Requisitos para la utilización de certificados SSL/TLS con CloudFront - Amazon CloudFront
Emisor de certificadosRegión de AWS para AWS Certificate ManagerFormato del certificadoCertificados intermediosTipo de claveClave privadaPermisosTamaño de la clave de certificadoTipos de certificados admitidosFecha de vencimiento y renovación de certificadosNombres de dominio en la distribución de CloudFront y en el certificadoVersión mínima de protocolo SSL/TLSVersiones de HTTP compatibles

Requisitos para la utilización de certificados SSL/TLS con CloudFront

En este tema se describen los requisitos de los certificados SSL/TLS. Se aplicarán a estos dos tipos de certificados, salvo que se indique lo contrario:

  • Certificados para utilizar HTTPS entre los lectores y CloudFront

  • Certificados para utilizar HTTPS entre CloudFront y el origen

Emisor de certificados

Le recomendamos que utilice un certificado público emitido por AWS Certificate Manager(ACM). Para obtener información sobre obtener un certificado de parte de ACM, consulte la Guía del usuario de AWS Certificate Manager. Para utilizar un certificado de ACM con CloudFront, asegúrese de solicitar (o importar) el certificado en la región Este de EE. UU. (Norte de Virginia) (us-east-1).

CloudFront admite las mismas entidades de certificación (CA, por sus siglas en inglés) que Mozilla, por lo que si no utiliza ACM, utilice un certificado emitido por una entidad de certificados de la Lista de certificados de CA incluida en Mozilla. Para obtener más información sobre cómo obtener e instalar un certificado SSL/TLS, consulte la documentación de su software del servidor HTTP y la de la entidad de certificados.

Región de AWS para AWS Certificate Manager

Para utilizar un certificado en AWS Certificate Manager (ACM) para solicitar HTTPS entre el lector y CloudFront, asegúrese de solicitar (o importar) el certificado en la región Este de EE. UU. (Norte de Virginia) (us-east-1).

Si desea solicitar HTTPS entre CloudFront y su origen y utiliza un equilibrador de carga Elastic Load Balancing como origen, puede solicitar o importar un certificado en cualquier Región de AWS.

Formato del certificado

El certificado debe tener el formato X.509 PEM. Este es el formato predeterminado si utiliza AWS Certificate Manager.

Certificados intermedios

Si utiliza una entidad de certificación (CA) de terceros, incluya una lista de todos los certificados intermedios de la cadena de certificados en el archivo .pem, comenzando por uno para la entidad de certificación que firmó el certificado para su dominio. Normalmente, en el sitio web de la CA encontrará un archivo que enumera los certificados intermedios y raíz encadenados de la manera correcta.

importante

No incluya lo siguiente: el certificado raíz y los certificados intermedios que no estén en la ruta de confianza, ni el certificado de clave pública de la CA.

A continuación se muestra un ejemplo:

-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----

Tipo de clave

CloudFront admite pares de claves públicas/privadas de RSA y ECDSA.

CloudFront admite conexiones HTTPS tanto a los lectores como a los orígenes mediante certificados RSA y ECDSA. Con AWS Certificate Manager(ACM), puede solicitar e importar certificados RSA o ECDSA y, a continuación, asociarlos a la distribución de CloudFront.

Para las listas de cifrados RSA y ECDSA admitidos por CloudFront que puede nego‎ciar en conexiones HTTPS, consulte Protocolos y cifrados admitidos entre lectores y CloudFront y Protocolos y cifrados admitidos entre CloudFront y el origen.

Clave privada

Si utiliza un certificado de una entidad de certificación (CA) de terceros, tenga en cuenta lo siguiente:

  • La clave privada debe coincidir con la clave pública que se encuentra en el certificado.

  • La clave privada debe estar en formato PEM.

  • La clave privada no puede cifrarse con una contraseña.

