P: ¿Qué es AWS Certificate Manager (ACM)?

AWS Certificate Manager (ACM) es un servicio que le permite aprovisionar, administrar e implementar con facilidad certificados de capa de conexión segura/Transport Layer Security (SSL/TLS) para su uso con servicios de AWS. Los certificados SSL/TLS se utilizan para proteger las comunicaciones en red y establecer la identidad de sitios web a través de Internet. ACM elimina el arduo proceso manual de compra, carga y renovación de los certificados SSL/TLS. Con ACM puede solicitar un certificado, implementarlo en los recursos de AWS como Elastic Load Balancer, distribuciones de Amazon CloudFront, o bien en API en Amazon API Gateway, y dejar que AWS Certificate Manager se ocupe de renovar los certificados. También puede importar certificados de terceros en ACM y asociarlos con los servicios compatibles de AWS. Los certificados SSL/TLS provisionados mediante ACM son gratuitos. Solo ha de pagar por los recursos de AWS que crea para ejecutar su aplicación.

P: ¿Qué es un certificado SSL/TLS?

Los certificados SSL/TLS permiten a los navegadores web identificar y establecer conexiones de red cifradas con sitios web mediante el protocolo de capa de conexión segura/Transport Layer Security (SSL/TLS). Los certificados se emiten con un sistema criptográfico conocido como infraestructura de claves públicas (PKI). PKI permite que una parte identifique la identidad de otra parte mediante el uso de certificados si ambos confían en un tercero, conocido como autoridad de certificados. El tema Conceptos de la Guía del usuario de ACM ofrece más definiciones y datos básicos.

P: ¿Qué puedo hacer con AWS Certificate Manager?

Puede solicitar y aprovisionar certificados SSL/TLS y utilizar servicios integrados con ACM, como Elastic Load Balancing, Amazon CloudFront o Amazon API Gateway, para implementar certificados en su sitio web o aplicación. Una vez validada la propiedad del dominio solicitado y emitido el certificado, podrá seleccionar el certificado SSL/TLS del menú desplegable en LA consola de administración de AWS para implementarlo. Como alternativa, puede implementar los certificados proporcionados por ACM en recursos de AWS mediante comandos de la interfaz de línea de comandos (CLI) de AWS o llamadas al API. ACM administra las renovaciones e implementaciones de certificados.

P: ¿Cuáles son las ventajas de utilizar AWS Certificate Manager?

ACM facilita la habilitación de SSL/TLS en un sitio web o aplicación en la plataforma de AWS. ACM elimina muchos de los procesos manuales asociados anteriormente con el uso de y la administración de certificados SSL/TLS. Al administrar las renovaciones, ACM también le ayuda a evitar el tiempo de inactividad debido a certificados configurados erróneamente, revocados o caducados. Se beneficia de la protección SSL/TLS y la administración sencilla de certificados. Activar SSL/TLS puede ayudar a mejorar las clasificaciones de búsqueda de su sitio web y ayudarle a cumplir los requisitos reglamentarios de conformidad normativa para el cifrado de datos en tránsito.

Para validar que posee o controla el nombre de dominio de su certificado, ACM utiliza la validación de DNS o la validación por correo electrónico, según lo que haya elegido al solicitar el certificado. Con la validación de DNS, basta con escribir un registro CNAME en la configuración de DNS para establecer el control de su nombre de dominio. Para simplificar aún más el proceso de validación de DNS, la consola de administración de ACM puede configurar sus registros DNS si usted los administra con Amazon Route 53. De este modo, resulta más fácil establecer el control de su nombre de dominio con tan solo unos clics. Una vez configurado el registro CNAME, ACM puede renovar de forma automática certificados validados mediante DNS antes de que caduquen, siempre que el registro DNS siga en vigor y los certificados, en uso. Las renovaciones son completamente automáticas y sin contacto. ACM también admite la validación por correo electrónico para los clientes que no tengan la capacidad de actualizar la configuración de DNS de su dominio.

Cuando utiliza ACM, las claves privadas de los certificados se protegen y almacenan de forma segura mediante las prácticas recomendadas de cifrado complejo y administración de claves. ACM le permite utilizar la consola de administración de AWS, la CLI de AWS y las API de AWS Certificate Manager para administrar a nivel central todos los certificados SSL/TLS proporcionados por ACM en una región de AWS. ACM se integra con otros servicios de AWS, para que pueda solicitar un certificado SSL/TLS y aprovisionarlo en su balanceador de carga de Elastic Load Balancing o distribución de Amazon CloudFront a través de consola de administración de AWS, comandos de la CLI de AWS o llamadas a las API.

P: ¿Cómo puedo empezar a utilizar ACM?

