Prácticas recomendadas
Las prácticas recomendadas son consejos que pueden ayudarle a utilizar AWS Certificate Manager (AWS Certificate Manager) de forma más eficaz. Las siguientes prácticas recomendadas se basan en experiencias reales de clientes de ACM actuales.
Temas
AWS CloudFormation
Con AWS CloudFormation puede crear una plantilla que describa los recursos de AWS que desea utilizar. AWS CloudFormation aprovisiona y configura a continuación esos recursos en su nombre. AWS CloudFormation puede aprovisionar recursos admitidos por ACM como Elastic Load Balancing, Amazon CloudFront y Amazon API Gateway. Para obtener más información, consulte Servicios integrados con AWS Certificate Manager.
Si utiliza AWS CloudFormation, puede crear y eliminar rápidamente varios entornos de pruebas; recomendamos que no cree un certificado de ACM independiente para cada entorno. Al hacerlo, se agotará rápidamente la cuota de certificados. Para obtener más información, consulte Cuotas. En su lugar, cree un certificado comodín que abarque todos los nombres de dominio que utilice para las pruebas. Por ejemplo, si crea repetidamente certificados de ACM para nombres de dominio que varían en función solo de un número de versión, como <version>.service.example.com, cree un único certificado comodín para <*>.service.example.com. Incluya el certificado comodín en la plantilla que AWS CloudFormation utiliza para crear su entorno de pruebas.
Asignación de certificados
La fijación de certificados, en ocasiones denominada fijación de SSL, es un proceso que puede utilizar en su aplicación para validar un host remoto asociando dicho host directamente con su clave pública o certificado X.509 en lugar de hacerlo con una jerarquía de certificados. La aplicación, por tanto, utiliza la asignación para omitir la validación de la cadena de certificados SSL/TLS. El proceso de validación típico de SSL comprueba las firmas en toda la cadena de certificados del certificado de la entidad de certificación (CA) raíz hasta los certificados de CA subordinados, si hay alguno. También comprueba el certificado del host remoto en la parte inferior de la jerarquía. Su aplicación puede en su lugar asignar el certificado para el host remoto para indicar que solo dicho certificado y no el certificado raíz o cualquier otro de la cadena es de confianza. Puede añadir el certificado o la clave pública del host remoto a la aplicación durante el desarrollo. Asimismo, la aplicación puede añadir el certificado o clave cuando se conecta por primera vez al host.
aviso
Recomendamos que su aplicación no asigne un certificado de ACM. ACM realiza Renovación administrada para certificados de ACM para renovar de forma automática sus certificados SSL/TLS emitidos por Amazon antes de que venzan. Para renovar un certificado, ACM genera un nuevo par de claves pública y privada. Si su aplicación asigna el certificado de ACM y este se renueva correctamente con una nueva clave pública, es posible que la aplicación no se conecte al dominio.
Si decide fijar un certificado, las siguientes opciones no obstaculizan que su aplicación se conecte a su dominio:
-
Importe su propio certificado a ACM y, a continuación, asigne la aplicación al certificado importado. ACM no intenta renovar de forma automática los certificados importados.
-
Si utiliza un certificado público, fije su aplicación a todos los certificados raíz de Amazon
disponibles. Si utiliza un certificado privado, fije su aplicación al certificado raíz de la CA.
Validación del dominio
Para que la entidad de certificación (CA) de Amazon pueda emitir un certificado para su sitio, AWS Certificate Manager (ACM) debe verificar que usted es el propietario o controla todos los dominios que ha especificado en la solicitud. Puede realizar la verificación mediante el correo electrónico o DNS. Para obtener más información, consulte Validación por DNS y Validación por correo electrónico.
Agregar o eliminar nombres de dominio
No se pueden agregar ni eliminar nombres de dominio de un certificado de ACM existente. En su lugar, debe solicitar un certificado nuevo con la lista de nombres de dominio revisada. Por ejemplo, si el certificado tiene cinco nombres de dominio y desea añadir cuatro más, debe solicitar un certificado nuevo con los nueve nombres de dominio. Al igual que con cualquier certificado nuevo, debe validar la titularidad de todos los nombres de dominio de la solicitud, incluidos los que ya se habían validado para el certificado original.
Si utiliza la validación por correo electrónico, recibe hasta ocho mensajes de correo electrónico de validación para cada dominio, y deberá actuar sobre al menos uno de ellos en un plazo de 72 horas. Por ejemplo, si solicita un certificado con cinco nombres de dominio, recibirá hasta 40 mensajes de validación y deberá actuar sobre al menos cinco de ellos en un plazo de 72 horas. A medida que la cantidad de nombres de dominio de la solicitud de certificado aumente, aumentará también el trabajo necesario para validar la titularidad de los dominios mediante el correo electrónico.
