Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Características de los certificados de ACM
Los certificados públicos proporcionados por ACM tienen las características que se describen en esta página.
nota
Estas características se aplican solo a los certificados proporcionados por ACM. Puede que no se apliquen a los certificados que importe a ACM.
-
Los certificados públicos que se solicitan a través de ACM se obtienen de Amazon Trust Services
, una entidad de certificación (CA) pública administrada por Amazon. Las CA raíz de Amazon de la 1 a la 4 están firmadas de forma cruzada por una raíz más antigua denominada Starfield G2 Root Certificate Authority - G2. La raíz Starfield es de confianza en dispositivos Android a partir de las versiones posteriores a Gingerbread, y en iOS a partir de la versión 4.1. Las raíces de Amazon son de confianza en iOS a partir de la versión 11. Cualquier navegador, aplicación o sistema operativo que incluya las raíces de Amazon o Starfield confiará en los certificados públicos obtenidos de ACM. Los certificados de hoja o entidad final que ACM emite a los clientes obtienen su autoridad de una CA raíz de Amazon Trust Services a través de alguna de las distintas CA intermedias. ACM asigna aleatoriamente una CA intermedia en función del tipo de certificado (RSA o ECDSA) solicitado. Puesto que la CA intermedia se selecciona aleatoriamente después de generar la solicitud, ACM no proporciona información sobre la CA intermedia.
- Confianza de navegadores y aplicaciones
-
Los certificados de ACM son de confianza para la mayoría de los principales navegadores, como Google Chrome, Microsoft Internet Explorer y Microsoft Edge, Mozilla Firefox y Apple Safari. Los navegadores que confían en los certificados de ACM muestran un icono de candado en la barra de estado o la barra de direcciones cuando se conectan por SSL/TLS a sitios que utilizan certificados de ACM. Los certificados de ACM también son de confianza para Java.
- Rotación de CA intermedias y raíces
-
Con el fin de mantener una infraestructura de certificados resiliente y ágil, Amazon puede decidir en cualquier momento dejar de utilizar una CA intermedia sin previo aviso. Este tipo de cambios no afectan a los clientes. Para obtener más información, consulte la entrada de blog “Amazon introduces dynamic intermediate certificate authorities”
(Amazon presenta las entidades de certificación intermedias dinámicas). En el improbable caso de que Amazon deje de utilizar una CA raíz, el cambio se producirá tan pronto como lo requieran las circunstancias. Debido al gran impacto de este cambio, Amazon utilizará todos los mecanismos disponibles para notificar a los AWS clientes, incluido el AWS Health Dashboard correo electrónico a los propietarios de las cuentas y la comunicación con los administradores técnicos de cuentas.
- Acceso a firewalls para revocación
-
Si un certificado de entidad final deja de ser de confianza, se revocará. El protocolo OCSP y las listas CRL son los mecanismos estándar que se utilizan para comprobar si un certificado se ha revocado o no. El protocolo OCSP y las listas CRL son los mecanismos estándar que se utilizan para publicar información sobre revocación. Es posible que los firewalls de algunos clientes necesiten reglas adicionales para permitir el funcionamiento de estos mecanismos.
Los siguientes ejemplos de patrones de caracteres comodín de URL se pueden utilizar para identificar tráfico de revocación. Un asterisco (*) representa uno o varios caracteres alfanuméricos, un signo de interrogación de cierre (?) representa un único carácter alfanumérico, y una almohadilla (#) representa un número.
-
OCSP
http://ocsp.?????.amazontrust.com
http://ocsp.*.amazontrust.com
-
CRL
http://crl.?????.amazontrust.com/?????.crl
http://crl.*.amazontrust.com/*.crl
-
- Validación de dominio (DV)
-
Los certificados de ACM son validados por dominio. Es decir, el campo de asunto de un certificado de ACM identifica solo a un nombre de dominio. Cuando solicita un certificado de ACM, debe validar que usted es el propietario de todos los dominios que ha especificado en su solicitud, o bien que es quien los controla. Puede validar la titularidad a través del correo electrónico o DNS. Para más información, consulte Validación por correo electrónico y Validación por DNS.
- Periodo de validez
-
El periodo de validez de los certificados de ACM es de 13 meses (395 días).
- Renovación e implementación administradas
-
ACM administra el proceso de renovación de los certificados de ACM y el aprovisionamiento de estos una vez renovados. La renovación automática puede ayudarle a evitar el tiempo de inactividad debido a certificados configurados incorrectamente, revocados o caducados. Para obtener más información, consulte Renovación administrada para certificados de ACM.
