocol": "HTTP", "instancePort": 80 }] }, "responseElements": { "dNSName": "LinuxTest-1234567890.us-east-1.elb.amazonaws.com" }, "requestID": "19669c3b-b0cc-11e5-85b2-57397210a2e5", "eventID": "5d6c00c9-a9b8-46ef-9f3b-4589f5be63f7", "eventType": "AwsApiCall", "recipientAccountId": "111122223333"}

Registrar una instancia Amazon EC2 con unbalanceador de cargaCuando aprovisiona su sitio web o aplicación en una instancia Amazon Elastic Compute Cloud (AmazonEC2), el balanceador de carga debe ser consciente de dicha instancia. Esto puede lograrse a través dela consola de Elastic Load Balancing o la AWS Command Line Interface. El siguiente ejemplo muestrauna llamada a RegisterInstancesWithLoadBalancer para un balanceador de carga denominadoLinuxTest en la cuenta de AWS 123456789012.

Version 1.075

Page 82: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCifrando una clave privada

{ "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::123456789012:user/ALice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-01-01T19:35:52Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2016-01-01T21:11:45Z", "eventSource": "elasticloadbalancing.amazonaws.com", "eventName": "RegisterInstancesWithLoadBalancer", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0/24", "userAgent": "signin.amazonaws.com", "requestParameters": { "loadBalancerName": "LinuxTest", "instances": [{ "instanceId": "i-c67f4e78" }] }, "responseElements": { "instances": [{ "instanceId": "i-c67f4e78" }] }, "requestID": "438b07dc-b0cc-11e5-8afb-cda7ba020551", "eventID": "9f284ca6-cbe5-42a1-8251-4f0e6b5739d6", "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}

Cifrando una clave privadaEl siguiente ejemplo muestra una Encrypt llamada que cifra la clave privada asociada a un certificado deACM. El cifrado se realiza en AWS.

{ "Records": [ { "eventVersion": "1.03", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/acm", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "acm" }, "eventTime": "2016-01-05T18:36:29Z", "eventSource": "kms.amazonaws.com", "eventName": "Encrypt", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal",

Version 1.076

Page 83: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDescifrando una clave privada

"userAgent": "aws-internal", "requestParameters": { "keyId": "arn:aws:kms:us-east-1:123456789012:alias/aws/acm", "encryptionContext": { "aws:acm:arn": "arn:aws:acm:us-east-1:123456789012:certificate/12345678-1234-1234-1234-123456789012" } }, "responseElements": null, "requestID": "3c417351-b3db-11e5-9a24-7d9457362fcc", "eventID": "1794fe70-796a-45f5-811b-6584948f24ac", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-east-1:123456789012:key/87654321-4321-4321-4321-210987654321", "accountId": "123456789012" }], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012" }]}

Descifrando una clave privadaEl siguiente ejemplo muestra una llamada Decrypt que descifra la clave privada asociado a un certificadode ACM. El descifrado se realiza en AWS y la clave descifrada nunca deja AWS.

{ "eventVersion": "1.03", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:1aba0dc8b3a728d6998c234a99178eff", "arn": "arn:aws:sts::111122223333:assumed-role/DecryptACMCertificate/1aba0dc8b3a728d6998c234a99178eff", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2016-01-01T21:13:28Z" }, "sessionIssuer": { "type": "Role", "principalId": "APKAEIBAERJR2EXAMPLE", "arn": "arn:aws:iam::111122223333:role/DecryptACMCertificate", "accountId": "111122223333", "userName": "DecryptACMCertificate" } } }, "eventTime": "2016-01-01T21:13:28Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "aws-internal/3", "requestParameters": { "encryptionContext": { "aws:elasticloadbalancing:arn": "arn:aws:elasticloadbalancing:us-east-1:123456789012:loadbalancer/LinuxTest", "aws:acm:arn": "arn:aws:acm:us-east-1:123456789012:certificate/87654321-4321-4321-4321-210987654321"

Version 1.077

Page 84: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDescifrando una clave privada

} }, "responseElements": null, "requestID": "809a70ff-b0cc-11e5-8f42-c7fdf1cb6e6a", "eventID": "7f89f7a7-baff-4802-8a88-851488607fb9", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012", "accountId": "123456789012" }], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012" }

Version 1.078

Page 85: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAddTagsToCertificate

Uso de la API de ACMPuede utilizar la API de AWS Certificate Manager para interactuar con el servicio mediante programaciónenviando solicitudes HTTP. Para obtener más información, consulte Referencia de la API de AWSCertificate Manager.

Además de la API de web (o API de HTTP), puede utilizar los SDK y herramientas de línea de comandosde AWS para interactuar con ACM y otros servicios. Para obtener más información, consulte Herramientaspara Amazon Web Services.

En los temas siguientes se muestra cómo utilizar uno de los SDK de AWS, AWS SDK for Java, pararealizar algunas de las operaciones disponibles en la API de AWS Certificate Manager.

Temas• Adición de etiquetas a un certificado (p. 79)• Borrar un certificado (p. 81)• Descripción de un certificado (p. 82)• Exportación de un certificado (p. 84)• Recuperación de un certificado y una cadena de certificados (p. 86)• Importación de un certificado (p. 88)• Creación de una lista de certificados (p. 90)• Listado de etiquetas de certificados (p. 92)• Eliminación de etiquetas de un certificado (p. 93)• Solicitud de un certificado (p. 94)• Reenviando correo electrónico de validación (p. 96)

Adición de etiquetas a un certificadoEl siguiente ejemplo muestra cómo utilizar la función AddTagsToCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.AddTagsToCertificateRequest;import com.amazonaws.services.certificatemanager.model.AddTagsToCertificateResult;import com.amazonaws.services.certificatemanager.model.Tag;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.TooManyTagsException;

import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.regions.Regions;

Version 1.079

Page 86: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAddTagsToCertificate

import java.util.ArrayList;

/** * This sample demonstrates how to use the AddTagsToCertificate function in the AWS Certificate * Manager service. * * Input parameters: * CertificateArn - The ARN of the certificate to which to add one or more tags. * Tags - An array of Tag objects to add. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create tags. Tag tag1 = new Tag(); tag1.setKey("Short_Name"); tag1.setValue("My_Cert");

Tag tag2 = new Tag() .withKey("Purpose") .withValue("Test");

// Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag1); tags.add(tag2);

// Create a request object and specify the ARN of the certificate. AddTagsToCertificateRequest req = new AddTagsToCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setTags(tags);

// Add tags to the specified certificate. AddTagsToCertificateResult result = null; try { result = client.addTagsToCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch(InvalidTagException ex) { throw ex;

Version 1.080

Page 87: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDeleteCertificate

} catch(ResourceNotFoundException ex) { throw ex; } catch(TooManyTagsException ex) { throw ex; }

// Display the result. System.out.println(result); }}

Borrar un certificadoEl siguiente ejemplo muestra cómo utilizar la función DeleteCertificate. Si lo realiza correctamente, lafunción un conjunto vacío {}.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.DeleteCertificateRequest;import com.amazonaws.services.certificatemanager.model.DeleteCertificateResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceInUseException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

/** * This sample demonstrates how to use the DeleteCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate to delete. * */

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }

Version 1.081

Page 88: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDescribeCertificate

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and specify the ARN of the certificate to delete. DeleteCertificateRequest req = new DeleteCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

// Delete the specified certificate. DeleteCertificateResult result = null; try { result = client.deleteCertificate(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceInUseException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Display the result. System.out.println(result);

}}

Descripción de un certificadoEl siguiente ejemplo muestra cómo utilizar la función DescribeCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.DescribeCertificateRequest;import com.amazonaws.services.certificatemanager.model.DescribeCertificateResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

/** * This sample demonstrates how to use the DescribeCertificate function in the AWS Certificate * Manager service.

