¿Puedo anclar una aplicación que se ejecuta en AWS a un certificado emitido por ACM?

3 minutos de lectura

Quiero saber si puedo anclar una aplicación que se ejecuta en AWS a un certificado emitido por AWS Certificate Manager (ACM).

Breve Descripción

No se recomienda fijar la aplicación a un certificado SSL/TLS emitido por ACM. Si ancla un certificado, entonces proporcione un navegador con una identificación para la clave pública que se usa en el sitio web. Si un usuario visita el sitio web, el navegador almacena en caché el anclaje. Ese anclaje también se usa para verificar la clave pública en futuras visitas. La información del anclaje suele incluirse en el encabezado de la respuesta HTTP y en el tiempo de vida (TTL) del anclaje. Si el certificado cambia, por ejemplo, cuando se renueva el certificado, ese cambio puede provocar que los visitantes del sitio web reciban errores. Estos errores se producen porque no se puede establecer una conexión segura con el sitio web. Para obtener más información, consulte Anclaje de certificados.

Importante: A partir del 11 de octubre de 2022 a las 9:00 h, hora del Pacífico, los certificados públicos obtenidos a través de ACM se emitirán desde una de las CA intermedias que administra Amazon. Varias CA intermedias se encadenan a una CA raíz existente de Amazon Trust Services. Con este cambio, los certificados de entidad final que se le emitan están firmados por diferentes CA intermedias. Antes de este cambio, Amazon mantenía un número limitado de CA intermedias y emitía y renovaba certificados de las mismas CA intermedias. Para obtener más información, consulte Amazon presenta las entidades de certificación intermedias dinámicas.

Resolución

Se recomienda anclar la aplicación a una entidad de certificación (CA) raíz en lugar de a un certificado individual o a un certificado de CA intermedia. Cuando ancle una aplicación a una CA de Amazon Trust Services, ánclela a todas las CA de la tabla de servicios de confianza de Amazon.

Nota: Debe seleccionar todas las CA a las que ancle la aplicación porque, cuando solicita un certificado, ACM no especifica su origen.

Para anclar un certificado, utilice una de las siguientes opciones para asegurarse de que la aplicación pueda conectarse al dominio.

Anclar la aplicación a un certificado raíz de Amazon

Al anclar la aplicación en el nivel del certificado raíz, la renovación gestionada por ACM renueva el certificado en la misma CA que lo emitió. El nombre de recurso de Amazon (ARN) del certificado sigue siendo el mismo. También puede anclar su aplicación a varias CA como anclajes de respaldo. Si el certificado caduca, puede solicitar un certificado nuevo y aplicarlo al equilibrador de carga para reducir el tiempo de inactividad de la aplicación.

Importe su propio certificado a ACM y, a continuación, fije la aplicación al certificado importado

Los certificados importados no se renuevan mediante el proceso de renovación administrado por ACM. Tiene que gestionar la renovación del certificado y las claves. Para obtener más información, consulte Importación de certificados a AWS Certificate Manager.

Información relacionada

Prácticas recomendadas de ACM

Problemas de anclaje de certificados

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Certificate Manager

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Cómo puedo resolver los errores de la CAA al emitir o renovar un certificado de ACM?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono los errores al emitir un nuevo certificado ACM-PCA?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué se produjo un error en mi solicitud de certificado de ACM?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué el registro CNAME no se resuelve para mi certificado emitido por ACM y el estado de validación del DNS sigue siendo «Validación pendiente»?
OFICIAL DE AWSActualizada hace un año