Para empezar con AWS Certificate Manager, diríjase a Certificate Manager en la consola de administración de AWS, y utilice el asistente para solicitar un certificado SSL/TLS introduciendo el nombre de su sitio. También puede solicitar un certificado mediante la CLI o las API de AWS. Después de que ACM reciba la aprobación del propietario del dominio y se emita el certificado SSL/TLS, puede utilizarlo con otros servicios de AWS que estén integrados con ACM. Para cada servicio integrado, basta con seleccionar el certificado SSL/TLS que desee del menú desplegable en la consola de administración de AWS. Como alternativa, puede ejecutar un comando de la CLI de AWS o llamar a un API de AWS para asociar el certificado con su recurso. A continuación, el servicio integrado implementará el certificado en el recurso que haya seleccionado. Para obtener más información acerca de la solicitud y el uso de certificados proporcionados por AWS Certificate Manager, visite la sección Introducción de la guía del usuario de AWS Certificate Manager.

P: ¿Por qué ACM valida la propiedad del dominio?

Los certificados se utilizan para establecer la identidad del sitio y proteger las conexiones entre los navegadores y las aplicaciones y su sitio. Para emitir un certificado de confianza pública, Amazon debe validar que el solicitante del certificado tenga el control del nombre de dominio de la solicitud de certificado.

P: ¿Cómo valida ACM la propiedad del dominio para poder emitir el certificado de un dominio?

Antes de emitir un certificado, ACM valida que posee o controla los nombres de dominio de su solicitud de certificado. Puede elegir entre la validación de DNS o por correo electrónico al solicitar un certificado. Con la validación de DNS, puede validar la propiedad del dominio añadiendo un registro CNAME en su configuración de DNS. Consulte la validación de DNS para obtener más información. Si no tiene la capacidad de escribir registros en la configuración pública de DNS de su dominio, puede emplear la validación por correo electrónico en lugar de la de DNS. Con la validación por correo electrónico, ACM envía correos electrónicos al propietario del dominio registrado; y el propietario o un representante autorizado pueden aprobar la emisión de los nombres de dominio de la solicitud de certificado. Consulte la validación por correo electrónico para obtener más información.

P: ¿Qué método de validación debo usar: DNS o por correo electrónico?

Le aconsejamos que utilice la validación de DNS si tiene la capacidad de cambiar la configuración de DNS de su dominio. Los clientes que no puedan recibir correos electrónicos de validación de ACM y aquellos que utilicen un registrador de dominios que no publique información de contacto electrónico del propietario del dominio en WHOIS deben emplear la validación de DNS. Si no puede modificar la configuración de DNS, deberá emplear la validación por correo electrónico.

P: ¿Puedo convertir un certificado existente desde la validación por correo electrónico a la de DNS?

No, pero puede solicitar un certificado nuevo y gratuito desde ACM y elegir la validación de DNS para el nuevo.

P: ¿Qué tipo de certificados proporciona ACM?

ACM proporciona certificados de dominio validado (DV) para su uso con sitios web y aplicaciones al final de la conexión SSL/TLS. Para obtener más información sobre los certificados que proporciona ACM, consulte las características del certificado.

P: ¿Con qué servicios de AWS puedo utilizar los certificados que proporciona ACM?

Puede usar ACM con los siguientes servicios de AWS:
• Elastic Load Balancing: Consulte la documentación de Elastic Load Balancing.
• Amazon CloudFront: Consulte la documentación de CloudFront.
• Amazon API Gateway: Consulte la documentación de API Gateway.
• AWS Elastic Beanstalk: Consulte la documentación de AWS Elastic Beanstalk.
• AWS CloudFormation: Consulte la documentación de AWS CloudFormation.

P: ¿En qué regiones está disponible ACM?

Visite las páginas sobre la infraestructura global de AWS para consultar la disponibilidad actual por regiones de los servicios de AWS. Para utilizar un certificado ACM con Amazon CloudFront, debe solicitar o importar el certificado en la región EE.UU. Este (Norte de Virginia). Los certificados ACM de esta región asociados con una distribución de CloudFront se distribuyen en todas las ubicaciones geográficas configuradas para dicha distribución.

P: ¿Puedo utilizar el mismo certificado en más de una región de AWS?

Depende de si usa Elastic Load Balancing o Amazon CloudFront. Para usar un certificado con Elastic Load Balancing para el mismo sitio (el mismo nombre de dominio completo, FQDN, o conjunto de FQDN) en una región distinta, debe solicitar un certificado nuevo por cada región en la que piense usarlo. Para utilizar un certificado ACM con Amazon CloudFront, debe solicitar el certificado en la región EE.UU. Este (Norte de Virginia). Los certificados ACM de esta región asociados con una distribución de CloudFront se distribuyen en todas las ubicaciones geográficas configuradas para dicha distribución.

P: ¿Puedo copiar un certificado entre regiones?

Por ahora no.

P: ¿Puedo aprovisionar un certificado con ACM si ya tengo un certificado de otro proveedor para el mismo nombre de dominio?

Sí.