Version 1.082

Page 89: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioDescribeCertificate

* * Input parameter: * CertificateArn - The ARN of the certificate to be described. * * Output parameter: * Certificate information * */

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the ARN of the certificate to be described. DescribeCertificateRequest req = new DescribeCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

DescribeCertificateResult result = null; try{ result = client.describeCertificate(req); } catch (InvalidArnException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Display the certificate information. System.out.println(result);

}}

Si se ejecuta correctamente, el ejemplo anterior mostrará información similar a la siguiente.

{ Certificate: { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example.com, SubjectAlternativeNames: [www.example.com], DomainValidationOptions: [{ DomainName: www.example.com,

Version 1.083

Page 90: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioExportCertificate

}], Serial: 10: 0a, Subject: C=US, ST=WA, L=Seattle, O=ExampleCompany, OU=sales, CN=www.example.com, Issuer: ExampleCompany, ImportedAt: FriOct0608: 17: 39PDT2017, Status: ISSUED, NotBefore: ThuOct0510: 14: 32PDT2017, NotAfter: SunOct0310: 14: 32PDT2027, KeyAlgorithm: RSA-2048, SignatureAlgorithm: SHA256WITHRSA, InUseBy: [], Type: IMPORTED, }}

Exportación de un certificadoEl siguiente ejemplo muestra cómo utilizar la función ExportCertificate. La función exporta un certificadoprivado emitido por una entidad de certificación (CA) privada en el formato PKCS #8. También exporta lacadena de certificados y la clave privada. En el ejemplo, la frase de contraseña de la clave se almacena enun archivo local.

package com.amazonaws.samples;

import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;

import com.amazonaws.services.certificatemanager.model.ExportCertificateRequest;import com.amazonaws.services.certificatemanager.model.ExportCertificateResult;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;

import java.io.FileNotFoundException;import java.io.IOException;import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;

public class ExportCertificate {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials in Linux. AWSCredentials credentials = null; try {

Version 1.084

Page 91: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioExportCertificate

credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.your_region) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Initialize a file descriptor for the passphrase file. RandomAccessFile file_passphrase = null;

// Initialize a buffer for the passphrase. ByteBuffer buf_passphrase = null;

// Create a file stream for reading the private key passphrase. try { file_passphrase = new RandomAccessFile("C:\\Temp\\password.txt", "r"); } catch (IllegalArgumentException ex) { throw ex; } catch (SecurityException ex) { throw ex; } catch (FileNotFoundException ex) { throw ex; }

// Create a channel to map the file. FileChannel channel_passphrase = file_passphrase.getChannel();

// Map the file to the buffer. try { buf_passphrase = channel_passphrase.map(FileChannel.MapMode.READ_ONLY, 0, channel_passphrase.size());

// Clean up after the file is mapped. channel_passphrase.close(); file_passphrase.close(); } catch (IOException ex) { throw ex; }

// Create a request object. ExportCertificateRequest req = new ExportCertificateRequest();

// Set the certificate ARN. req.withCertificateArn("arn:aws:acm:region:account:" +"certificate/M12345678-1234-1234-1234-123456789012");

// Set the passphrase. req.withPassphrase(buf_passphrase);

// Export the certificate. ExportCertificateResult result = null;

try { result = client.exportCertificate(req); } catch(InvalidArnException ex)

Version 1.085

Page 92: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioGetCertificate

{ throw ex; } catch (InvalidTagException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Clear the buffer. buf_passphrase.clear();

// Display the certificate and certificate chain. String certificate = result.getCertificate(); System.out.println(certificate);

String certificate_chain = result.getCertificateChain(); System.out.println(certificate_chain);

// This example retrieves but does not display the private key. String private_key = result.getPrivateKey(); }}

Recuperación de un certificado y una cadena decertificados

El siguiente ejemplo muestra cómo utilizar la función GetCertificate.

package com.amazonaws.samples;

import com.amazonaws.regions.Regions;import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.GetCertificateRequest;import com.amazonaws.services.certificatemanager.model.GetCertificateResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.RequestInProgressException;import com.amazonaws.AmazonClientException;

/** * This sample demonstrates how to use the GetCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate to retrieve. * * Output parameters: * Certificate - A base64-encoded certificate in PEM format. * CertificateChain - The base64-encoded certificate chain in PEM format.

Version 1.086

Page 93: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioGetCertificate

* */

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from the credential profiles file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the ARN of the certificate to be described. GetCertificateRequest req = new GetCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

// Retrieve the certificate and certificate chain. // If you recently requested the certificate, loop until it has been created. GetCertificateResult result = null; long totalTimeout = 120000l; long timeSlept = 0l; long sleepInterval = 10000l; while (result == null && timeSlept < totalTimeout) { try { result = client.getCertificate(req); } catch (RequestInProgressException ex) { Thread.sleep(sleepInterval); } catch (ResourceNotFoundException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; }

timeSlept += sleepInterval; }

// Display the certificate information. System.out.println(result); }}

El ejemplo anterior obtiene un resultado similar al siguiente.

{Certificate: -----BEGIN CERTIFICATE-----

Version 1.087

Page 94: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioImportCertificate

base64-encoded certificate-----END CERTIFICATE-----,CertificateChain: -----BEGIN CERTIFICATE----- base64-encoded certificate chain -----END CERTIFICATE-----}

Importación de un certificadoEl siguiente ejemplo muestra cómo utilizar la función ImportCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.services.certificatemanager.model.ImportCertificateRequest;import com.amazonaws.services.certificatemanager.model.ImportCertificateResult;import com.amazonaws.services.certificatemanager.model.LimitExceededException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;import java.io.FileNotFoundException;import java.io.IOException;

import java.io.RandomAccessFile;import java.nio.ByteBuffer;import java.nio.channels.FileChannel;

/** * This sample demonstrates how to use the ImportCertificate function in the AWS Certificate Manager * service. * * Input parameters: * Certificate - PEM file that contains the certificate to import. * CertificateArn - Use to reimport a certificate (not included in this example). * CertificateChain - The certificate chain, not including the end-entity certificate. * PrivateKey - The private key that matches the public key in the certificate. * * Output parameter: * CertificcateArn - The ARN of the imported certificate. * */public class AWSCertificateManagerSample {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException(

