Preguntas frecuentes sobre AWS Certificate Manager

AWS Certificate Manager (ACM) es un servicio que le permite aprovisionar, administrar e implementar con facilidad certificados de capa de sockets seguros/seguridad de la capa de transporte (SSL/TLS). Los certificados SSL/TLS se usan para proteger las comunicaciones de red y establecer la identidad de los sitios web en Internet, así como los recursos en las redes privadas. ACM elimina el arduo proceso manual de compra, carga y renovación de los certificados SSL/TLS. Con AWS Certificate Manager puede solicitar rápidamente un certificado, implementarlo en los recursos de AWS como equilibradores de carga elásticos, distribuciones de Amazon CloudFront, o bien en alguna API en API Gateway, y dejar que ACM se ocupe de renovar los certificados. También puede usar estos certificados para terminar de forma segura el tráfico en cualquier carga de trabajo de computación que requiera un certificado público, incluidas las que se ejecutan en instancias de EC2, contenedores o hosts en las instalaciones. ACM también le permite crear certificados privados para sus recursos internos y administrar el ciclo de vida de los certificados de manera centralizada. Los certificados SSL/TLS públicos y privados aprovisionados a través de ACM y usados exclusivamente con los servicios integrados en ACM, como Elastic Load Balancing, Amazon CloudFront y Amazon API Gateway, son gratuitos. Si elige emitir certificados públicos exportables, paga por la emisión y renovación de los certificados y por el uso relacionado de las API. Solo paga por los recursos de AWS que cree para ejecutar su aplicación. Usted paga una cuota mensual por el funcionamiento de cada CA privada hasta que la elimine y por los certificados privados que emita y que no se utilicen exclusivamente con servicios integrados en ACM.

Los certificados SSL/TLS permiten a los navegadores web identificar y establecer conexiones de red cifradas con sitios web mediante el protocolo de capa de sockets seguros/seguridad de la capa de transporte (SSL/TLS). Los certificados se emiten con un sistema criptográfico conocido como infraestructura de claves públicas (PKI). PKI permite que una parte establezca la identidad de otra parte mediante el uso de certificados si ambos confían en un tercero, conocido como autoridad de certificación. Puede consultar el tema Concepts de la Guía del usuario de ACM para conocer más definiciones y obtener más información.

Los certificados privados identifican recursos dentro de una organización, como aplicaciones, servicios, dispositivos y usuarios. Al definir un canal de comunicación cifrado seguro, cada punto de enlace utiliza un certificado y técnicas criptográficas para demostrar su identidad a otro punto de enlace. Los puntos de conexión de API internos, los servidores web, los usuarios de VPN, los dispositivos de IoT y muchas otras aplicaciones usan los certificados privados para definir canales de comunicación cifrados que son necesarios para un funcionamiento seguro.

Tanto los certificados públicos como los privados ayudan a los clientes a identificar recursos en redes y a proteger la comunicación entre estos recursos. Los certificados públicos identifican recursos en el Internet público, mientras que los certificados privados hacen lo mismo en las redes privadas. Una diferencia clave es que las aplicaciones y los navegadores confían automáticamente en los certificados públicos de manera predeterminada, mientras que un administrador debe configurar explícitamente las aplicaciones para que confíen en los certificados privados. Las CA públicas, las entidades que emiten los certificados públicos, deben respetar normas estrictas, proporcionar visibilidad operativa y cumplir estándares de seguridad impuestos por los proveedores de sistemas operativos y navegadores, quienes deciden en qué CA confiarán automáticamente sus navegadores y sistemas operativos. La administración de las CA privadas está a cargo de organizaciones privadas y los administradores de CA privadas pueden crear sus propias normas para la emisión de certificados privados, incluidas prácticas para la emisión de certificados y qué información deben incluir estos. 

Al solicitar un certificado público a través de ACM, si lo desea, puede designar el certificado para que sea exportable. Una vez emitido el certificado, puede seleccionarlo y exportarlo a través de la Consola de administración de AWS. Se le pedirá la frase de contraseña que ACM utilizará para cifrar la clave privada. A continuación, puede descargar y guardar el certificado, la clave privada y la cadena de certificados e implementar el certificado siguiendo las instrucciones específicas de su aplicación de TLS. Para automatizar estos pasos, escriba código o scripts que empleen los SDK o la interfaz de la línea de comandos (CLI) de AWS.

ACM facilita la habilitación de SSL/TLS en un sitio web o aplicación en entornos de AWS, híbridos y multinube. ACM elimina muchos de los procesos manuales asociados anteriormente con el uso y la administración de certificados SSL/TLS. Al administrar las renovaciones, ACM también lo ayuda a evitar el tiempo de inactividad debido a certificados configurados erróneamente, revocados o caducados. Se beneficia de la protección de SSL/TLS y de la sencillez en la administración de certificados. Activar SSL/TLS en sitios conectados a Internet puede ayudar a mejorar las clasificaciones de búsqueda de su sitio web y ayudarlo a cumplir los requisitos de conformidad normativa para el cifrado de datos en tránsito.