P: ¿Puedo utilizar certificados en las instancias de Amazon EC2 o en mis propios servidores?

No. En la actualidad, los certificados proporcionados por ACM solo se pueden utilizar con servicios específicos de AWS. Consulte ¿Con qué servicios de AWS puedo utilizar los certificados que proporciona ACM?.

P: ¿Existe un límite en cuanto a la cantidad de certificados que puedo aprovisionar con ACM?

De forma predeterminada, puede aprovisionar hasta 100 certificados por cuenta en cada región. Cada certificado aprovisionado con ACM puede disponer de hasta diez nombres de dominio completos. Puede solicitar que se incremente el límite en el centro de AWS Support. Consulte la documentación de AWS para más detalles.

Volver arriba

P: ¿Cómo puedo aprovisionar un certificado de ACM?

Puede utilizar consola de administración de AWS, la CLI de AWS o las API/SDK de ACM. Para utilizar la consola de administración de AWS, diríjase a Certificate Manager, elija Solicitar un certificado, escriba el nombre de dominio de su sitio y siga las instrucciones en pantalla para completar la solicitud. Puede añadir nombres de dominio adicionales a su solicitud si los usuarios pueden acceder a su sitio utilizando otros nombres. Para poder emitir un certificado, ACM valida que posee o controla los nombres de dominio de su solicitud de certificado. Puede elegir entre la validación de DNS o por correo electrónico al solicitar un certificado. Con la validación de DNS, escribe un registro en la configuración pública de DNS de su dominio para establecer que posee o controla el dominio. Desde la primera vez que utilice la validación de DNS para establecer el control de su dominio, puede obtener más certificados y hacer que ACM renueve certificados existentes del dominio, siempre que el registro siga en vigor y el certificado, en uso. No hace falta que vuelva a validar el control del dominio. Si elige la validación por correo electrónico en lugar de la de DNS, se envían correos electrónicos al propietario del dominio solicitando aprobación para emitir el certificado. Tras validar que posee o controla cada nombre de dominio de su solicitud, se emite el certificado, que está listo para aprovisionarse con otros servicios de AWS, como Elastic Load Balancing o Amazon CloudFront. Consulte la documentación de ACM para obtener más información.

P: ¿Cuánto se tarda en emitir un certificado?

El plazo para emitir un certificado tras validar todos los nombres de dominio de la solicitud de certificado puede ser de varias horas o más.

P: ¿Qué sucede cuando solicito un certificado?

ACM intenta validar la propiedad o el control de cada nombre de dominio de la solicitud de certificado mediante el método de validación que eligiera (DNS o correo electrónico) al realizar la solicitud. El estado de la solicitud de certificado es Validación pendiente mientras ACM intenta validar que posee o controla el dominio. Consulte las siguientes secciones de validación de DNS y validación por correo electrónico para obtener más información sobre el proceso de validación. Tras validar todos los nombres de dominio de la solicitud de certificado, el plazo para emitir certificados puede ser de varias horas o más. Cuando se emite el certificado, el estado de la solicitud de certificado cambia a Emitido, y puede comenzar a utilizarlo con otros servicios de AWS que estén integrados con ACM.

P: ¿Por qué se encuentra mi solicitud de certificado en estado “Validación pendiente”?

Los certificados que se han solicitado pero todavía no se han validado se encuentran en estado Validación pendiente. Hay que validar el dominio de la solicitud de certificado para poder emitir el certificado. Para determinar por qué su solicitud se encuentra en ese estado, visite la Guía de resolución de problemas de ACM.

P: ¿Por qué se encuentra mi solicitud de certificado en estado "Fallido"?

El proceso de validación del control del dominio puede fracasar por varios motivos. Entre ellos se incluyen, sin carácter limitativo, que el dominio esté incluido en una lista de URL de recursos web que se considera que contienen malware o contenido de suplantación de identidad (phishing). Para determinar por qué ha fallado su solicitud, visite la Guía de resolución de problemas de ACM.

P: ¿Por qué se encuentra mi solicitud de certificado en estado "Tiempo agotado para la validación"?

El tiempo de las solicitudes de certificados ACM se agota si no se validan dentro de un plazo de 72 horas. Consulte la guía del usuario de ACM para sugerencias de resolución de problemas.

P: ¿Permite ACM comprobar los registros DNS de la Autorización de Entidades de Certificación (CAA)?

Sí. Los registros DNS de Autorización de Entidades de Certificación (Certificate Authority Authorization, CAA) permiten a los propietarios de dominios especificar las entidades de certificación que están autorizadas a emitir los certificados de sus dominios. Cuando se solicita un certificado ACM, AWS Certificate Manager busca un registro CAA en la configuración de la zona DNS correspondiente al dominio. Si no existe ningún registro CAA, Amazon puede emitir el certificado del dominio. La mayoría de los clientes están dentro de esta categoría.