Version 1.088

Page 95: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioImportCertificate

"Cannot load the credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Initialize the file descriptors. RandomAccessFile file_certificate = null; RandomAccessFile file_chain = null; RandomAccessFile file_key = null;

// Initialize the buffers. ByteBuffer buf_certificate = null; ByteBuffer buf_chain = null; ByteBuffer buf_key = null;

// Create the file streams for reading. try { file_certificate = new RandomAccessFile("C:\\Temp\\certificate.pem", "r"); file_chain = new RandomAccessFile("C:\\Temp\\chain.pem", "r"); file_key = new RandomAccessFile("C:\\Temp\\private_key.pem", "r"); } catch (IllegalArgumentException ex) { throw ex; } catch (SecurityException ex) { throw ex; } catch (FileNotFoundException ex) { throw ex; }

// Create channels for mapping the files. FileChannel channel_certificate = file_certificate.getChannel(); FileChannel channel_chain = file_chain.getChannel(); FileChannel channel_key = file_key.getChannel();

// Map the files to buffers. try { buf_certificate = channel_certificate.map(FileChannel.MapMode.READ_ONLY, 0, channel_certificate.size()); buf_chain = channel_chain.map(FileChannel.MapMode.READ_ONLY, 0, channel_chain.size()); buf_key = channel_key.map(FileChannel.MapMode.READ_ONLY, 0, channel_key.size());

// The files have been mapped, so clean up. channel_certificate.close(); channel_chain.close(); channel_key.close(); file_certificate.close(); file_chain.close(); file_key.close(); } catch (IOException ex) { throw ex; }

// Create a request object and set the parameters. ImportCertificateRequest req = new ImportCertificateRequest(); req.setCertificate(buf_certificate); req.setCertificateChain(buf_chain); req.setPrivateKey(buf_key);

Version 1.089

Page 96: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioListCertificates

// Import the certificate. ImportCertificateResult result = null; try { result = client.importCertificate(req); } catch(LimitExceededException ex) { throw ex; } catch (ResourceNotFoundException ex) { throw ex; }

// Clear the buffers. buf_certificate.clear(); buf_chain.clear(); buf_key.clear();

// Retrieve and display the certificate ARN. String arn = result.getCertificateArn(); System.out.println(arn); }}

Creación de una lista de certificadosEl siguiente ejemplo muestra cómo utilizar la función ListCertificates.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ListCertificatesRequest;import com.amazonaws.services.certificatemanager.model.ListCertificatesResult;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import com.amazonaws.AmazonClientException;

import java.util.Arrays;import java.util.List;

/** * This sample demonstrates how to use the ListCertificates function in the AWS Certificate * Manager service. * * Input parameters: * CertificateStatuses - An array of strings that contains the statuses to use for filtering. * MaxItems - The maximum number of certificates to return in the response. * NextToken - Use when paginating results. * * Output parameters: * CertificateSummaryList - A list of certificates. * NextToken - Use to show additional results when paginating a truncated list. *

Version 1.090

Page 97: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioListCertificates

*/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load the credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the parameters. ListCertificatesRequest req = new ListCertificatesRequest(); List<String> Statuses = Arrays.asList("ISSUED", "EXPIRED", "PENDING_VALIDATION", "FAILED"); req.setCertificateStatuses(Statuses); req.setMaxItems(10);

// Retrieve the list of certificates. ListCertificatesResult result = null; try { result = client.listCertificates(req); } catch (Exception ex) { throw ex; }

// Display the certificate list. System.out.println(result); }}

La muestra de código anterior obtiene un resultado similar al siguiente.

{ CertificateSummaryList: [{ CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example1.com }, { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example2.com }, { CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012, DomainName: www.example3.com }]}

Version 1.091

Page 98: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioListTagsForCertificate

Listado de etiquetas de certificadosEl siguiente ejemplo muestra cómo utilizar la función ListTagsForCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ListTagsForCertificateRequest;import com.amazonaws.services.certificatemanager.model.ListTagsForCertificateResult;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.AWSCredentials;import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.regions.Regions;

/** * This sample demonstrates how to use the ListTagsForCertificate function in the AWS Certificate * Manager service. * * Input parameter: * CertificateArn - The ARN of the certificate whose tags you want to list. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception{

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and specify the ARN of the certificate. ListTagsForCertificateRequest req = new ListTagsForCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012");

// Create a result object. ListTagsForCertificateResult result = null; try { result = client.listTagsForCertificate(req); } catch(InvalidArnException ex) {

Version 1.092

Page 99: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRemoveTagsFromCertificate

throw ex; } catch(ResourceNotFoundException ex) { throw ex; }

// Display the result. System.out.println(result);

}}

La muestra de código anterior obtiene un resultado similar al siguiente.

{Tags: [{Key: Purpose,Value: Test}, {Key: Short_Name,Value: My_Cert}]}

Eliminación de etiquetas de un certificadoEl siguiente ejemplo muestra cómo utilizar la función RemoveTagsFromCertificate.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.RemoveTagsFromCertificateRequest;import com.amazonaws.services.certificatemanager.model.RemoveTagsFromCertificateResult;import com.amazonaws.services.certificatemanager.model.Tag;

import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.services.certificatemanager.model.InvalidTagException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import java.util.ArrayList;

/** * This sample demonstrates how to use the RemoveTagsFromCertificate function in the AWS Certificate * Manager service. * * Input parameters: * CertificateArn - The ARN of the certificate from which you want to remove one or more tags. * Tags - A collection of key-value pairs that specify which tags to remove. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) throws Exception {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null;

Version 1.093

Page 100: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRequestCertificate

try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Specify the tags to remove. Tag tag1 = new Tag(); tag1.setKey("Short_Name"); tag1.setValue("My_Cert");

Tag tag2 = new Tag() .withKey("Purpose") .withValue("Test");

// Add the tags to a collection. ArrayList<Tag> tags = new ArrayList<Tag>(); tags.add(tag1); tags.add(tag2);

// Create a request object. RemoveTagsFromCertificateRequest req = new RemoveTagsFromCertificateRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setTags(tags);

// Create a result object. RemoveTagsFromCertificateResult result = null; try { result = client.removeTagsFromCertificate(req); } catch(InvalidArnException ex) { throw ex; } catch(InvalidTagException ex) { throw ex; } catch(ResourceNotFoundException ex) { throw ex; }

// Display the result. System.out.println(result); }}

Solicitud de un certificadoEl siguiente ejemplo muestra cómo utilizar la función RequestCertificate.