Cuando usa ACM para administrar certificados, las claves privadas de los certificados se protegen y almacenan de forma segura mediante prácticas recomendadas de cifrado complejo y administración de claves. ACM le permite usar la consola de administración de AWS, la AWS CLI y las API de ACM para administrar de manera centralizada todos los certificados de ACM para SSL/TLS en una región de AWS. ACM se integra con otros servicios de AWS para que pueda solicitar un certificado SSL/TLS y aprovisionarlo en su equilibrador de carga de Elastic Load Balancing o distribución de Amazon CloudFront a través de la Consola de administración de AWS, los comandos de AWS CLI o llamadas a las API.

ACM le permite administrar el ciclo de vida de sus certificados públicos y privados. Las capacidades de ACM dependen de si el certificado es público o privado, la forma en que lo obtiene y dónde lo implementa.

Certificados públicos: puede solicitar certificados públicos emitidos por Amazon en ACM. ACM administra la renovación e implementación de certificados públicos que se usan con servicios integrados con ACM, incluidos Amazon CloudFront, Elastic Load Balancing y Amazon API Gateway.

Certificados públicos exportables: ACM administra la renovación de los certificados públicos exportados que puede implementar con los servicios de AWS o en sus entornos en las instalaciones.

Certificados privados: puede optar por delegar la administración de certificados privados a ACM. Cuando se usa este método, ACM puede renovar e implementar automáticamente certificados privados que se usen con servicios integrados con ACM, incluidos Amazon CloudFront, Elastic Load Balancing y Amazon API Gateway. Puede implementar fácilmente estos certificados con la consola de administración, las API y la interfaz de línea de comandos (CLI) de AWS. Puede exportar certificados privados desde ACM y usarlos con instancias EC2, contenedores, servidores que se encuentren en las instalaciones y dispositivos con IoT. AWS Private CA renueva automáticamente estos certificados y envía una notificación de Amazon CloudWatch una vez finalizada la renovación. Puede escribir código del lado del cliente para descargar las claves privadas y los certificados renovados e implementarlos en su aplicación.

Certificados importados: si desea usar un certificado de terceros con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, debe importarlo en ACM con la consola de administración de AWS, la AWS CLI o las API de ACM. ACM no puede renovar certificados importados, pero puede ayudarlo a administrar el proceso de renovación. Es responsable de monitorear la fecha de vencimiento de los certificados importados y de su renovación oportuna. Puede usar las métricas de CloudWatch de ACM para supervisar las fechas de vencimiento de los certificados importados e importar un certificado de terceros nuevo para reemplazar a uno que está a punto de vencer.

Para empezar a usar ACM, vaya a Certificate Manager en la Consola de administración de AWS y use el asistente para solicitar un certificado SSL/TLS. Si ya creó una CA privada, puede elegir un certificado público o privado, y luego ingresar el nombre de su sitio. También puede solicitar un certificado mediante la interfaz de línea de comandos (CLI) o las API de AWS. Una vez emitido el certificado, puede usarlo con otros servicios de AWS que estén integrados en ACM. Para cada servicio integrado, basta con seleccionar el certificado de SSL/TLS que desee del menú desplegable en la consola de administración de AWS. Si lo prefiere, puede ejecutar un comando de la interfaz de línea de comandos (CLI) de AWS o llamar a una API de AWS para asociar el certificado con su recurso. A continuación, el servicio integrado implementará el certificado en el recurso que haya seleccionado.  Para obtener más información sobre cómo solicitar y usar certificados que proporciona ACM, consulte la Guía del usuario de ACM. Además de usar los certificados privados con los servicios integrados en ACM, también puede exportarlos para usarlos en instancias de EC2, contenedores de ECS o en cualquier otro recurso.

• Elastic Load Balancing: consulte la documentación de Elastic Load Balancing
• Amazon CloudFront: consulte la documentación de CloudFront
• Amazon API Gateway: consulte la documentación de API Gateway
• AWS CloudFormation: la compatibilidad actual se limita a certificados públicos y privados emitidos por ACM. Consulte la documentación de AWS CloudFormation
• AWS Elastic Beanstalk: consulte la documentación de AWS Elastic Beanstalk
• AWS Nitro Enclaves: consulte la documentación de AWS Nitro Enclaves
• AWS Network Firewall: consulte la documentación de AWS Network Firewall
• Amazon OpenSearch Service: consulte la documentación de Amazon OpenSearch Service

Visite las páginas sobre la infraestructura global de AWS para consultar la disponibilidad actual por regiones de los servicios de AWS. Para utilizar un certificado de ACM con Amazon CloudFront, debe solicitar o importar el certificado en la región EE.UU. Este (Norte de Virginia). Los certificados de ACM de esta región asociados con una distribución de CloudFront se distribuyen en todas las ubicaciones geográficas configuradas para dicha distribución.