Si la configuración de DNS contiene un registro CAA, en ese registro debe especificarse uno de los nombres de entidad de certificación siguientes para que Amazon pueda emitir el certificado del dominio: amazon.com, amazontrust.com, awstrust.com o amazonaws.com. Consulte Configuración de un registro CAA o Solución de problemas de CAA en la guía del usuario de AWS Certificate Manager para obtener más información.

P: ¿Admite ACM otros métodos para validar un dominio?

Por ahora no.

                                                                 Volver arriba >>

P: ¿Qué es la validación de DNS?

Con la validación de DNS, puede validar su propiedad de un dominio añadiendo un registro CNAME en su configuración de DNS. La validación de DNS le facilita la tarea de establecer que posee un dominio al solicitar certificados SSL/TLS desde ACM.

P: ¿Qué beneficios tiene la validación de DNS?

La validación de DNS le facilita la tarea de validar que posee o controla un dominio para poder obtener un certificado SSL/TLS. Con la validación de DNS, basta con escribir un registro CNAME en la configuración de DNS para establecer el control de su nombre de dominio. Para simplificar el proceso de validación de DNS, la consola de administración de ACM puede configurar sus registros DNS si usted los administra con Amazon Route 53. De este modo, resulta más fácil establecer el control de su nombre de dominio con tan solo unos clics. Una vez configurado el registro CNAME, ACM renueva de forma automática los certificados que estén en uso (asociados con otros recursos de AWS), siempre que el registro DNS de validación siga en vigor. Las renovaciones son completamente automáticas y sin contacto.

P: ¿Quién debe utilizar la validación de DNS?

Todo aquel que solicite un certificado mediante ACM y tenga la capacidad de cambiar la configuración de DNS del dominio que soliciten debe plantearse el uso de la validación de DNS.

P: ¿ACM admite todavía la validación por correo electrónico?

Sí. ACM sigue admitiendo la validación por correo electrónico para los clientes que no puedan cambiar la configuración de DNS.

P: ¿Qué registros tengo que añadir a la configuración de DNS para validar un dominio?

Debe añadir un registro CNAME en el dominio que desee validar. Por ejemplo, para validar el nombre www.example.com, debe añadir un registro CNAME a la zona de example.com. El registro que añada debe contener un token que ACM genera al azar específicamente para su dominio y su cuenta de AWS. Puede obtener las dos partes del registro CNAME (nombre y etiqueta) desde ACM. Para obtener más instrucciones, consulte la guía del usuario de ACM.

P: ¿Cómo puedo añadir o modificar registros DNS en mi dominio?

Para obtener más información sobre cómo añadir o modificar registros DNS, consulte a su proveedor de DNS. La documentación de DNS de Amazon Route 53 ofrece más información para los clientes que utilizan DNS de Amazon Route 53.

P: ¿Puede ACM simplificar la validación de DNS a los clientes de DNS de Amazon Route 53?

Sí. Para los clientes que utilizan DNS de Amazon Route 53 para administrar registros DNS, la consola de ACM puede añadir registros a su configuración de DNS cuando solicite un certificado. La zona hospedada en el DNS de Route 53 de su dominio debe configurarse en la misma cuenta de AWS que aquella desde la que realiza la solicitud, y necesita los permisos suficientes para realizar cambios en la configuración de Amazon Route 53. Para obtener más instrucciones, consulte la guía del usuario de ACM.

P: ¿La validación de DNS me obliga a utilizar un proveedor de DNS específico?

No. Puede utilizar la validación de DNS con cualquier proveedor de DNS, siempre que este le permita añadir un registro CNAME a la configuración de DNS.

P: ¿Cuántos registros DNS necesito si quiero obtener más de un certificado para el mismo dominio?

Solo uno. Puede obtener varios certificados para el mismo nombre de dominio de la misma cuenta de AWS con un registro CNAME. Por ejemplo, si realiza dos solicitudes de certificado desde la misma cuenta de AWS del mismo nombre de dominio, tan solo necesita un registro CNAME de DNS.

P: ¿Puedo validar varios nombres de dominio con el mismo registro CNAME?

No. Cada nombre de dominio debe tener un registro CNAME único.

P: ¿Puedo validar un nombre de dominio comodín con la validación de DNS?

Sí.

P: ¿Cómo crea ACM registros CNAME?

Los registros CNAME de DNS tienen dos componentes: un nombre y una etiqueta. El componente de nombre de un CNAME generado por ACM se crea a partir de un guion bajo (_) seguido de un token, que es una cadena única vinculada a su cuenta de AWS y su nombre de dominio. ACM antepone el guion bajo y el token a su nombre de dominio para crear el componente de nombre. ACM crea la etiqueta a partir de un guion bajo antepuesto a otro token que también está vinculado a su cuenta de AWS y su nombre de dominio. ACM antepone el guion bajo y el token a un nombre de dominio DNS que AWS utiliza para realizar validaciones: acm-validations.aws. Estos ejemplos muestran el formato de CNAME de www.example.com, subdomain.example.com y *.example.com.