Version 1.094

Page 101: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRequestCertificate

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.RequestCertificateRequest;import com.amazonaws.services.certificatemanager.model.RequestCertificateResult;

import com.amazonaws.services.certificatemanager.model.InvalidDomainValidationOptionsException;import com.amazonaws.services.certificatemanager.model.LimitExceededException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

import java.util.ArrayList;

/** * This sample demonstrates how to use the RequestCertificate function in the AWS Certificate * Manager service. * * Input parameters: * DomainName - FQDN of your site. * DomainValidationOptions - Domain name for email validation. * IdempotencyToken - Distinguishes between calls to RequestCertificate. * SubjectAlternativeNames - Additional FQDNs for the subject alternative names extension. * * Output parameter: * Certificate ARN - The Amazon Resource Name (ARN) of the certificate you requested. **/

public class AWSCertificateManagerExample {

public static void main(String[] args) {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Specify a SAN. ArrayList<String> san = new ArrayList<String>(); san.add("www.example.com");

// Create a request object and set the input parameters. RequestCertificateRequest req = new RequestCertificateRequest(); req.setDomainName("example.com"); req.setIdempotencyToken("1Aq25pTy"); req.setSubjectAlternativeNames(san);

Version 1.095

Page 102: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioResendValidationEmail

// Create a result object and display the certificate ARN. RequestCertificateResult result = null; try { result = client.requestCertificate(req); } catch(InvalidDomainValidationOptionsException ex) { throw ex; } catch(LimitExceededException ex) { throw ex; }

// Display the ARN. System.out.println(result);

}

}

La muestra de código anterior obtiene un resultado similar al siguiente.

{CertificateArn: arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012}

Reenviando correo electrónico de validaciónEl siguiente ejemplo muestra cómo utilizar la función ResendValidationEmail.

package com.amazonaws.samples;

import com.amazonaws.services.certificatemanager.AWSCertificateManagerClientBuilder;import com.amazonaws.services.certificatemanager.AWSCertificateManager;import com.amazonaws.services.certificatemanager.model.ResendValidationEmailRequest;import com.amazonaws.services.certificatemanager.model.ResendValidationEmailResult;

import com.amazonaws.services.certificatemanager.model.InvalidDomainValidationOptionsException;import com.amazonaws.services.certificatemanager.model.ResourceNotFoundException;import com.amazonaws.services.certificatemanager.model.InvalidStateException;import com.amazonaws.services.certificatemanager.model.InvalidArnException;import com.amazonaws.AmazonClientException;

import com.amazonaws.auth.profile.ProfileCredentialsProvider;import com.amazonaws.auth.AWSStaticCredentialsProvider;import com.amazonaws.auth.AWSCredentials;import com.amazonaws.regions.Regions;

/** * This sample demonstrates how to use the ResendValidationEmail function in the AWS Certificate * Manager service. * * Input parameters: * CertificateArn - Amazon Resource Name (ARN) of the certificate request. * Domain - FQDN in the certificate request. * ValidationDomain - The base validation domain that is used to send email. *

Version 1.096

Page 103: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioResendValidationEmail

*/

public class AWSCertificateManagerExample {

public static void main(String[] args) {

// Retrieve your credentials from the C:\Users\name\.aws\credentials file in Windows // or the ~/.aws/credentials file in Linux. AWSCredentials credentials = null; try { credentials = new ProfileCredentialsProvider().getCredentials(); } catch (Exception ex) { throw new AmazonClientException("Cannot load your credentials from file.", ex); }

// Create a client. AWSCertificateManager client = AWSCertificateManagerClientBuilder.standard() .withRegion(Regions.US_EAST_1) .withCredentials(new AWSStaticCredentialsProvider(credentials)) .build();

// Create a request object and set the input parameters. ResendValidationEmailRequest req = new ResendValidationEmailRequest(); req.setCertificateArn("arn:aws:acm:region:account:certificate/12345678-1234-1234-1234-123456789012"); req.setDomain("gregpe.io"); req.setValidationDomain("gregpe.io");

// Create a result object. ResendValidationEmailResult result = null; try { result = client.resendValidationEmail(req); } catch(ResourceNotFoundException ex) { throw ex; } catch (InvalidStateException ex) { throw ex; } catch (InvalidArnException ex) { throw ex; } catch (InvalidDomainValidationOptionsException ex) { throw ex; }

// Display the result. System.out.println(result.toString());

}}

En la muestra de código anterior se vuelve a enviar su correo electrónico de validación y se muestra unconjunto vacío.

{}

Version 1.097

Page 104: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Seguridad de la clave privada deACM

Al solicitar un certificado público (p. 22), AWS Certificate Manager (ACM) genera un par de claves públicay privada. Sin embargo, en el caso de certificados importados (p. 47), es usted quien genera el par declaves. La clave pública pasa a formar parte del certificado. ACM almacena el certificado y su clave privadacorrespondiente, y utiliza AWS Key Management Service (AWS KMS) para ayudar a protegerla. El procesoocurre de la siguiente manera:

1. La primera vez que solicita o importa un certificado a una región de AWS, ACM crea una clave maestrade cliente (CMK) administrada por AWS en AWS KMS con el alias aws/acm. Esta CMK es única paracada cuenta y región de AWS.

2. ACM utiliza esta CMK para cifrar la clave privada del certificado. ACM almacena solo una versión cifradade la clave privada (ACM no almacena la clave privada como texto no cifrado). ACM utiliza la mismaCMK para cifrar las claves privadas de todos los certificados en una cuenta de AWS y una región deAWS específicos.

3. Al asociar el certificado con un servicio integrado en AWS Certificate Manager, ACM envía el certificadoy la clave privada cifrada al servicio. También crea implícitamente una concesión en AWS KMS quele permite al servicio utilizar la CMK en AWS KMS para descifrar la clave privada del certificado. Paraobtener más información acerca de concesiones, consulte Using Grants en la AWS Key ManagementService Developer Guide. Para obtener más información acerca de servicios compatibles con ACM,consulte Servicios integrados con AWS Certificate Manager (p. 9).

4. Los servicios integrados utilizan CMK en AWS KMS para descifrar la clave privada. A continuación,el servicio utiliza el certificado y la clave privada descifrada (no cifrada) para establecer canales decomunicación segura (sesiones SSL/TLS) con sus clientes.

5. Cuando el certificado se desvincula de un servicio integrado, la concesión creada en el paso 3 se retira.Esto significa que el servicio no puede utilizar más la CMK en AWS KMS para descifrar la clave privadadel certificado.

Version 1.098

Page 105: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRegistros de CAA

Solución de problemasConsulte los siguientes temas si tienes problemas al utilizar AWS Certificate Manager.

Temas• Solución de problemas con la autorización de la autoridad de certificación (CAA) (p. 99)• Solución de problemas del correo electrónico (p. 99)• Solucionar problemas de importación de certificados (p. 102)• Solución de problemas de asignación de certificados (p. 103)• Solucionar problemas de solicitud de certificados (p. 103)• Solución de problemas de renovación administrada de certificados (p. 105)• Solución de problemas de validación de certificados (p. 106)• Solución de problemas de dominios .IO (p. 106)• Solución de problemas con API Gateway (p. 107)

Solución de problemas con la autorización de laautoridad de certificación (CAA)

Puede utilizar registros de DNS de CAA para especificar que la autoridad de certificación (CA) de Amazonpuede emitir certificados de ACM para su dominio o subdominio. Si recibe un error One or more domainnames have failed validation due to a Certification Authority Authentication (CAA) error durante la emisiónde certificados, compruebe los registros de DNS de CAA. Si este mensaje de error aparece después deque su solicitud de un certificado de ACM se haya validado correctamente, debe actualizar los registrosde CAA y volver solicitar un certificado. El campo value de al menos uno de los registros de CAA debecontener uno de los siguientes nombres de dominio:

• amazon.com• amazontrust.com• awstrust.com• amazonaws.com

Si no desea que ACM realice la comprobación de CAA, no configure ningún registro de CAA para sudominio o deje en blanco sus registros de CAA. Para obtener más información sobre cómo crear unregistro de CAA, consulte (Opcional) Configuración de un registro de CAA (p. 19).