ACM administra certificados públicos, privados e importados. Obtenga más información sobre las capacidades de ACM en la documentación Issuing and Managing Certificates.

Sí. Cada certificado debe incluir al menos un nombre de dominio. Si lo desea, puede añadir nombres adicionales al certificado. Por ejemplo, puede añadir el nombre “www.ejemplo.net” a un certificado de “www.ejemplo.com” si los usuarios pueden acceder a su sitio con ambos nombres. Debe poseer o controlar todos los nombres incluidos en la solicitud de certificado. 

Un nombre de dominio comodín coincide con cualquier nombre de host o subdominio de primer nivel en un dominio. Un subdominio de primer nivel es una única etiqueta de nombre de dominio que no contiene un punto. Por ejemplo, puede usar el nombre *.example.com para proteger www.example.com, images.example.com, así como cualquier otro subdominio o nombre de host de primer nivel que termine con .example.com. Obtenga más información en la Guía del usuario de ACM.

Sí.

No.

No.

No.

La validez de los certificados públicos emitidos a través de ACM es de 198 días. Si emite certificados privados directamente desde una CA privada y administra las claves y certificados sin usar ACM para esto, puede elegir cualquier periodo de validez, incluida una fecha de finalización absoluta o un tiempo relativo que sea de días, meses o años a partir del momento actual.

Sí, AWS Certificate Manager (ACM) reducirá la validez de los certificados públicos para cumplir con los requisitos de Certificate Authority/Browser Forum (CA/Browser Forum) para los certificados TLS. ACM ya ofrece el manejo automático de las renovaciones de certificados y funcionalidades para notificarle cuando los nuevos certificados estén listos para su implementación.  Amazon Trust Services participa activamente en CA/Browser Forum, donde se establecen los estándares para los certificados TLS de confianza pública. Para cumplir los requisitos de CA/Browser Forum, Amazon Trust Services impondrá una vida útil máxima de un certificado TLS según el siguiente cronograma:

• Desde hoy y hasta el 15 de marzo de 2027, la vida útil máxima de un certificado TLS público emitido será de 198 días. Esto representa una reducción con respecto a la vida útil anterior de 395 días.
• A partir del 15 de marzo de 2027, la vida útil máxima de un certificado TLS público emitido será inferior a 100 días.
• A partir del 15 de marzo de 2029, la vida útil máxima de un certificado TLS público emitido será inferior a 47 días.

Si utiliza certificados públicos exportables de ACM, entendemos su preocupación por los posibles aumentos de costos a medida que evolucionan los periodos máximos de validez de los certificados. AWS se compromete a mantener precios justos para los certificados emitidos a través de ACM. A medida que cambien los estándares del sector, tenemos previsto ajustar nuestra estructura de precios en consecuencia, con el objetivo de mantener el costo anual de los certificados en línea con las tarifas actuales. Con la reducción de la validez de 395 a 198 días, redujimos nuestros precios de 149 USD/nombre comodín y 15 USD/FQDN a 79 y 7 USD, respectivamente. Consulte nuestra página de precios para ver la información más actualizada.

De forma predeterminada, los certificados emitidos en ACM usan claves RSA con un módulo de 2048 bits y SHA-256. Además, puede solicitar certificados con algoritmos de firma digital de curva elíptica (ECDSA) con P-256 o P-384. Obtenga más información sobre algoritmos en la Guía del usuario de ACM.

Para solicitar que ACM revoque un certificado público, visite el centro de AWS Support y abra un caso. Los certificados públicos exportables se pueden revocar mediante la API revoke-certificate. Para revocar un certificado privado emitido por AWS Private CA, consulte la Guía del usuario de AWS Private CA.

No. Los certificados de ACM deben usarse dentro de la misma región donde se encuentra el recurso en el que se usan. La única excepción es Amazon CloudFront, un servicio global que requiere certificados en la región Este de EE. UU. (Norte de Virginia). Los certificados de ACM de esta región asociados con una distribución de CloudFront se distribuyen en todas las ubicaciones geográficas configuradas para dicha distribución.

Sí.

Si lo desea, puede optar por emitir certificados públicos exportables que pueda usar con los servicios integrados y exportarlos para utilizarlos con cualquier carga de trabajo que requiera un certificado TLS. Estas cargas de trabajo pueden estar en AWS, como un servidor que se ejecuta en EC2, o pueden estar fuera de AWS, como un servidor en las instalaciones. También puede utilizar certificados privados emitidos con Private CA con instancias de EC2, contenedores y en sus propios servidores. 