_TOKEN1.www.example.com            CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdomain.example.com  CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.example.com                      CNAME     _TOKEN6.acm-validations.aws

Tenga en cuenta que ACM elimina la etiqueta comodín (*) al generar registros CNAME de nombres comodín. En consecuencia, el registro CNAME generado por ACM para un nombre comodín (como *.example.com) es el mismo registro proporcionado para el nombre de dominio sin la etiqueta comodín (example.com).

P: ¿Puedo validar todos los subdominios de un dominio con un solo registro CNAME?

No. Todos los nombres de dominio, incluidos nombres de host y de subdominios, deben validarse por separado; cada uno con registro CNAME único.

P: ¿Por qué ACM utiliza registros CNAME en la validación de DNS en lugar de registros TXT?

Con un registro CNAME, ACM puede renovar certificados mientras exista el registro CNAME. El registro CNAME dirige a un registro TXT de un dominio de AWS (acm-validations.aws) que ACM puede actualizar si hace falta para validar o volver a validar un nombre de dominio, sin que tenga que hacer nada.

P: ¿La validación de DNS funciona en todas las regiones de AWS?

Sí. Puede crear un registro CNAME de DNS y utilizarlo para obtener certificados en la misma cuenta de AWS en cualquier región de AWS donde ACM esté disponible. Configure el registro CNAME una vez y podrá obtener certificados emitidos y renovados desde ACM para ese nombre sin tener que crear otro registro.

P: ¿Puedo elegir métodos de validación distintos en el mismo certificado?

No. Cada certificado solo puede tener un método de validación.

P: ¿Cómo puedo renovar un certificado validado con la validación de DNS?

ACM renueva de forma automática los certificados que estén en uso (asociados con otros recursos de AWS), siempre que el registro DNS de validación siga en vigor.

P: ¿Puedo revocar el permiso para emitir certificados para mi dominio?

Sí. Basta con quitar el registro CNAME. ACM no volverá a emitir ni renovar certificados para su dominio con la validación de DNS cuando haya quitado el registro CNAME y el cambio se distribuya a través de DNS. El tiempo de propagación para quitar el registro depende del proveedor de DNS.

P: ¿Qué ocurre si quito el registro CNAME?

ACM no puede emitir ni renovar certificados para su dominio con la validación de DNS si quita el registro CNAME.

Volver arriba >>

P: ¿Qué es la validación por correo electrónico?

Con la validación por correo electrónico, se envía un correo electrónico solicitando aprobación al propietario del dominio registrado por cada nombre de dominio de la solicitud de certificado. El propietario del dominio o su representante autorizado (aprobador) puede aprobar la solicitud de certificado siguiendo las instrucciones del correo electrónico. Las instrucciones indican al aprobador que se dirija al sitio web de aprobación y que, para ello, haga clic en el enlace del correo electrónico, o lo pegue en el navegador web. El aprobador confirma la información asociada con la solicitud de certificado, como el nombre de dominio, ID del certificado (ARN) e ID de la cuenta de AWS que ha iniciado la solicitud, y la aprueba si la información es correcta.

P: Cuando solicite un certificado y elija la validación por correo electrónico, ¿a qué direcciones de correo electrónico se envía la solicitud de aprobación del certificado?

Cuando solicita un certificado con la validación por correo electrónico, se utiliza una búsqueda WHOIS de cada nombre de dominio incluido en la solicitud de certificado para recuperar la información de contacto del dominio. Se envía un correo electrónico al registrador del dominio, al contacto administrativo y al contacto técnico listados en el dominio. También se envía un correo electrónico a cinco direcciones especiales, que se forman poniendo delante del dominio que solicita lo siguiente: admin@, administrator@, hostmaster@, webmaster@ y postmaster@. Por ejemplo, si solicita un certificado para server.example.com, se envía un correo electrónico al registrador del dominio, al contacto técnico y al contacto administrativo a través de la información de contacto proporcionada por la búsqueda WHOIS del dominio example.com, así como a admin@server.example.com, administrator@server.example.com, hostmaster@server.example.com, postmaster@server.example.com y webmaster@server.example.com.

Las cinco direcciones de correo electrónico especiales se crean de forma distinta, dependiendo de si se trata de nombres de dominio que empiezan por "www" o nombres comodín que empiezan por (*). ACM elimina "www" o el asterisco y se envía el correo electrónico a la dirección administrativa, compuesta de admin@, administrator@, hostmaster@, postmaster@ y webmaster@, y la parte restante del nombre de dominio. Por ejemplo, si solicita un certificado para www.example.com, se envía el correo electrónico a los contactos WHOIS, tal y como se ha descrito anteriormente, y a admin@example.com en lugar de a admin@www.example.com. Las otras cuatro direcciones de correo electrónico especiales se crean de forma similar.