Solución de problemas del correo electrónicoConsulte los siguientes temas si tiene problemas con el correo electrónico de validación.

Temas• No he recibido el correo electrónico de validación (p. 100)• Correo electrónico enviado al subdominio (p. 101)• Información de contacto oculta (p. 102)• Renovación de certificados (p. 102)

Version 1.099

Page 106: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioNo he recibido el correo electrónico de validación

• Limitación controlada de WHOIS (p. 102)

No he recibido el correo electrónico de validaciónCuando solicita un certificado de validación del dominio de ACM y elige la validación por correo electrónico,se envía un correo electrónico a tres direcciones de contacto especificadas en WHOIS y a cincodirecciones administrativas comunes. Para obtener más información, consulte Uso del correo electrónicopara validar que usted es el propietario del dominio (p. 31). Si tiene problemas para recibir el correoelectrónico de validación, revise las sugerencias que aparecen a continuación.

Dónde buscar el correo electrónico

El correo electrónico de validación se envía a las direcciones de contacto enumeradas en WHOIS y alas direcciones administrativas comunes del dominio. El correo electrónico no se envía al propietariode la cuenta de AWS a menos que el propietario también se enumere como contacto de dominio enWHOIS. Revise la lista de direcciones de correo electrónico que se muestran en la consola ACM (odevueltas de la CLI o la API) para determinar dónde debe buscar el correo electrónico de validación.Para consultar la lista, haga clic en el icono junto al nombre de dominio del cuadro Validation notcomplete.

El correo electrónico está marcado como spam

Compruebe si el correo de validación se encuentra en la carpeta de spam.GMail clasifica automáticamente su correo electrónico

Si utiliza GMail, el correo electrónico de validación puede haberse clasificado automáticamente en laspestañas Updates o Promotions.

El registrador del dominio no muestra la información de contacto o la protección de la privacidad estáhabilitada.

En algunos casos, los contactos del registrador de dominios, técnicos y administrativos de WHOISpueden no estar disponibles públicamente y, por tanto, AWS no puede llegar a estos contactos. A sudiscreción, puede optar por configurar su registrador para publicar su dirección de correo electrónicoen WHOIS, aunque no todos los registradores admiten esta opción. Puede que necesite realizar uncambio directamente en el registro de su dominio. En otros casos, la información de contacto deldominio puede utilizar una dirección de privacidad, como las que se ofrecen a través de WhoisGuard oPrivacyGuard.

Para los dominios comprados a partir de la protección de la privacidad Route 53, la protección deprivacidad está activada por defecto y su dirección de correo electrónico se asigna a la direcciónde correo electrónico whoisprivacyservice.org o contact.gandi.net. Asegúrese de quesu dirección de correo electrónico de registrador en el archivo con su registrador de dominio estéactualizado de forma que el correo electrónico enviado a estas direcciones de correo electrónicooscurecidas puedan reenviarse a una dirección de correo electrónico que usted controle.

Note

La protección de privacidad para algunos dominios que compra con Route 53 se habilitaráaunque elija que su información de contacto sea pública. Por ejemplo, Route 53 no puededeshabilitar mediante programación la protección de privacidad para el dominio de nivelsuperior .ca. Debe ponerse en contacto con el Centro de AWS Support para solicitar que sedeshabilite la protección de privacidad.

Si una cuenta de correo electrónico de contacto para su dominio no está disponible a través de correoelectrónico WHOIS, o si se envían a la información de contacto no alcanza el propietario del dominio osu representante autorizado, le recomendamos que configure su dominio o subdominio para recibir elcorreo electrónico enviado a una o más de las direcciones administrativas formadas tras añadir admin@, administrator @, hostmaster @, webmaster@y postmaster@para el nombre de dominio solicitado.

Version 1.0100

Page 107: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioCorreo electrónico enviado al subdominio

Para obtener más información acerca de la configuración del correo electrónico para su dominio,consulte la documentación de su proveedor de servicios de correo electrónico y siga las instruccionesde (Opcional) Configuración del correo electrónico para su dominio (p. 18). Si está utilizando AmazonWorkMail, consulte Trabajar con usuarios en la Guía del administrador de Amazon WorkMail.

Después de hacer disponibles al menos una de las ocho direcciones de correo electrónico a las queAWS envía el correo electrónico de validación y de confirmar que puede recibir correos electrónicosen esa dirección, está listo para solicitar un certificado a través de ACM. Después de realizar unasolicitud de certificado, asegúrese de que la dirección de correo electrónico pretendida aparece en lalista de direcciones de correo electrónico de la Consola de administración de AWS. A pesar de queel certificado está en estado Pending validation, puede ampliar la lista para verlo haciendo clic en elicono junto al nombre de dominio del cuadro Validation not complete. También puede ver la lista enStep 3: Validate del asistente Request a Certificate de ACM. Las direcciones de correo electrónicolistadas son aquellas a las que se ha enviado el correo electrónico.

Faltan registros MX o no están configurados de forma correcta

Un registro MX es un registro de recursos de la base de datos del sistema de nombres de dominio(DNS) que especifica uno o varios servidores de correo que aceptan mensajes para un dominio. Siel registro MX no existe o no está configurado correctamente, no se puede enviar correo electrónicoa ninguna de las cinco direcciones comunes de administración del sistema especificadas en Uso delcorreo electrónico para validar que usted es el propietario del dominio (p. 31). Corrija el registro MXque falta o que está mal configurado y vuelva a enviar el correo electrónico o a solicitar el certificado.

Note

En la actualidad, le recomendamos que espere al menos una hora antes de intentar volver aenviar el correo electrónico o solicitar el certificado.

Note

Si desea evitar el uso de un registro MX, puede usar la opción ValidationDomain de laAPI RequestCertificate o el comando request-certificate de la AWS CLI para especificar elnombre de dominio al que ACM envía los correos electrónicos de validación. Si utiliza la API ola AWS CLI, AWS no realiza una búsqueda del registro MX.

Póngase en contacto con el Centro de soporte

Si, después de revisar las instrucciones anteriores, todavía no recibe el correo electrónico devalidación del dominio, visite el Centro AWS Support y cree un caso. Si no dispone de un acuerdo desoporte, publique un mensaje en el foro de debate de ACM.

