Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Prácticas recomendadas
Las mejores prácticas son recomendaciones que pueden ayudarle a utilizar AWS Certificate Manager (AWS Certificate Manager) de forma más eficaz. Las siguientes prácticas recomendadas se basan en experiencias reales de clientes de ACM actuales.
Temas
Separación a nivel de cuenta
Utilice la separación a nivel de cuenta en sus políticas para controlar quién puede acceder a los certificados a nivel de cuenta. Guarde sus certificados de producción en cuentas distintas a las de sus certificados de pruebas y desarrollo. Si no puedes usar la separación a nivel de cuenta, puedes restringir el acceso a funciones específicas negando cualquier kms:CreateGrant acción en tus políticas. Esto limita los roles de una cuenta que pueden firmar certificados a un nivel superior. Para obtener información sobre las subvenciones, incluida la terminología sobre las subvenciones, consulte las subvenciones AWS KMS en la Guía para AWS Key Management Service desarrolladores.
Si desea un control más detallado que restringir el uso kms:CreateGrant por cuenta, puede limitarlo kms:CreateGrant a certificados específicos mediante las claves de EncryptionContext condición kms:. Especifique arn:aws:acm como clave y el valor del ARN que se va a restringir. El siguiente ejemplo de política impide el uso de un certificado específico, pero permite otros.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": "kms:CreateGrant", "Resource": "*", "Condition": { "StringEquals": { "kms:EncryptionContext:aws:acm:arn": "arn:aws:acm:us-east-1:111122223333:certificate/b26def74-1234-4321-9876-951d4c07b197" } } } ] }
AWS CloudFormation
Con AWS CloudFormation él puede crear una plantilla que describa los AWS recursos que desea utilizar. AWS CloudFormation a continuación, aprovisiona y configura esos recursos por usted. AWS CloudFormation puede aprovisionar recursos compatibles con ACM, como Elastic Load Balancing CloudFront, Amazon y Amazon API Gateway. Para obtener más información, consulte Servicios integrados con AWS Certificate Manager.
Si suele AWS CloudFormation crear y eliminar rápidamente varios entornos de prueba, le recomendamos que no cree un certificado ACM independiente para cada entorno. Al hacerlo, se agotará rápidamente la cuota de certificados. Para obtener más información, consulte Cuotas. En su lugar, cree un certificado comodín que abarque todos los nombres de dominio que utilice para las pruebas. Por ejemplo, si crea repetidamente certificados de ACM para nombres de dominio que varían en función solo de un número de versión, como <version>.service.example.com, cree un único certificado comodín para <*>.service.example.com. Incluya el certificado comodín en la plantilla que AWS CloudFormation utilice para crear el entorno de prueba.
Asignación de certificados
La fijación de certificados, en ocasiones denominada fijación de SSL, es un proceso que puede utilizar en su aplicación para validar un host remoto asociando dicho host directamente con su clave pública o certificado X.509 en lugar de hacerlo con una jerarquía de certificados. La aplicación, por tanto, utiliza la asignación para omitir la validación de la cadena de certificados SSL/TLS. El proceso de validación típico de SSL comprueba las firmas en toda la cadena de certificados del certificado de la entidad de certificación (CA) raíz hasta los certificados de CA subordinados, si hay alguno. También comprueba el certificado del host remoto en la parte inferior de la jerarquía. Su aplicación puede en su lugar asignar el certificado para el host remoto para indicar que solo dicho certificado y no el certificado raíz o cualquier otro de la cadena es de confianza. Puede añadir el certificado o la clave pública del host remoto a la aplicación durante el desarrollo. Asimismo, la aplicación puede añadir el certificado o clave cuando se conecta por primera vez al host.
aviso
Recomendamos que su aplicación no asigne un certificado de ACM. ACM realiza Renovación gestionada de ACM certificados para renovar de forma automática sus certificados SSL/TLS emitidos por Amazon antes de que venzan. Para renovar un certificado, ACM genera un nuevo par de claves pública y privada. Si su aplicación asigna el certificado de ACM y este se renueva correctamente con una nueva clave pública, es posible que la aplicación no se conecte al dominio.
Si decide fijar un certificado, las siguientes opciones no obstaculizan que su aplicación se conecte a su dominio:
-
Importe su propio certificado a ACM y, a continuación, asigne la aplicación al certificado importado. ACM no intenta renovar de forma automática los certificados importados.
-
Si utiliza un certificado público, fije su aplicación a todos los certificados raíz de Amazon
disponibles. Si utiliza un certificado privado, fije su aplicación al certificado raíz de la CA.
Validación del dominio
Antes de que la autoridad de certificación (CA) de Amazon pueda emitir un certificado para tu sitio, AWS Certificate Manager (ACM) debe comprobar que eres el propietario o el control de todos los dominios que especificaste en tu solicitud. Puede realizar la verificación mediante el correo electrónico o DNS. Para obtener más información, consulte DNSvalidación y Validación por correo electrónico.
Agregar o eliminar nombres de dominio
No se pueden agregar ni eliminar nombres de dominio de un certificado de ACM existente. En su lugar, debe solicitar un certificado nuevo con la lista de nombres de dominio revisada. Por ejemplo, si el certificado tiene cinco nombres de dominio y desea añadir cuatro más, debe solicitar un certificado nuevo con los nueve nombres de dominio. Al igual que con cualquier certificado nuevo, debe validar la titularidad de todos los nombres de dominio de la solicitud, incluidos los que ya se habían validado para el certificado original.