Una vez solicitado un certificado, puede visualizar la lista de direcciones de correo electrónico a las que se ha enviado un correo por cada dominio a través de la consola de ACM, la CLI de AWS o las API.

P: ¿Puedo configurar las direcciones de correo electrónico a las que se envía la solicitud de aprobación del certificado?

No, pero puede configurar el nombre de dominio base al que desea que se envíe el correo electrónico de validación. El nombre de dominio base debe ser un superdominio del nombre de dominio de la solicitud de certificado. Por ejemplo, si desea solicitar un certificado para server.domain.example.com, pero quiere que el correo electrónico de aprobación se dirija a admin@domain.example.com, puede hacerlo usando la CLI de AWS o las API. Consulte la referencia sobre la CLI de ACM y la referencia sobre las API de ACM para obtener más información.

P: ¿Puedo utilizar dominios que tengan información de contacto de proxy (como Privacy Guard o WhoisGuard)?

Sí. Sin embargo, el envío del correo electrónico podría retrasarse por motivo del proxy. El correo electrónico enviado a través de un proxy podría acabar en la carpeta de spam. Consulte la guía del usuario de ACM para sugerencias de resolución de problemas.

P: ¿Puede ACM validar mi identidad utilizando el contacto técnico de mi cuenta de AWS?

No. Los procedimientos y las políticas de validación de la identidad del propietario del dominio son muy estrictos y están determinados por el CA/Browser Forum, que establece los estándares de política para las autoridades de certificados de confianza pública. Para obtener más información, consulte el documento Amazon Trust Services Certification Practices Statement más reciente en el repositorio de Amazon Trust Services.

P: ¿Qué debería hacer si no recibo el correo electrónico de aprobación?

Consulte la guía del usuario de ACM para sugerencias de resolución de problemas.

Volver arriba >>

P: ¿Cuentan los certificados emitidos por ACM con la confianza de navegadores, sistemas operativos y dispositivos móviles?

Los certificados emitidos por ACM cuentan con la confianza de la mayoría de navegadores, sistemas operativos y dispositivos móviles modernos. Los certificados proporcionados por ACM son compatibles con el 99% de los navegadores y sistemas operativos, incluidos Windows XP SP3 y Java 6 y posterior.

P: ¿Cómo puedo confirmar que mi navegador confía en certificados proporcionados por ACM?

Los navegadores que confían en certificados proporcionados por ACM muestran el icono de un candado y no emiten avisos de certificado cuando se conectan a sitios que utilizan certificados proporcionados por ACM a través de SSL/TLS, por ejemplo mediante el uso de HTTPS.

Los certificados proporcionados por ACM están verificados por la autoridad de certificados (CA) de Amazon. Cualquier navegador, aplicación o sistema operativo que incluye la autorización Amazon Root CA 1, Starfield Services Root Certificate Authority – G2 o Starfield Class 2 Certification Authority confía en los certificados proporcionados por ACM.

P: ¿Puede ACM proporcionar certificados con varios nombres de dominio?

Sí. Cada certificado debe incluir al menos un nombre de dominio. Si lo desea, puede añadir nombres adicionales al certificado. Por ejemplo, puede añadir el nombre “www.example.net” a un certificado de “www.example.com” si los usuarios pueden acceder a su sitio con ambos nombres. Debe poseer o controlar todos los nombres incluidos en la solicitud de certificado.

P: ¿Qué es un nombre de dominio comodín?

Un nombre de dominio comodín coincide con cualquier nombre de host o subdominio de primer nivel en un dominio. Un subdominio de primer nivel es una única etiqueta de nombre de dominio que no contiene un punto. Por ejemplo, puede utilizar el nombre *.example.com para proteger www.example.com, images.example.com, así como cualquier otro subdominio o nombre de host de primer nivel de termine por .example.com. Consulte la guía del usuario de ACM para obtener más detalles.

P: ¿Puede ACM proporcionar certificados con nombres de dominio comodín?

Sí.

P: ¿Proporciona ACM certificados de validación organizativa (OV) o validación extendida (EV)?

Por ahora no.

P: ¿Proporciona ACM certificados para sitios web que no sean de tipo SSL/TLS?

Por ahora no.

P: ¿Puedo utilizar los certificados proporcionados por ACM para la firma de código o el cifrado de correos electrónicos?

No.

P: ¿Proporciona ACM certificados para firmar y cifrar correos electrónicos (certificados S/MIME)?

Por ahora no.

P: ¿Qué algoritmos utilizan los certificados proporcionados por ACM?

Los certificados de ACM utilizan claves RSA con un módulo de 2048 bits y SHA-256.

P: ¿Admite ACM certificados de curva elíptica (ECDSA)?

Por ahora no.

P: ¿Dónde detalla Amazon sus políticas y prácticas de emisión de certificados?