Correo electrónico enviado al subdominioSi utiliza la consola y solicita un certificado para un nombre de subdominio comosub.test.example.com, ACM comprueba si existe un registro MX para sub.test.example.com.De lo contrario, el dominio principal test.example.com está seleccionado, y así sucesivamente, hastael dominio de la base example.com. Si se encuentra un registro MX, la búsqueda se detiene y se envíaun correo electrónico de validación a las direcciones comunes de administración del subdominio. Porlo tanto, si un registro MX se encuentra para test.example.com, el correo electrónico se envía [email protected], [email protected] y a las demás direcciones administrativasespecificadas en Uso del correo electrónico para validar que usted es el propietario del dominio (p. 31).Si un registro MX no se encuentra en ninguno de los subdominios, se envía un correo electrónico alsubdominio para el que solicitó el certificado inicialmente. Para una discusión detallada de cómo configurarsu correo electrónico y de cómo funciona ACM con DNS y la base de datos de WHOIS, consulte (Opcional)Configuración del correo electrónico para su dominio (p. 18).

En lugar de utilizar la consola, puede usar la opción ValidationDomain de la API RequestCertificate oel comando request-certificate de la AWS CLI para especificar el nombre de dominio al que ACM envía

Version 1.0101

Page 108: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioInformación de contacto oculta

los correos electrónicos de validación. Si utiliza la API o la AWS CLI, AWS no realiza una búsqueda delregistro MX.

Información de contacto ocultaHay un problema habitual cuando trata de crear un nuevo certificado. Algunos registradores le permitenocultar su información de contacto en su listado de WHOIS. Otros le permiten sustituir su dirección decorreo electrónico real con una dirección de privacidad (o proxy). Esto le impide recibir el correo electrónicode validación en sus direcciones registradas de contacto.

Para recibir correo, asegúrese de que su información de contacto sea pública en WHOIS o, si su listado deWHOIS muestra una dirección de correo electrónico de privacidad, asegúrese de que el correo electrónicoenviado a la dirección de privacidad se reenvía a su dirección de correo electrónico real. Una vez que seha completado su configuración de WHOIS, y siempre y cuando su solicitud de certificado no haya agotadoel tiempo de espera, puede decidir volver a enviar el correo electrónico de validación. ACM realiza unanueva búsqueda en WHOIS/MX y envía un correo electrónico de validación a su dirección de contactoahora pública.

Renovación de certificadosSi hizo que su información de WHOIS fuera pública cuando solicitó un certificado nuevo pero luego laocultó, ACM no podrá recuperar sus direcciones de contacto registradas cuando intente renovar sucertificado. ACM envía un correo electrónico de validación a estas direcciones de contacto y a cincodirecciones administrativas formadas utilizando su registro MX. Para solucionar este problema, vuelva ahacer pública su información de WHOIS y reenvíe los correos electrónicos de validación. ACM realiza unanueva búsqueda en WHOIS/MX y envía un correo electrónico de validación a sus direcciones de contactoahora públicas.

Limitación controlada de WHOISA veces ACM no puede ponerse en contacto con el servidor de WHOIS ni siquiera después de haberenviado varias solicitudes al correo electrónico de validación. Este problema es externo a AWS. Es decir,AWS no controla los servidores de WHOIS y no puede prevenir la limitación controlada del servidor deWHOIS. Si experimenta este problema, cree un caso en el Centro AWS Support para que le ayuden aencontrar la solución.

Solucionar problemas de importación decertificados

Puede importar certificados de terceros en ACM y asociarlos a los servicios integrados. Si tiene problemas,examine los temas de requisitos previos y formato de los certificados. En concreto, tenga en cuenta losiguiente:

• Únicamente puede importar certificados SSL/TLS X.509 versión 3.• El certificado puede ser autofirmado o puede estar firmado por una entidad de certificación (CA).• Si el certificado está firmado por una CA, se deberá incluir una cadena de certificados que llegue hasta

la raíz de entidad de certificación.• No incluya su certificado en la cadena de certificados.• Cada certificado de la cadena debe certificar directamente al que le precede.• El certificado, la clave privada y la cadena de certificados deben estar codificados en PEM.• La clave privada no debe estar cifrada.

Version 1.0102

Page 109: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAsignación de certificados

• Los servicios integrados con ACM solo permiten asociar a sus recursos los algoritmos y tamaños declave que admiten. Esta compatibilidad puede variar. Consulte la documentación de cada servicio paraasegurarse de que el certificado funcionará.

• La compatibilidad con los certificados de los servicios integrados puede variar en función de si elcertificado se importa en IAM o en ACM.

• El certificado debe ser válido cuando se importa.• En la consola se muestra información detallada para todos los certificados. No obstante, de forma

predeterminada, si llama a la API ListCertificates o al comando list-certificates de la AWS CLI sinespecificar el filtro keyTypes, solo se muestran los certificados RSA_1024 o RSA_2048.

Solución de problemas de asignación decertificados

Para renovar un certificado, ACM genera un nuevo par de claves pública y privada. Si su aplicación utilizaAsignación de certificados (p. 13) (también conocido como asignación SSL) para asignar un certificado deACM, es posible que la aplicación no se pueda conectar al dominio una vez que AWS haya renovado elcertificado. Por este motivo, le recomendamos que no asigne un certificado de ACM. Si su aplicación debeasignar un certificado, puede hacer lo siguiente:

• Importe su propio certificado a ACM (p. 47) y, a continuación, asigne su aplicación al certificadoimportado. ACM no proporciona una renovación administrada de los certificados importados.

• Asigne su aplicación a un certificado raíz de Amazon.

Solucionar problemas de solicitud de certificadosConsulte los siguientes temas si tiene problemas al solicitar un certificado de ACM.

Temas• Tiempo de espera de solicitud de certificado agotado (p. 103)• Error de solicitud de certificado (p. 103)

Tiempo de espera de solicitud de certificado agotadoEl tiempo de espera de las solicitudes de certificados de ACM se agota si no se validan en 72 horas.Para solucionarlo, elimine la solicitud y elija Request a certificate para empezar de nuevo. Puede utilizarla validación por DNS o por correo electrónico para dejar constancia de que usted es el propietario ocontrola los dominios que se indican en su solicitud. Le recomendamos que utilice DNS. Para obtener másinformación, consulte, Uso de DNS para validar que usted es el propietario del dominio (p. 27).

Error de solicitud de certificadoUna solicitud de un certificado de ACM puede presentar un error. Si esto ocurre, las explicaciones acontinuación pueden ayudarle a entender el motivo del error y sugieren medidas para solucionarlo.

Motivos de los errores• Contactos no disponibles (p. 104)• Dominio no permitido (p. 104)• Se requiere verificación adicional (p. 104)

Version 1.0103

Page 110: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioError de solicitud de certificado

• Dominio público no válido (p. 105)• Otros (p. 105)

Contactos no disponiblesHa elegido la validación por correo electrónico al solicitar un certificado, pero ACM no ha podido encontraruna dirección de correo electrónico para validar uno o varios de los nombres de dominio incluidos en lasolicitud. Para solucionar este problema, puede elegir una de las siguientes opciones:

• Asegúrese de disponer de una dirección de correo electrónico registrada en WHOIS y que esté visibleal realizar una búsqueda WHOIS estándar de nombres de dominio en la solicitud de certificado. Por logeneral, esto se hace a través de su registrador de dominio.