ACM no permite el uso de caracteres codificados en Unicode de los idiomas locales. En su lugar, admite caracteres codificados en ASCII de los idiomas locales en los nombres de dominio.

ACM solo admite ASCII con codificación UTF-8 en los nombres de dominio, incluidas etiquetas que contienen “xn–”, conocidas comúnmente como Punycode. ACM no acepta Unicode (etiquetas u) en los nombres de dominio.

Sí. Si desea utilizar un certificado de terceros con Amazon CloudFront, Elastic Load Balancing o Amazon API Gateway, debe importarlo en ACM con la consola de administración de AWS, la interfaz de línea de comandos (CLI) de AWS o las API de ACM. ACM no administra el proceso de renovación de certificados importados. Puede utilizar la Consola de administración de AWS para supervisar las fechas de vencimiento de los certificados importados e importar un certificado nuevo de un tercero que reemplace a uno que está a punto de caducar.

Tanto los certificados públicos como los privados ayudan a los clientes a identificar recursos en redes y a proteger la comunicación entre estos recursos. Los certificados públicos identifican recursos en Internet.

ACM proporciona certificados públicos de dominio validado (DV) para su uso con sitios web y aplicaciones al final de la conexión SSL/TLS. Para obtener más información sobre los certificados de ACM, consulte Certificate Characteristics.

La mayoría de los navegadores, sistemas operativos y dispositivos móviles modernos confía en los certificados públicos de ACM. Los certificados proporcionados por ACM son compatibles con el 99 % de los navegadores y sistemas operativos, incluidos Windows XP SP3 y Java 6 y versiones posteriores.

Los navegadores que confían en certificados de ACM muestran el ícono de un candado y no emiten avisos de certificado cuando se conectan a sitios que utilizan certificados de ACM a través de SSL/TLS, por ejemplo, mediante el uso de HTTPS.

La autoridad de certificados (certificate authority, CA) de Amazon es la encargada de verificar los certificados de ACM públicos. Cualquier navegador, aplicación o sistema operativo que incluya la autorización Amazon Root CA 1, Amazon Root CA 2, Amazon Root CA 3, Amazon Root CA 4, Starfield Services Root Certificate Authority: G2 confía en los certificados de ACM. Para obtener más información sobre las CA raíz, visite el repositorio de Amazon Trust Services.

No.

Se detallan en los documentos Amazon Trust Services Certificate Policies y Amazon Trust Services Certification Practices Statement. Consulte el repositorio de Amazon Trust Services para consultar las versiones más recientes.

No. Si desea hacer referencia a su sitio con ambos nombres de dominio (www.example.com y example.com), debe solicitar un certificado que incluya los dos nombres.

El uso de ACM lo ayuda a cumplir con los requisitos reglamentarios, al facilitar la protección de las conexiones, requisito común de numerosos programas de cumplimiento, como PCI, FedRAMP e HIPAA. Para obtener información específica sobre cumplimiento, consulte http://aws.amazon.com/compliance.

No, ACM no tiene un SLA.

No. Si desea utilizar un sello de sitio, puede obtenerlo a través de un proveedor de terceros. Le aconsejamos que elija un proveedor que evalúe y garantice la seguridad de su sitio, de sus prácticas empresariales, o de ambos.

No. Los sellos e insignias de este tipo podrían copiarse en sitios que no utilicen el servicio ACM y usarse de forma indebida para generar confianza con falsos pretextos. Con el fin de proteger a nuestros clientes y la reputación de Amazon, no permitimos dicho uso de nuestro logotipo.

Puede utilizar la Consola de administración de AWS, AWS CLI o las API o SDK de ACM. Si desea utilizar la consola de administración de AWS, diríjase a Certificate Manager (Administrador de certificados), elija Request a certificate (Solicitar un certificado), seleccione Request a public certificate (Solicitar un certificado público), escriba el nombre de dominio de su sitio y siga las instrucciones en pantalla para completar la solicitud. Puede añadir nombres de dominio adicionales a su solicitud si los usuarios pueden acceder a su sitio utilizando otros nombres. Para poder emitir un certificado, ACM valida que usted posee o controla los nombres de dominio de su solicitud de certificado. Puede elegir entre la validación de DNS o por correo electrónico al solicitar un certificado. Con la validación de DNS, usted escribe un registro en la configuración pública de DNS de su dominio para establecer que posee o controla el dominio. Desde la primera vez que utilice la validación de DNS para establecer el control de su dominio, puede obtener más certificados y hacer que ACM renueve certificados existentes del dominio, siempre que el registro siga en vigor y el certificado, en uso. No hace falta que vuelva a validar el control del dominio. Si elige la validación por correo electrónico en lugar de la de DNS, se envían correos electrónicos al propietario del dominio solicitando aprobación para emitir el certificado. Tras validar que posee o controla cada nombre de dominio de su solicitud, se emite el certificado, que está listo para aprovisionarse con otros servicios de AWS, como Elastic Load Balancing o Amazon CloudFront.