Se detallan en los documentos Amazon Trust Services Certificate Policies y Amazon Trust Services Certification Practices Statement. Diríjase al repositorio de Amazon Trust Services para consultar las versiones más recientes.

P: ¿Cómo puedo revocar un certificado?

Para solicitar que ACM revoque un certificado, visite el centro de AWS Support y abra un caso. 

P: ¿Cómo puedo informar a AWS si la información del certificado cambia?

Para notificar a AWS, envíe un correo electrónico a validation-questions[at]amazon.com.

Volver arriba >>

P: ¿Cómo se administran las claves privadas de los certificados proporcionados por ACM?

Se crea un par de claves para cada certificado proporcionado por ACM. AWS Certificate Manager está diseñado para proteger y administrar las claves privadas que se utilizan con los certificados SSL/TLS. Se utilizan las prácticas recomendadas de cifrado complejo y administración de claves para proteger y almacenar las claves privadas.

P: ¿Copia ACM certificados de una región a otra de AWS?

No. La clave privada de cada certificado de ACM se almacena en la región en la que se ha solicitado el certificado. Por ejemplo, si obtiene un certificado nuevo en la región EE. UU. Este (Norte de Virginia), ACM almacena la clave privada en la región del Norte de Virginia. Los certificados solo se copian de una región a otra si el certificado está asociado con una distribución de CloudFront. En ese caso, CloudFront distribuye el certificado de ACM a las ubicaciones geográficas configuradas en su distribución.

P: ¿Puedo inspeccionar el uso de las claves privadas del certificado?

Sí. Con AWS CloudTrail puede analizar los registros, que le indican cuándo se ha utilizado la clave privada de cada certificado.

Volver arriba >>

P: ¿Cómo se me cobrará y facturará el uso que haga de los certificados de ACM?

Los certificados SSL/TLS aprovisionados, administrados e implementados mediante AWS Certificate Manager son gratuitos. Solo ha de pagar por los recursos de AWS que crea para ejecutar su aplicación, como balanceadores de carga de Elastic Load Balancing o distribuciones de Amazon CloudFront.

Volver arriba >>

P: ¿Puedo utilizar el mismo certificado con varios balanceadores de carga de Elastic Load Balancing y distribuciones de CloudFront?

Sí.

P: ¿Puedo utilizar los certificados con balanceadores de carga de Elastic Load Balancing internos, sin acceso al Internet público?

Sí. Consulte Renovación e implementación administradas para obtener más información acerca de cómo ACM gestiona las renovaciones de certificados a los que no se puede acceder desde el Internet público.

P: ¿Sirve el certificado de www.example.com para example.com?

No. Si desea referenciar su sitio con ambos nombres de dominio (www.example.com y example.com), debe solicitar un certificado que incluya los dos nombres.

P: ¿Puedo importar un certificado de terceros y usarlo con los servicios de AWS?

Sí. Si desea utilizar un certificado de terceros con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, debe importarlo en ACM con la consola de administración de AWS, la CLI de AWS o las API de ACM. ACM no administra el proceso de renovación de certificados importados. Puede utilizar la consola de administración de AWS para monitorizar las fechas de vencimiento de los certificados importados e importar un certificado de un tercero que reemplace a uno que está a punto de caducar.

P: ¿Cuál es el periodo de validez de los certificados proporcionados por ACM?

En la actualidad, los certificados proporcionados por ACM tienen una validez de 13 meses.

P: ¿Cómo puede ACM ayudar a mi organización a cumplir con los requisitos de conformidad?

El uso de ACM le ayuda a cumplir con los requisitos reglamentarios, al facilitar la protección de las conexiones, requisito común de numerosos programas de conformidad, como PCI, FedRAMP e HIPAA. Para obtener información específica sobre conformidad, consulte http://aws.amazon.com/compliance.

P: ¿Tiene ACM un acuerdo de nivel de servicios (SLA)?

Por ahora no.

P: ¿Admite ACM los caracteres de idiomas extranjeros en los nombres de dominio, también conocidos como nombres de dominio internacionalizados (IDN)?

ACM no permite el uso de caracteres Unicode de los idiomas locales. En su lugar, admite caracteres ASCII de los idiomas locales en los nombres de dominio.

P: ¿Qué formatos de etiquetas de nombres de dominio admite ACM?

ACM solo admite ASCII con codificación UTF-8 en los nombres de dominio, incluidas etiquetas que contienen “xn–”, conocidas comúnmente como Punycode. ACM no acepta Unicode (etiquetas u) en los nombres de dominio.

P: ¿Proporciona ACM un sello de sitio seguro o logotipo de confianza que pueda mostrar en mi sitio web?

No. Si desea utilizar un sello de sitio, puede obtenerlo a través de un distribuidor externo. Le aconsejamos que elija un distribuidor que evalúe y garantice la seguridad de su sitio, de sus prácticas empresariales, o de ambos.