Si utiliza la validación por correo electrónico, recibe hasta ocho mensajes de correo electrónico de validación para cada dominio, y deberá actuar sobre al menos uno de ellos en un plazo de 72 horas. Por ejemplo, si solicita un certificado con cinco nombres de dominio, recibirá hasta 40 mensajes de validación y deberá actuar sobre al menos cinco de ellos en un plazo de 72 horas. A medida que la cantidad de nombres de dominio de la solicitud de certificado aumente, aumentará también el trabajo necesario para validar la titularidad de los dominios mediante el correo electrónico.
Si en cambio utiliza la validación por DNS, solo debe escribir un nuevo registro de DNS en la base de datos para el FQDN que desea validar. ACM envía el registro que se debe crear y posteriormente consulta la base de datos para determinar si se ha agregado el registro. La inclusión del registro constata que usted es el propietario o controla el dominio. En el ejemplo anterior, si solicita un certificado con cinco nombres de dominio, debe crear cinco registros de DNS. Le recomendamos que utilice la validación por DNS cuando sea posible.
Cancelación del registro de transparencia de certificados
importante
Independientemente de las acciones que lleve a cabo para desactivar el registro de transparencia de certificados, el certificado aún puede ser registrado por cualquier cliente o persona que tenga acceso al punto de enlace público o privado al que vincula el certificado. Sin embargo, el certificado no contendrá una marca temporal de certificado firmada (SCT). Solo la CA emisora puede integrar una SCT en un certificado.
Desde el 30 de abril de 2018, Google Chrome ya no confía en los certificados SSL/TLS públicos que no estén en un registro de transparencia de certificados. Por lo tanto, a partir del 24 de abril de 2018, la CA de Amazon comenzó a publicar todos los nuevos certificados y las renovaciones al menos en dos registros públicos. Una vez que un certificado se ha registrado, no se puede eliminar. Para obtener más información, consulte Registro de transparencia de certificados.
El registro se realiza automáticamente cuando se solicita o se renueva un certificado, pero puede optar por no hacerlo. Entre los motivos más comunes para hacerlo se incluyen las preocupaciones por la seguridad y privacidad. Por ejemplo, el registro de nombres de dominio de host internos ofrece a los posibles atacantes información sobre las redes internas que de otro modo no sería pública. Además, el registro podría filtrar los nombres de productos y sitios web nuevos o que todavía no se han publicado.
Para inhabilitar el registro de transparencia cuando solicite un certificado, utilice el options parámetro del AWS CLI comando request-certificate o la operación de la RequestCertificateAPI. Si su certificado se emitió antes del 24 de abril de 2018 y quiere asegurarse de que no se registre durante la renovación, puede usar el update-certificate-optionscomando o la operación de UpdateCertificateOptionsAPI para excluirlo.
Limitaciones
-
No puede utilizar la consola para habilitar o desactivar el registro de transparencia.
-
No puede cambiar el estado del registro después de que un certificado entra en su periodo de renovación, normalmente 60 días antes del vencimiento del certificado. No se generan mensajes de error si falla un cambio de estado.
Una vez que un certificado se ha registrado, no se puede eliminar del registro. En ese momento, la cancelación no tendrá ningún efecto. Si desactiva el registro al solicitar un certificado y después elige volver a activarlo, el certificado no se registrará hasta que no se renueve. Si desea que el certificado se registre inmediatamente, le recomendamos que emita uno nuevo.
En el siguiente ejemplo se muestra cómo utilizar el comando request-certificate para deshabilitar la transparencia del certificado cuando se solicita un certificado nuevo.
aws acm request-certificate \ --domain-namewww.example.com\ --validation-method DNS \ --options CertificateTransparencyLoggingPreference=DISABLED \
El comando anterior muestra el ARN del nuevo certificado.
{
"CertificateArn": "arn:aws:acm:region:account:certificate/certificate_ID"
}Si ya tiene un certificado y no quiere que se registre cuando se renueve, utilice el update-certificate-optionscomando. Este comando no devuelve ningún valor.
aws acm update-certificate-options \ --certificate-arn arn:aws:acm:region:account:\ certificate/certificate_ID\ --options CertificateTransparencyLoggingPreference=DISABLED
Encienda AWS CloudTrail
Active el CloudTrail registro antes de empezar a usar ACM. CloudTrail le permite supervisar sus AWS despliegues recuperando un historial de las llamadas a las AWS API de su cuenta, incluidas las llamadas a las API realizadas a través de la consola de AWS administración, los AWS SDK y los Amazon Web AWS Command Line Interface Services de nivel superior. También puede identificar qué usuarios y cuentas llamaron a las API de ACM, la dirección IP de origen desde la que se realizaron las llamadas así como el momento en que se efectuaron. Puede CloudTrail integrarlas en las aplicaciones mediante la API, automatizar la creación de rutas para su organización, comprobar el estado de las rutas y controlar la forma en que los administradores activan y desactivan el inicio de CloudTrail sesión. Para obtener más información, consulte Crear un registro de seguimiento. Vaya a Utilizándolo con CloudTrail AWS Certificate Manager a fin de consultar ejemplos de registros de seguimiento para acciones de ACM.