• Asegúrese de que su dominio esté configurado para recibir correos electrónicos. El servidor de nombresde dominio debe contar con un registro de intercambio de correo (MX) para que los servidores de correoelectrónico de ACM sepan adónde enviar el correo electrónico de validación de dominio (p. 31).

Realizar una de las tareas anteriores es suficiente para solucionar este problema; no es necesario hacerambas. Después de solucionar el problema, solicite un certificado nuevo. Si una solicitud de certificado hapresentado un error, no puede volver a enviarla.

Para obtener más información acerca de cómo asegurarse de recibir correos electrónicos de validación dedominio de ACM, consulte (Opcional) Configuración del correo electrónico para su dominio (p. 18) o No herecibido el correo electrónico de validación (p. 100). Si sigue estos pasos y sigue apareciendo el mensajeNo Available Contacts, informe de ello a AWS para que podamos investigar el problema.

Dominio no permitidoACM no le permitió solicitar un certificado para uno o varios nombres de dominio especificados. Por logeneral, esto se debe a que uno o varios de los nombres de dominio de la solicitud de certificado aparecenen la lista de sitios no seguros de Navegación segura de Google o en la de sitios de phishing válidos dePhishTank. Para solucionar este problema, puede:

• Buscar su nombre de dominio en el sitio web de Estado del sitio según Navegación segura de Google. Sisu dominio se considera inseguro, consulte el sitio web de ayuda de Google para sitios web pirateadospara informarse acerca de qué puede hacer. Si cree que su dominio es seguro, consulte Solicitar unarevisión de Google.

• Buscar su nombre de dominio en la página de inicio de PhishTank. Si su dominio se considera dephishing, consulte el sitio de ayuda de Google para sitios web pirateados o el de ayuda de WebmasterHacked de StopBadware para informarse acerca de qué puede hacer. Si cree su dominio es seguro,consulte la página de preguntas frecuentes de PhishTank para obtener información acerca de cómoinformar de un falso positivo.

Después de solucionar el problema, solicite un certificado nuevo. Si una solicitud de certificado hapresentado un error, no puede volver a enviarla.

Se requiere verificación adicionalACM requiere información adicional para procesar esta solicitud de certificado. Para proporcionar estainformación, póngase en contacto con AWS Support desde el Centro de soporte. Si no tiene un plan desoporte contratado, publique un hilo nuevo en el Foro de debate de AWS Certificate Manager.

Note

No se puede solicitar un certificado para nombres de dominio propiedad de Amazon como los queterminan en amazonaws.com, cloudfront.net o elasticbeanstalk.com.

Version 1.0104

Page 111: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioRenovación de certificados

Dominio público no válidoUno o varios de los nombres de dominio de la solicitud de certificado no son válidos. Por lo general,esto se debe a que alguno de los nombres de dominio de la solicitud no es un dominio de nivel superiorválido. Intente volver a solicitar un certificado, corregir errores de ortografía o tipográficos en la solicitudy asegurarse de que todos los nombres de dominio de la solicitud son dominios de nivel superiorválidos. Por ejemplo, no se puede solicitar un certificado de ACM example.invalidpublicdomain porque"invalidpublicdomain" no es un dominio de nivel superior válido. Si sigue apareciendo este motivo de error,póngase en contacto con el Centro de soporte. Si no tiene un plan de soporte contratado, publique un hilonuevo en el Foro de debate de AWS Certificate Manager.

OtrosNormalmente, este error se debe a una falta ortográfica en uno o varios nombres de dominio de la solicitudde certificado. Intente volver a solicitar el certificado después de corregir cualquier error de ortográficoque haya podido haber en la solicitud. Si sigue apareciendo este motivo de error, póngase en contactocon AWS Support desde el Centro de soporte. Si no tiene un plan de soporte contratado, publique un hilonuevo en el Foro de debate de AWS Certificate Manager.

Solución de problemas de renovación administradade certificados

ACM intenta renovar automáticamente sus certificados de ACM antes de que caduquen para que nose requiera ninguna acción por su parte. Consulte los siguientes temas si surgen problemas con laRenovación administrada para certificados emitidos por Amazon de ACM (p. 41).

Temas• Validación automática de dominios (p. 105)• Proceso asíncrono (p. 106)

Validación automática de dominiosPara que ACM pueda renovar sus certificados automáticamente, se deben cumplir las siguientescondiciones:

• ACM debe ser capaz de establecer una conexión HTTPS con cada dominio del certificado.• Por cada conexión, el certificado que se devuelve debe coincidir con el que ACM esté renovando.• El certificado debe estar asociado a un servicio de AWS integrado con ACM.• ACM debe poder validar cada nombre de dominio incluido en el certificado.

Para aumentar la probabilidad de que ACM pueda renovar su certificado de forma automática, haga losiguiente:

Utilice el certificado con un recurso de AWS

Asegúrese de que el certificado esté en uso con un recurso de AWS compatible. Para obtenerinformación acerca de los recursos que admite ACM, consulte Servicios integrados con AWSCertificate Manager (p. 9).

Configure el recurso para aceptar solicitudes HTTPS desde Internet

Asegúrese de que el recurso de AWS que tiene su certificado de ACM esté configurado para aceptarsolicitudes HTTPS de Internet.

Version 1.0105

Page 112: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioProceso asíncrono

Configure DNS para dirigir su nombre de dominio al recurso que aloja su certificado de ACM

Asegúrese de que las solicitudes HTTPS para los nombres de dominio en el certificado se dirijan alrecurso que tiene su certificado.

Proceso asíncronoRenovación administrada para certificados emitidos por Amazon de ACM (p. 41) es un proceso asíncrono.Esto significa que los pasos no suceden uno inmediatamente después del otro. Después de que todoslos nombres de dominio de un certificado de ACM se validan, puede haber un retraso antes de que ACMobtenga el nuevo certificado. Puede producirse un retraso adicional entre el momento en el que ACMobtiene el certificado renovado y el momento en el que dicho certificado se implementa en los recursos deAWS que lo utilizan. Por lo tanto, es posible que pasen varias horas hasta que los cambios de estado delcertificado aparezcan en la consola.

Solución de problemas de validación de certificadosConsulte el siguiente tema si su validación parece bloqueada en estado pendiente.

Validación incompletaSi el estado de la solicitud del certificado de ACM es Pending validation, la solicitud está esperando unaacción por su parte. Si eligió la validación por correo electrónico cuando realizó la solicitud, usted o surepresentante autorizado debe responder a los mensajes de correo electrónico de validación. Estosmensajes se enviaron a las direcciones de contacto de WHOIS registradas y a otras direcciones de correoelectrónico comunes para el dominio solicitado. Para obtener más información, consulte Uso del correoelectrónico para validar que usted es el propietario del dominio (p. 31). Si eligió la validación por DNS,debe escribir el registro CNAME que ACM creó por usted en su base de datos de DNS. Para obtener másinformación, consulte Uso de DNS para validar que usted es el propietario del dominio (p. 27).