Si AWS Certificate Manager (ACM) ha proporcionado el certificado, ACM no divulga la clave privada. La clave privada se almacena en ACM para que la usen los servicios de AWS integrados con ACM.

Permisos

Debe tener permiso para usar e importar el certificado SSL/TLS. Si utiliza AWS Certificate Manager (ACM), le recomendamos que utilice los permisos de AWS Identity and Access Management necesarios para restringir el acceso a los certificados. Para obtener más información, consulte Identity and Access Management en la Guía del usuario de AWS Certificate Manager.

Tamaño de la clave de certificado

El tamaño de clave de certificado que admite CloudFront depende del tipo de clave y el tipo de certificado.

Para certificados RSA:

CloudFront admite claves RSA de 1024, 2048, 3072 y 4096 bits. La longitud máxima de un certificado RSA que se utiliza con CloudFront es de 4096 bits.

Tenga en cuenta que ACM emite certificados RSA con claves de hasta 2048 bits. Para utilizar un certificado RSA de 3072 o 4096 bits, debe obtener el certificado externamente e importarlo a ACM, tras lo cual estará disponible para que lo utilice con CloudFront.

Para obtener más información acerca de cómo determinar el tamaño de la clave RSA, consulte Determinación del tamaño de la clave pública en un certificado SSL/TLS RSA.

Para certificados ECDSA:

CloudFront admite claves de 256 bits. Si desea utilizar un certificado ECDSA en ACM para solicitar HTTPS entre lectores y CloudFront, utilice la curva elíptica prime256v1.

Tipos de certificados admitidos

CloudFront admite todos los tipos de certificados emitidos por una entidad de certificación de confianza.

Fecha de vencimiento y renovación de certificados

Si utiliza certificados obtenidos de una entidad de certificación (CA) de terceros, debe monitorear las fechas de vencimiento y renovar los certificados SSL/TLS que importe en AWS Certificate Manager (ACM) o cargue en el almacén de certificados de AWS Identity and Access Management antes de su vencimiento.

Si utiliza certificados proporcionados por ACM, ACM administra las renovaciones de esos certificados por usted. Para obtener más información, consulte la Renovación administrada en la guía del usuario de AWS Certificate Manager.

Nombres de dominio en la distribución de CloudFront y en el certificado

Cuando se utiliza un origen personalizado, el certificado SSL/TLS del origen incluye un nombre de dominio en el campo Common Name (Nombre común) y, posiblemente, varios más en el campo Subject Alternative Names (Nombres alternativos de sujetos). (CloudFront admite caracteres comodín en nombres de dominio de certificados).

Uno de los nombres de dominio del certificado debe coincidir con el nombre de dominio que especifique en Origin Domain Name. Si no coincide ningún nombre de dominio, CloudFront devuelve al lector el código de estado HTTP 502 (Bad Gateway).

importante

Cuando se agrega un nombre de dominio alternativo a una distribución, CloudFront comprueba que el nombre de dominio alternativo esté cubierto por el certificado que se ha asociado. El certificado debe cubrir el nombre de dominio alternativo en el campo de nombre alternativo del sujeto (SAN) del certificado. Esto significa que el campo SAN debe contener una concordancia exacta para el nombre de dominio alternativo o un comodín en el mismo nivel del nombre de dominio alternativo que se está agregando.

Para obtener más información, consulte Requisitos para el uso de nombres de dominio alternativos.

Versión mínima de protocolo SSL/TLS

Si utiliza direcciones IP dedicadas, establezca la versión mínima de protocolo SSL/TLS para la conexión entre lectores y CloudFront eligiendo una política de seguridad.

Para obtener más información, consulte Política de seguridad (versión mínima de SSL/TLS) en el tema Referencia de configuración de la distribución.

Versiones de HTTP compatibles

Si asocia un certificado con más de una distribución de CloudFront, todas las distribuciones asociadas con el certificado deben utilizar la misma opción para Versiones de HTTP compatibles. Esta opción se especifica al crear o actualizar una distribución de CloudFront.