Si lo desea, puede optar por emitir certificados públicos exportables que pueda usar con los servicios integrados y exportarlos para utilizarlos con cualquier carga de trabajo que requiera un certificado TLS. Estas cargas de trabajo pueden estar en AWS, como un servidor que se ejecuta en EC2, o pueden estar fuera de AWS, como un servidor en las instalaciones. Consulte la documentación de ACM para obtener más información.

Los certificados se usan para establecer la identidad del sitio y proteger las conexiones entre los navegadores y las aplicaciones y su sitio. Para emitir un certificado de confianza pública, Amazon debe validar que el solicitante del certificado tenga el control del nombre de dominio de la solicitud de certificado.

Antes de emitir un certificado, ACM valida que posee o controla los nombres de dominio de su solicitud de certificado. Puede elegir entre la validación de DNS o por correo electrónico al solicitar un certificado. Con la validación de DNS, puede validar la propiedad del dominio añadiendo un registro CNAME en su configuración de DNS. Consulte Validación de DNS para obtener más información. Si no tiene la capacidad de escribir registros en la configuración pública de DNS de su dominio, puede emplear la validación por correo electrónico en lugar de la de DNS. Con la validación por correo electrónico, ACM envía correos electrónicos al propietario del dominio registrado; y el propietario o un representante autorizado pueden aprobar la emisión de los nombres de dominio de la solicitud de certificado. Consulte Validación por correo electrónico para obtener más información. Si emite certificados para usarlos con Administrador de SaaS de Amazon CloudFront, ACM emite automáticamente certificados validados mediante HTTP. Consulte Validación HTTP para obtener más información.

Si emite certificados directamente desde ACM, le aconsejamos que utilice la validación de DNS si tiene la capacidad de cambiar la configuración de DNS de su dominio. Los clientes que no puedan recibir correos electrónicos de validación de ACM y aquellos que utilicen un registrador de dominios que no publique información de contacto electrónico del propietario del dominio en WHOIS deben emplear la validación de DNS. Si no puede modificar la configuración de DNS, deberá emplear la validación por correo electrónico.

Si necesita certificados para usarlos con Administrador de SaaS de Amazon CloudFront, ACM aprovisiona automáticamente los certificados validados mediante HTTP como parte del proceso de aprovisionamiento de CloudFront.

No, pero puede solicitar un certificado nuevo y gratuito desde ACM y elegir la validación de DNS para el nuevo.

El plazo para emitir un certificado tras validar todos los nombres de dominio de la solicitud de certificado puede ser de varias horas o más.

ACM intenta validar la propiedad o el control de cada nombre de dominio de la solicitud de certificado mediante el método de validación que eligiera (DNS o correo electrónico) al efectuar la solicitud. El estado de la solicitud de certificado es Validación pendiente mientras ACM intenta validar que posee o controla el dominio. Consulte las siguientes secciones sobre validación de DNS y validación por correo electrónico para obtener más información sobre el proceso de validación. Tras validar todos los nombres de dominio de la solicitud de certificado, el plazo para emitir certificados puede ser de varias horas o más. Cuando se emite el certificado, el estado de la solicitud de certificado cambia a Emitido, y puede comenzar a utilizarlo con otros servicios de AWS que estén integrados con ACM.

Sí. Los registros de la Autorización de la autoridad de certificación (CAA) en el sistema de nombres de dominio (DNS) permiten a los propietarios de dominios especificar las entidades de certificación que están autorizadas a emitir los certificados de sus dominios. Cuando se solicita un certificado ACM, AWS Certificate Manager busca un registro de la CAA en la configuración de la zona DNS correspondiente al dominio. Si no existe ningún registro de la CAA, Amazon puede emitir el certificado del dominio. La mayoría de los clientes están dentro de esta categoría.

Si la configuración de DNS contiene un registro de la CAA, en ese registro debe especificarse uno de los nombres de entidad de certificación siguientes para que Amazon pueda emitir el certificado del dominio: amazon.com, amazontrust.com, awstrust.com o amazonaws.com. Consulte Configure a CAA Record o Troubleshooting CAA Problems en la guía del usuario de AWS Certificate Manager para obtener más información.

Con la validación de DNS, puede validar su propiedad de un dominio agregando un registro CNAME a su configuración de DNS. La validación de DNS le facilita la tarea de establecer que posee un dominio al solicitar certificados públicos SSL/TLS desde ACM.