P: ¿Es posible utilizar Amazon las marcas comerciales o el logotipo de Amazon como insignia de certificado, sello de sitio o logotipo de confianza?

No. Los sellos e insignias de este tipo podrían copiarse en sitios que no utilicen el servicio ACM y usarse de forma indebida para generar confianza con falsos pretextos. Con el fin de proteger a nuestros clientes y la reputación de Amazon, no permitimos dicho uso de nuestro logotipo.

Volver arriba >>

P: ¿Qué información de registro se encuentra disponible en AWS CloudTrail?

Puede identificar qué usuarios y cuentas llamaron a las API de AWS para servicios compatibles con AWS CloudTrail, la dirección IP desde la que se efectuaron las llamadas y cuándo se realizaron. Por ejemplo, puede identificar qué usuario realizó una llamada a la API para asociar un certificado proporcionado por ACM con un Elastic Load Balancer, y cuándo el servicio Elastic Load Balancing descifró la clave con una llamada a la API de KMS.

Volver arriba >>

P: ¿Qué son la renovación e implementación administradas?

La renovación e implementación administradas de ACM administran el proceso de renovación de los certificados SSL/TLS proporcionados por ACM y la implementación de los mismos una vez renovados.

P: ¿Cuáles son las ventajas de utilizar la renovación e implementación administradas de ACM?

ACM se encarga de administrar la renovación e implementación de certificados SSL/TLS. ACM hace de la configuración y el mantenimiento de SSL/TLS para un servicio o aplicación web seguros un sistema más eficaz que los procesos manuales, susceptibles a errores. La renovación e implementación administradas pueden ayudarle a evitar los tiempos de inactividad derivados de certificados caducados. Con la renovación e implementación administradas de ACM, no es necesario instalar ni mantener un cliente o agente de software en su sitio. En su lugar, ACM opera como un servicio que se integra con otros servicios de AWS. Eso significa que puede administrar e implementar certificados a nivel central en la plataforma de AWS mediante consola de administración de AWS, la CLI de AWS o las API.

P: ¿Qué certificados se pueden renovar e implementar automáticamente?

ACM puede renovar e implementar los certificados proporcionados por ACM sin la validación adicional del propietario del dominio. Si un certificado no se puede renovar sin validación adicional, ACM administrará el proceso de renovación validando la propiedad del dominio o control por cada nombre de dominio del certificado. Una vez validado cada nombre de dominio del certificado, ACM renueva el certificado y lo implementa automáticamente en sus recursos de AWS. Si ACM no puede validar la propiedad del dominio, se lo notificaremos al propietario de la cuenta de AWS.

Si eligió la validación de DNS en la solicitud de certificado, ACM puede renovar su certificado de forma indefinida sin que tenga que hacer nada, siempre que el certificado esté en uso (asociado con otros recursos de AWS) y el registro CNAME siga en vigor. Si eligió la validación por correo electrónico al solicitar un certificado, puede mejorar la capacidad de ACM para renovar e implementar certificados proporcionados por ACM de forma automática, garantizando que el certificado esté en uso, que todos los nombres de dominio incluidos en el certificado se puedan apuntar a su sitio y que se pueda acceder a todos los nombres de dominio desde internet.

P: ¿Cuándo renueva los certificados ACM?

ACM comienza el proceso de renovación hasta 60 días antes de la fecha de vencimiento del certificado. En la actualidad, el periodo de validez de los certificados proporcionados por ACM es de 13 meses. Consulte la guía del usuario de ACM para obtener más información acerca de la renovación administrada.

P: ¿Se me notificará antes de que se renueve el certificado y se implemente el nuevo?

No. ACM puede renovar el certificado o regenerar sus claves y reemplazar el anterior sin aviso previo.

P: ¿Puede ACM renovar certificados que contengan dominios vacíos, como “example.com” (también llamados de ápex de zona o dominios desnudos)?

Si eligió la validación de DNS en la solicitud de certificado, ACM puede renovar su certificado sin que tenga que hacer nada, siempre que el certificado esté en uso (asociado con otros recursos de AWS) y el registro CNAME siga en vigor.

Si eligió la validación por correo electrónico al solicitar al solicitar un certificado con un dominio vacío, compruebe que una búsqueda DNS del dominio vacío se apunta al recurso de AWS asociado con el certificado. Apuntar el dominio vacío a un recurso de AWS podría resultar complicado a menos que utilice Route 53 u otro proveedor de DNS que admita los registros de recursos alias (o su equivalente) para la asignación de dominios vacíos a recursos de AWS. Para obtener más información, consulte la guía para desarrolladores de Route 53.

P: ¿Abandonará mi sitio las conexiones existentes cuando ACM implemente el certificado renovado?

No, las conexiones establecidas una vez implementado el certificado nuevo utilizan dicho certificado. Las conexiones existentes no se ven afectadas.

Volver arriba >>