Si en cambio utiliza la validación por DNS, solo debe escribir un nuevo registro de DNS en la base de datos para el FQDN que desea validar. ACM envía el registro que se debe crear y posteriormente consulta la base de datos para determinar si se ha agregado el registro. La inclusión del registro constata que usted es el propietario o controla el dominio. En el ejemplo anterior, si solicita un certificado con cinco nombres de dominio, debe crear cinco registros de DNS. Le recomendamos que utilice la validación por DNS cuando sea posible.
Cancelación del registro de transparencia de certificados
importante
Independientemente de las acciones que lleve a cabo para desactivar el registro de transparencia de certificados, el certificado aún puede ser registrado por cualquier cliente o persona que tenga acceso al punto de enlace público o privado al que vincula el certificado. Sin embargo, el certificado no contendrá una marca temporal de certificado firmada (SCT). Solo la CA emisora puede integrar una SCT en un certificado.
Desde el 30 de abril de 2018, Google Chrome ya no confía en los certificados SSL/TLS públicos que no estén en un registro de transparencia de certificados. Por lo tanto, a partir del 24 de abril de 2018, la CA de Amazon comenzó a publicar todos los nuevos certificados y las renovaciones al menos en dos registros públicos. Una vez que un certificado se ha registrado, no se puede eliminar. Para obtener más información, consulte Registro de transparencia de certificados.
El registro se realiza automáticamente cuando se solicita o se renueva un certificado, pero puede optar por no hacerlo. Entre los motivos más comunes para hacerlo se incluyen las preocupaciones por la seguridad y privacidad. Por ejemplo, el registro de nombres de dominio de host internos ofrece a los posibles atacantes información sobre las redes internas que de otro modo no sería pública. Además, el registro podría filtrar los nombres de productos y sitios web nuevos o que todavía no se han publicado.
Para cancelar el registro de transparencia al solicitar un certificado, utilice el parámetro options del comando request-certificate de la AWS CLI o la operación de la API RequestCertificate. Si el certificado se emitió antes del 24 de abril de 2018 y desea asegurarse de que no se ha registrado durante la renovación, puede utilizar el comando update-certificate-options o la operación de la API UpdateCertificateOptions para cancelar el registro.
Limitaciones
-
No puede utilizar la consola para habilitar o desactivar el registro de transparencia.
-
No puede cambiar el estado del registro después de que un certificado entra en su periodo de renovación, normalmente 60 días antes del vencimiento del certificado. No se generan mensajes de error si falla un cambio de estado.
Una vez que un certificado se ha registrado, no se puede eliminar del registro. En ese momento, la cancelación no tendrá ningún efecto. Si desactiva el registro al solicitar un certificado y después elige volver a activarlo, el certificado no se registrará hasta que no se renueve. Si desea que el certificado se registre inmediatamente, le recomendamos que emita uno nuevo.
En el siguiente ejemplo se muestra cómo utilizar el comando request-certificate para deshabilitar la transparencia del certificado cuando se solicita un certificado nuevo.
aws acm request-certificate \ --domain-namewww.example.com\ --validation-method DNS \ --options CertificateTransparencyLoggingPreference=DISABLED \
El comando anterior muestra el ARN del nuevo certificado.
{
"CertificateArn": "arn:aws:acm:region:account:certificate/certificate_ID"
}Si ya tiene un certificado y no desea que se registre cuando se renueve, utilice el comando update-certificate-options. Este comando no devuelve ningún valor.
aws acm update-certificate-options \ --certificate-arn arn:aws:acm:region:account:\ certificate/certificate_ID\ --options CertificateTransparencyLoggingPreference=DISABLED
Activar AWS CloudTrail
Active el registro de CloudTrail antes de empezar a utilizar ACM. CloudTrail permite monitorear sus implementaciones de AWS al recuperar un historial de las llamadas a la API de AWS de su cuenta, incluidas las llamadas a la API realizadas mediante la Management Console de AWS, los SDK de AWS, la AWS Command Line Interface y los servicios de Amazon Web Services de nivel superior. También puede identificar qué usuarios y cuentas llamaron a las API de ACM, la dirección IP de origen desde la que se realizaron las llamadas así como el momento en que se efectuaron. Puede integrar CloudTrail en las aplicaciones mediante la API, automatizar la creación de registros de seguimiento para su organización, verificar el estado de sus registros de seguimiento y controlar la forma en que los administradores activan y desactivan los registros de CloudTrail. Para obtener más información, consulte Crear un registro de seguimiento. Vaya a Uso de CloudTrail con AWS Certificate Manager a fin de consultar ejemplos de registros de seguimiento para acciones de ACM.