La validación de DNS le facilita la tarea de validar que posee o controla un dominio para poder obtener un certificado SSL/TLS. Con la validación de DNS, basta con escribir un registro CNAME en la configuración de DNS para establecer el control de su nombre de dominio. Para simplificar el proceso de validación de DNS, la consola de administración de ACM puede configurar sus registros DNS si usted los administra con Amazon Route 53. De este modo, resulta más fácil establecer el control de su nombre de dominio con tan solo unos clics. Una vez configurado el registro CNAME, ACM renueva de forma automática los certificados que estén en uso (asociados con otros recursos de AWS), siempre que el registro DNS de validación siga en vigor. Las renovaciones son completamente automáticas y sin contacto.

Todo aquel que solicite un certificado mediante ACM y tenga la capacidad de cambiar la configuración de DNS del dominio que solicite debe plantearse el uso de la validación de DNS.

Sí. ACM sigue admitiendo la validación por correo electrónico para los clientes que no puedan cambiar la configuración de DNS.

Debe agregar un registro CNAME en el dominio que desee validar. Por ejemplo, para validar el nombre www.ejemplo.com, debe agregar un registro CNAME a la zona de ejemplo.com. El registro que agregue debe contener un token único que ACM genera al azar específicamente para su dominio y su cuenta de AWS. Puede obtener las dos partes del registro CNAME (nombre y etiqueta) desde ACM. Para obtener más instrucciones, consulte la Guía del usuario de ACM.

Para obtener más información sobre cómo agregar o modificar registros de DNS, consulte a su proveedor de DNS. La documentación de DNS de Amazon Route 53 ofrece más información para los clientes que utilizan DNS de Amazon Route 53.

Sí. Para los clientes que utilicen DNS de Amazon Route 53 para administrar registros de DNS, la consola de ACM puede agregar registros a su configuración de DNS cuando solicite un certificado. La zona hospedada en el DNS de Route 53 de su dominio debe configurarse en la misma cuenta de AWS que aquella desde la que realiza la solicitud, y necesita los permisos suficientes para realizar cambios en la configuración de Amazon Route 53. Para obtener más instrucciones, consulte la guía del usuario de ACM.

No. Puede utilizar la validación de DNS con cualquier proveedor de DNS, siempre que este le permita agregar un registro CNAME a la configuración de DNS.

Solo uno. Puede obtener varios certificados para el mismo nombre de dominio de la misma cuenta de AWS con un registro CNAME. Por ejemplo, si hace dos solicitudes de certificado desde la misma cuenta de AWS del mismo nombre de dominio, tan solo necesita un registro CNAME de DNS.

No. Cada nombre de dominio debe tener un registro CNAME único.

Sí.

Los registros CNAME de DNS tienen dos componentes: un nombre y una etiqueta. El componente de nombre de un CNAME generado por ACM se crea a partir de un guion bajo (_) seguido de un token, que es una cadena única vinculada a su cuenta de AWS y su nombre de dominio. ACM antepone el guion bajo y el token a su nombre de dominio para crear el componente de nombre. ACM crea la etiqueta a partir de un guion bajo antepuesto a otro token que también está vinculado a su cuenta de AWS y su nombre de dominio. ACM antepone el guion bajo y el token a un nombre de dominio DNS que AWS utiliza para realizar validaciones: acm-validations.aws. Estos ejemplos muestran el formato de CNAME de www.ejemplo.com, subdominio.ejemplo.com y *.ejemplo.com.

_TOKEN1.www.ejemplo.com         CNAME     _TOKEN2.acm-validations.aws
_TOKEN3.subdominio.ejemplo.com CNAME     _TOKEN4.acm-validations.aws
_TOKEN5.ejemplo.com                         CNAME    _TOKEN6.acm-validations.aws

Tenga en cuenta que ACM elimina la etiqueta comodín (*) al generar registros CNAME de nombres comodín. En consecuencia, el registro CNAME generado por ACM para un nombre comodín (como *.example.com) es el mismo registro proporcionado para el nombre de dominio sin la etiqueta comodín (example.com).

No. Todos los nombres de dominio, incluidos nombres de host y de subdominios, deben validarse por separado; cada uno con registro CNAME único.

Con un registro CNAME, ACM puede renovar certificados mientras exista el registro CNAME. El registro CNAME dirige a un registro TXT de un dominio de AWS (acm-validations.aws) que ACM puede actualizar si hace falta para validar o volver a validar un nombre de dominio, sin que usted tenga que hacer nada.

Sí. Puede crear un registro CNAME de DNS y utilizarlo para obtener certificados en la misma cuenta de AWS en cualquier región de AWS donde ACM esté disponible. Configure el registro CNAME una vez y podrá obtener certificados emitidos y renovados desde ACM para ese nombre sin tener que crear otro registro.

No. Cada certificado solo puede tener un método de validación.

ACM renueva de forma automática los certificados que estén en uso (asociados con otros recursos de AWS), siempre que el registro de DNS de validación siga en vigor.