Important

Debe validar que usted es el propietario o controla cada nombre de dominio incluido en lasolicitud de certificado. Si eligió la validación por correo electrónico, recibirá mensajes de correoelectrónico de validación para cada dominio. En caso contrario, consulte No he recibido el correoelectrónico de validación (p. 100). Si eligió la validación por DNS, debe crear un registro CNAMEpara cada dominio.

Le recomendamos que utilice la validación por DNS en lugar de la validación por correo electrónico.

Solución de problemas de dominios .IOEl dominio .IO está asignado al Territorio Británico del Océano Índico. En la actualidad, el registro dedominio no muestra información pública de la base de datos WHOIS, independientemente de si laprotección de privacidad del dominio está activada o no. Cuando se realiza una búsqueda WHOIS, solo sedevuelve información ofuscada del registrador. Por lo tanto, ACM no puede enviar un correo electrónico devalidación a las tres direcciones de contacto registradas a continuación, que suelen estar disponibles enWHOIS.

• Titularidad del dominio• Contacto técnico• Contacto administrativo

Version 1.0106

Page 113: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuarioAPI Gateway

Sin embargo, ACM envía correos electrónicos de validación a las siguientes cinco direcciones desistema comunes en las que your_domain es el nombre de dominio introducido al solicitar el certificadoinicialmente y .io es el dominio de nivel superior.

• administrator@your_domain.io• hostmaster@your_domain.io• postmaster@your_domain.io• webmaster@your_domain.io• admin@your_domain.io

Asegúrese de que al menos una de esas cinco cuentas de correo electrónico esté habilitada parapoder recibir un correo electrónico de validación de un dominio .IO. De no estarlo, no recibirá un correoelectrónico de validación y no se podrá emitir su certificado de ACM.

Note

Le recomendamos que utilice la validación por DNS en lugar de la validación por correoelectrónico. Para obtener más información, consulte Uso de DNS para validar que usted es elpropietario del dominio (p. 27).

Solución de problemas con API GatewayAl implementar un punto de enlace de la API optimizado para límites, API Gateway configura unadistribución de CloudFront para usted. La distribución de CloudFront es propiedad de API Gateway, nosuya. Además, la distribución está vinculada al certificado de ACM utilizado al implementar la API. Paraeliminar dicho vínculo y permitir que ACM borre el certificado, deberá quitar el dominio personalizado paraAPI Gateway asociado con el certificado.

Al implementar un punto de enlace de la API regional, API Gateway crea un Application Load Balancer(ALB) en su nombre. El balanceador de carga es propiedad de API Gateway y no es visible. El ALB estávinculado al certificado de ACM utilizado al implementar la API. Para eliminar dicho vínculo y permitirque ACM borre el certificado, deberá quitar el dominio personalizado para API Gateway asociado con elcertificado.

Version 1.0107

Page 114: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Historial de revisiónEn la siguiente tabla se describe el historial de versiones de la documentación de AWS Certificate Managerdesde principios de 2018.

update-history-change update-history-description update-history-date

Nuevo contenido (p. 108) Se ha añadido la capacidad depublicar certificados públicosde ACM en los registros detransparencia de certificados demanera predeterminada.

April 24, 2018

Nueva exención deservicio (p. 108)

Se ha lanzado ACM PrivateCertificate Manager (CM)y una ampliación de AWSCertificate Manager, que permitea los usuarios establecer unainfraestructura administradasegura para emitir y revocarcertificados digitales privados.Para obtener más información,consulte Entidad de certificaciónprivada de AWS.

April 4, 2018

Nuevo contenido (p. 108) Se ha añadido el registro detransparencia de certificados alas prácticas recomendadas.

March 27, 2018

En la siguiente tabla se describe el historial de versiones de la documentación de AWS Certificate Managerantes de 2018.

Cambio Descripción Fecha de la versión

Nuevo contenido Se ha añadido la validación porDNS a Uso de DNS para validarque usted es el propietario deldominio (p. 27).

21 de noviembre de 2017

Nuevo contenido Se han añadido nuevos ejemplosde código de Java para Uso de laAPI de ACM (p. 79).

12 de octubre de 2017

Nuevo contenido Se ha añadido informaciónacerca de los registros de CAA a(Opcional) Configuración de unregistro de CAA (p. 19).

21 de septiembre de 2017

Nuevo contenido Se ha añadido información sobredominios .IO a Solución deproblemas (p. 99).

07 de julio de 2017

Nuevo contenido Se ha añadido información sobrereimportación de un certificado aReimportar un certificado (p. 51).

07 de julio de 2017

Version 1.0108

Page 115: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Cambio Descripción Fecha de la versión

Nuevo contenido Se ha añadido informaciónacerca de asignación decertificados a Prácticasrecomendadas (p. 12) y aSolución de problemas (p. 99).

07 de julio de 2017

Nuevo contenido Se ha añadido AWSCloudFormation a Serviciosintegrados con AWS CertificateManager (p. 9).

27 de mayo de 2017

Update Se ha añadido más información aLímites (p. 11).

27 de mayo de 2017

Nuevo contenido Se ha añadido documentaciónsobre Autenticación y control deacceso (p. 56).

28 de abril de 2017

Update Se ha añadido un gráfico paramostrar el destino del correoelectrónico de validación.Consulte Uso del correoelectrónico para validar queusted es el propietario deldominio (p. 31).

21 de abril de 2017

Update Se ha añadido informaciónsobre la configuración decorreo electrónico parasu dominio. Consulte(Opcional) Configuración delcorreo electrónico para sudominio (p. 18).

6 de abril de 2017

Update Se ha añadido información sobrela comprobación del estado derenovación del certificado en laconsola. Consulte Comprobarel estado de renovación de uncertificado (p. 43).

28 de marzo de 2017

Update Se ha actualizado ladocumentación para utilizarElastic Load Balancing.

21 de marzo de 2017

Nuevo contenido Se ha añadido soporte para AWSElastic Beanstalk y Amazon APIGateway. Consulte Serviciosintegrados con AWS CertificateManager (p. 9).

21 de marzo de 2017

Update Se ha actualizado ladocumentación sobreRenovación administrada (p. 41).

20 de febrero de 2017

Version 1.0109

Page 116: AWS Certificate Manager · Estos son los certificados SSL/TLS X.509 que identifican internamente a los usuarios, equipos, aplicaciones, servicios, servidores y otros dispositivos

AWS Certificate Manager Guía del usuario

Cambio Descripción Fecha de la versión

Nuevo contenido Se ha añadido documentaciónsobre Importarcertificados (p. 47).

13 de octubre de 2016

Nuevo contenido Se ha añadido soporte de AWSCloudTrail para acciones deACM. Consulte Registro dellamadas a la API de AWSCertificate Manager con AWSCloudTrail (p. 65).

25 de marzo de 2016

Nueva guía Esta versión presenta AWSCertificate Manager.

21 de enero de 2016

Version 1.0110