¿Cómo puedo importar un certificado TLS o SSL de terceros a ACM?

Última actualización: 24-06-2022

Quiero importar un certificado TLS o SSL emitido por un tercero a AWS Certificate Manager (ACM).

Resolución

Para importar un certificado TLS/SSL emitido por un tercero a ACM, debe proporcionar el certificado, clave privada y cadena del certificado. El certificado también debe incluir los requisitos previos para la importación de certificados.

Necesita los siguientes archivos para importar en formato codificado PEM similar al siguiente:

Certificado codificado en PEM:

-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----

Cadena de certificados codificada en PEM: (Este ejemplo muestra una cadena en la que hay dos CA subordinadas/intermedias. El orden dado aquí es para mantener la CA Raíz como la última entrada):

-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA1
----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of Root CA
-----END CERTIFICATE-----

Claves privadas codificadas en PEM:

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Para más información y ejemplos, consulte Formato de certificado y clave para la importación.

Convierta el paquete de certificados de PKCS#12 (PFX) a PEM mediante OpenSSL

1.    Copie el archivo PFX o P12 en la misma ubicación que la herramienta OpenSSL o especifique la ubicación en la línea de comandos.

2.    Ingrese el siguiente comando de OpenSSL y reemplace PKCS12file por el archivo de certificado:

$openssl pkcs12 -in PKCS12file -out Cert_Chain_Key.txt

Recibirá indicaciones similares a las siguientes:

Enter Import Password:(this is the password that was used when the PKCS12 file was created)

Enter PEM pass phrase:(this is the private key password)

Verifying - Enter PEM pass phrase: (confirm the private key password)

3.    Ingrese la contraseña y la frase de contraseña solicitadas. El certificado, clave privada y cadena de certificados (raíz o intermedia) se analizan y se colocan en el archivo Cert_Chain_Key.txt.

Nota: La clave privada se sigue cifrando en el siguiente formato:

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64–encoded private key
-----END ENCRYPTED PRIVATE KEY-----

Descifrar la clave privada

1.    Copie la clave privada del archivo Cert_Chain_Key.txt en el directorio de OpenSSL, o especifique la ubicación en la línea de comandos.

2.    Ingrese el siguiente comando de OpenSSL y reemplace Encrypted.key por el archivo de su clave privada encriptada:

$openssl rsa -in Encrypted.key -out UnEncrypted.key

3.    Ingrese la frase de contraseña. El archivo UnEncrypted.key ahora es la clave privada descifrada. Para comprobarlo, abra el archivo UnEncrypted.key con un editor de texto y vea los encabezados con un formato similar al siguiente:

-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----

Ahora puede importar el certificado correctamente en ACM. Para obtener instrucciones, consulte Importar un certificado.