Sí. Basta con quitar el registro CNAME. ACM no volverá a emitir ni renovar certificados para su dominio con la validación de DNS cuando haya quitado el registro CNAME y el cambio se distribuya a través de DNS. El tiempo de propagación para quitar el registro depende del proveedor de DNS.

ACM no puede emitir ni renovar certificados para su dominio con la validación de DNS si quita el registro CNAME.

Con la validación por correo electrónico, se envía un correo electrónico solicitando aprobación al propietario del dominio registrado por cada nombre de dominio de la solicitud de certificado. El propietario del dominio o su representante autorizado (aprobador) puede aprobar la solicitud de certificado siguiendo las instrucciones del correo electrónico. Las instrucciones indican al aprobador que se dirija al sitio web de aprobación haciendo clic en el vínculo del correo electrónico, o pegando dicho vínculo en el navegador web. El aprobador confirma la información asociada con la solicitud de certificado, como el nombre de dominio, ID del certificado (ARN) e ID de la cuenta de AWS que inició la solicitud, y la aprueba si la información es correcta.

ACM envía mensajes de correo electrónico de validación a cinco correos electrónicos comunes del sistema para cada dominio, que se forman poniendo delante del dominio que solicita lo siguiente: admin@, administrator@, hostmaster@, webmaster@ y postmaster@. ACM ya no admite la validación por correo electrónico de WHOIS para nuevos certificados o renovaciones.

Las cinco direcciones de correo electrónico especiales se crean de forma distinta, dependiendo de si se trata de nombres de dominio que empiezan por “www” o nombres comodín que empiezan por (*). ACM elimina “www” o el asterisco y se envía el correo electrónico a la dirección administrativa, compuesta de admin@, administrator@, hostmaster@, postmaster@ y webmaster@, y la parte restante del nombre de dominio.

Una vez solicitado un certificado, puede visualizar la lista de direcciones de correo electrónico a las que se envió un correo por cada dominio a través de la consola de ACM, AWS CLI o las API.

No, pero puede configurar el nombre de dominio base al que desea que se envíe el correo electrónico de validación. El nombre de dominio base debe ser un superdominio del nombre de dominio de la solicitud de certificado. Por ejemplo, si desea solicitar un certificado para servidor.dominio.ejemplo.com, pero quiere que el correo electrónico de aprobación se dirija a admin@dominio.ejemplo.com, puede hacerlo usando la interfaz de línea de comandos (CLI) de AWS o las API. Consulte la referencia sobre la CLI de ACM y la referencia sobre las API de ACM para obtener más información.

Sí. Sin embargo, el envío del correo electrónico podría retrasarse por motivo del proxy. El correo electrónico enviado a través de un proxy podría terminar en la carpeta de spam. Consulte en la guía del usuario de ACM sugerencias de resolución de problemas.

No. Los procedimientos y las políticas de validación de la identidad del propietario del dominio son muy estrictos y los determina el CA/Browser Forum, que establece los estándares de política para las autoridades de certificados de confianza pública. Para obtener más información, consulte el documento Amazon Trust Services Certification Practices Statement más reciente en el repositorio de Amazon Trust Services.

Consulte en la Guía del usuario de ACM sugerencias de resolución de problemas.

Se crea un par de claves para cada certificado que proporciona ACM. ACM se diseñó para proteger y administrar las claves privadas que se usan con los certificados SSL/TLS. Se utilizan las prácticas recomendadas de cifrado complejo y administración de claves para proteger y almacenar las claves privadas.

No. La clave privada de cada certificado de ACM se almacena en la región en la que se ha solicitado el certificado. Por ejemplo, si obtiene un certificado nuevo en la región EE.UU. Este (Norte de Virginia), ACM almacena la clave privada en la región del Norte de Virginia. Los certificados de ACM solo se copian de una región a otra si el certificado está asociado con una distribución de CloudFront. En ese caso, CloudFront distribuye el certificado de ACM a las ubicaciones geográficas configuradas en su distribución.

La renovación e implementación administradas de ACM administran el proceso de renovación de los certificados de ACM SSL/TLS y su implementación una vez renovados.

ACM puede administrar la renovación e implementación de certificados SSL/TLS. ACM hace de la configuración y el mantenimiento de SSL/TLS para un servicio o aplicación web seguros un sistema más eficaz que los procesos manuales, susceptibles a errores. La renovación e implementación administradas pueden ayudarle a evitar los tiempos de inactividad derivados de certificados caducados. ACM funciona como un servicio que se integra con otros servicios de AWS. Si lo desea, puede optar por emitir certificados públicos exportables que pueda usar con los servicios integrados de AWS y exportarlos para utilizarlos con cualquier carga de trabajo que requiera un certificado TLS. Eso significa que puede administrar e implementar certificados a nivel central en AWS mediante la Consola de administración de AWS, AWS CLI o las API. Con Private CA, puede crear certificados privados y exportarlos. ACM renueva los certificados exportados, lo que permite que su código de automatización del lado del cliente los descargue e implemente.