- Varios nombres de dominio
-
Cada certificado de ACM debe incluir al menos un nombre de dominio completo (FQDN), pero puede agregar nombres adicionales si lo desea. Por ejemplo, cuando crea un certificado de ACM para
www.example.com
, puede agregar el nombrewww.example.net
si los clientes pueden acceder a su sitio utilizando cualquiera de los nombres. Lo mismo sucede con los dominios vacíos (también conocidos como ápex de zona o dominios desnudos). Es decir, puede solicitar un certificado de ACM para www.example.com y agregar el nombre example.com. Para obtener más información, consulte Solicitar un certificado público. - Nombres con comodines
-
ACM permite utilizar un asterisco (*) en el nombre de dominio para crear un certificado de ACM que contenga un nombre comodín que pueda proteger varios sitios en el mismo dominio. Por ejemplo,
*.example.com
protegewww.example.com
eimages.example.com
.nota
Cuando solicita un certificado de comodín, el asterisco (
*
) debe encontrarse en la posición más a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Por ejemplo,*.example.com
puede protegerlogin.example.com
ytest.example.com
, pero no puede protegertest.login.example.com
. Tenga en cuenta también que*.example.com
solo protege los subdominios deexample.com
. No protege el dominio desnudo o ápex (example.com
). Sin embargo, puede solicitar un certificado que proteja una dominio desnudo o ápex y sus subdominios especificando varios nombres de dominio en su solicitud. Por ejemplo, puede solicitar un certificado que protejaexample.com
y*.example.com
. - Algormos clave
-
Un certificado debe especificar un algoritmo y un tamaño de clave. Actualmente, ACM admite los siguientes algoritmos de clave pública (ECDSA) y el algoritmo de firma digital de curva elíptica (ECDSA). ACM puede solicitar la emisión de nuevos certificados a través de algoritmos marcados con un asterisco (*). Los algoritmos restantes solo son compatibles con los certificados importados.
nota
Al solicitar un certificado de PKI privado firmado por una CA AWS Private CA, la familia de algoritmos de firma especificada (RSA o ECDSA) debe coincidir con la familia de algoritmos de la clave secreta de la CA.
-
RSA de 1024 bits (
RSA_1024
) -
RSA de 2048 bits (
RSA_2048
)* -
RSA de 3072 bits (
RSA_3072
) -
RSA de 4096 bits (
RSA_4096
) -
ECDSA de 256 bits (
EC_prime256v1
)* -
ECDSA de 384 bits (
EC_secp384r1
)* -
ECDSA de 521 bits (
EC_secp521r1
)
Las claves ECDSA son más pequeñas y ofrecen una seguridad comparable a la de las claves RSA, pero con una mayor eficiencia de computación. Sin embargo, ECDSA no es compatible con todos los clientes de red. La siguiente tabla, adaptada del NIST
, muestra el nivel de seguridad representativo de RSA y ECDSA con claves de varios tamaños. Todos los valores se muestran en bits. Comparación de la seguridad de algoritmos y clavesNivel de seguridad
Tamaño de clave RSA
Tamaño de clave ECDSA
128
3072 256 192
7680 384 256
15360 512 El nivel de seguridad, entendido como una potencia de 2, está relacionado con la cantidad de intentos necesarios para romper el cifrado. Por ejemplo, se pueden recuperar tanto una clave RSA de 3072 bits como una clave ECDSA de 256 bits sin más de 2128 intentos.
Para obtener información que le ayude a elegir un algoritmo, consulte la entrada del AWS blog Cómo evaluar y utilizar los
certificados ECDSA en. AWS Certificate Manager importante
Tenga en cuenta que los servicios integrados solo permiten asociar a sus recursos los algoritmos y tamaños de clave que admiten. Además, la compatibilidad varía en función de si el certificado se importa a IAM o ACM. Para obtener más información, consulte la documentación de cada servicio.
-
Para Elastic Load Balancing, consulte Agentes de escucha de HTTPS para su Application Load Balancer.
-
Para ello CloudFront, consulte Protocolos y cifrados SSL/TLS compatibles.
-
- Punycode
-
Se deben cumplir los siguientes requisitos de Punycode
relativos a los Nombres de dominio internacionalizados : -
Los nombres de dominio que empiecen con el patrón “<character><character>--” deben coincidir con “xn--”.
-
Los nombres de dominio que empiecen con “xn--” también deben ser nombres de dominio internacionalizados válidos.
Ejemplos de PunycodeNombre del dominio
Cumple el n.° 1
Cumple el n.° 2
Permitida
Nota
example.com
n/a
n/a
✓
No empieza con “<character><character>--”
a--ejemplo.com
n/a
n/a
✓
No empieza con “<character><character>--”
abc--ejemplo.com
n/a
n/a
✓
No empieza con “<character><character>--”
xn--xyz.com
Sí
Sí
✓
Nombre de dominio internacionalizado válido (se resuelve en 简.com)
xn--ejemplo.com
Sí
No
✗
No es un nombre de dominio internacionalizado válido
ab--ejemplo.com
No
No
✗
Debe empezar con “xn--”
-
- Excepciones
-
Tenga en cuenta lo siguiente:
-
ACM no proporciona certificados de validación extendida (EV) ni certificados de validación de organización (OV).
-
ACM no proporciona certificados para nada más que los protocolos SSL/TLS.
-
No puede utilizar certificados de ACM para el cifrado de correo electrónico.
-
ACM no permite desactivar la renovación de certificados administrada de los certificados de ACM. Además, la renovación administrada no está disponible para los certificados que se importan a ACM.
-
No se pueden solicitar certificados para nombres de dominio propiedad de Amazon, por ejemplo los que terminan en amazonaws.com, cloudfront.net o elasticbeanstalk.com.
-
No se puede descargar la clave privada de un certificado de ACM.
-
No puede instalar de manera directa certificados de ACM en su sitio web o aplicación de Amazon Elastic Compute Cloud (Amazon EC2). No obstante, sí puede utilizar su certificado con cualquier servicio integrado. Para obtener más información, consulte Servicios integrados con AWS Certificate Manager.
-