Certificados públicos

ACM puede renovar e implementar certificados de ACM públicos sin ninguna validación adicional del propietario del dominio. Si un certificado no se puede renovar sin validación adicional, ACM administrará el proceso de renovación validando la propiedad del dominio o control por cada nombre de dominio del certificado. Una vez validado cada nombre de dominio del certificado, ACM renueva el certificado y lo implementa automáticamente en sus recursos de AWS. Si ACM no puede validar la propiedad del dominio, se lo notificaremos al propietario de la cuenta de AWS.

Si eligió la validación de DNS en la solicitud de certificado, ACM puede renovar su certificado de forma indefinida sin que tenga que hacer nada, siempre que el certificado esté en uso (asociado con otros recursos de AWS) y el registro CNAME siga en vigor. Si eligió la validación por correo electrónico al solicitar un certificado, puede mejorar la capacidad de ACM para renovar e implementar certificados de ACM de forma automática, lo que garantiza que el certificado esté en uso, que todos los nombres de dominio incluidos en el certificado se puedan apuntar a su sitio y que se pueda acceder a todos los nombres de dominio desde Internet.

Certificados privados

ACM ofrece dos opciones para administrar los certificados privados emitidos con AWS Private CA. ACM proporciona diferentes capacidades de renovación e implementación según la forma en que administre sus certificados privados. Puede elegir la mejor opción de administración para cada certificado privado que emita.

1) ACM puede automatizar completamente la renovación e implementación de los certificados privados emitidos con sus AWS Private CA y que se usan con los servicios integrados en ACM, como Elastic Load Balancing y API Gateway. ACM puede renovar e implementar certificados privados que se emiten a través de ACM mientras la CA privada que emitió dichos certificados permanezca en estado Activo.

2) En el caso de los certificados privados que usted exporte desde ACM para su uso con recursos que se encuentren en ubicaciones locales, instancias EC2 y dispositivos con IoT, ACM renueva su certificado automáticamente. Usted es responsable de recuperar el certificado nuevo y la clave privada y de implementarlos con su aplicación.

ACM inicia el proceso de renovación hasta sesenta días antes de la fecha de caducidad del certificado. Actualmente, el periodo de validez de los certificados de ACM es de 13 meses (395 días). Consulte la guía del usuario de ACM para obtener más información acerca de la renovación administrada.

No. ACM puede renovar el certificado o regenerar sus claves y reemplazar el anterior sin aviso previo.

Si eligió la validación de DNS en la solicitud de certificado para un certificado público, ACM puede renovar su certificado sin que tenga que hacer nada, siempre que el certificado esté en uso (asociado con otros recursos de AWS) y el registro CNAME siga en vigor.

Si eligió la validación por correo electrónico al solicitar un certificado público con un dominio vacío, compruebe que una búsqueda de DNS del dominio vacío se apunte al recurso de AWS asociado con el certificado. Apuntar el dominio vacío a un recurso de AWS podría resultar complicado a menos que utilice Route 53 u otro proveedor de DNS que admita los registros de recursos alias (o su equivalente) para la asignación de dominios vacíos a recursos de AWS. Para obtener más información, consulte la guía para desarrolladores de Route 53.

No, las conexiones establecidas después de implementar el nuevo certificado usan dicho certificado, y las conexiones existentes no se ven afectadas

Sí.

Sí, pero también puede considerar el uso de AWS Private CA para emitir certificados privados que ACM pueda renovar sin validación. Consulte Renovación e implementación administradas para obtener más información acerca de cómo ACM administra las renovaciones de certificados públicos a los que no se puede acceder desde la red pública de Internet y de certificados privados.

Sí. Con AWS CloudTrail puede analizar los registros, que le indican cuándo se utilizó la clave privada de cada certificado.

Puede identificar qué usuarios y cuentas llamaron a las API de AWS en relación con servicios compatibles con AWS CloudTrail, la dirección IP desde la que se efectuaron las llamadas y cuándo se llevaron a cabo. Por ejemplo, puede identificar qué usuario hizo una llamada a la API para asociar un certificado proporcionado por ACM con un equilibrador de carga elástico, y cuándo el servicio Elastic Load Balancing descifró la clave con una llamada a la API de KMS.

Los certificados públicos y privados aprovisionados a través de AWS Certificate Manager para su utilización con los servicios integrados en ACM, como Elastic Load Balancing, Amazon CloudFront y Amazon API Gateway, son gratuitos. Solo paga por los recursos de AWS que cree para ejecutar su aplicación. AWS Private CA tiene precios de pago por uso. Visite la página de precios de AWS Private CA para obtener más información y ejemplos.

Consulte las preguntas frecuentes de AWS Private CA para obtener información sobre el uso de AWS Private CA.