Procedimiento para crear una CA (consola) - AWS Private Certificate Authority
Opciones de modoOpciones de tipo de CAOpciones de nombre distintivos del asuntoOpciones de algoritmos de claveOpciones de revocación de certificadosAgregue etiquetasOpciones de permisos CAPreciosCrear CA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Procedimiento para crear una CA (consola)

Utilice los siguientes pasos para crear una CA privada mediante la AWS Management Console.

Para comenzar a utilizar la consola

Inicie sesión en su AWS cuenta y abra la Autoridad de certificación privada de AWS consola enhttps://console.aws.amazon.com/acm-pca/home.

  • Si vas a abrir la consola en una región en la que no tienes información privadaCAs, aparecerá la página de introducción. Elija Crear una CA privada.

  • Si va a abrir la consola en una región en la que ya ha creado una CA, se abrirá la página de autoridades de certificación privadas con una lista de las suyasCAs. Seleccione Crear CA.

Opciones de modo

En la sección Opciones de modo de la consola, elija el modo de caducidad de los certificados que emite la CA.

  • Uso general: emite certificados que se pueden configurar con cualquier fecha de caducidad. Esta es la opción predeterminada.

  • Certificado de corta duración: emite certificados con un período de validez máximo de siete días. Un período de validez breve puede sustituir en algunos casos a un mecanismo de revocación.

Opciones de tipo de CA

En la sección Tipo de opciones de la consola, seleccione el tipo de entidad de certificación privada que desea crear.

  • Al elegir Raíz, se establece una nueva jerarquía de entidades de certificación. Esta entidad de certificación está respaldada por un certificado autofirmado. Actúa como la máxima autoridad de firma para otros certificados CAs y para los de la entidad final de la jerarquía.

  • Al elegir una Subordinada se crea una entidad de certificación que debe estar firmada por una entidad de certificación (CA) principal encima de ella en la jerarquía. Los certificados subordinados se CAs utilizan normalmente para crear otros certificados subordinados CAs o para emitir certificados de entidad final a usuarios, ordenadores y aplicaciones.

    nota

    Autoridad de certificación privada de AWS proporciona un proceso de firma automatizado cuando la CA principal de la CA subordinada también está alojada en. Autoridad de certificación privada de AWS Todo lo que tiene que hacer es elegir la CA principal que va a utilizar.

    Es posible que su CA subordinada deba estar firmada por un proveedor de servicios de confianza externo. Si es así, le Autoridad de certificación privada de AWS proporciona una solicitud de firma de certificado (CSR) que debe descargar y utilizar para obtener un certificado de CA firmado. Para obtener más información, consulte Instalación de un certificado de entidad de certificación subordinada firmado por una entidad de certificación principal externa.

Opciones de nombre distintivos del asunto

En las opciones de nombre distintivo del asunto, configure el nombre del asunto de su CA privada. Debe escribir al menos uno de los siguientes valores:

  • Organización (O): por ejemplo, el nombre de una empresa

  • Unidad organizativa (OU): por ejemplo, una división dentro de una empresa

  • Nombre del país (C): código de país de dos letras

  • Nombre de estado o provincia: nombre completo de un estado o una provincia

  • Nombre de la localidad: el nombre de una ciudad

  • Nombre común (CN): cadena legible por humanos para identificar la CA.

nota

Puede personalizar aún más el nombre del asunto de un certificado aplicando una APIPassthrough plantilla en el momento de su emisión. Para obtener más información y un ejemplo detallado, consulte Emita un certificado con un nombre de asunto personalizado mediante una plantilla APIPassthrough.

Dado que el certificado de respaldo se firma automáticamente, la información de asunto que proporciona para una entidad de certificación (CA) privada es probablemente más dispersa que la que podría contener una entidad de certificación pública. Para obtener más información sobre cada uno de los valores que componen el nombre distintivo de un sujeto, consulte RFC5280.

Opciones de algoritmos de clave

En Opciones de algoritmos clave, elija el algoritmo clave y el tamaño en bits de la clave. El valor predeterminado es un RSA algoritmo con una longitud de clave de 2048 bits. Puede elegir entre los siguientes algoritmos:

  • RSA2048

  • RSA4096

  • ECDSAP256

  • ECDSAP384

Opciones de revocación de certificados

En Opciones de revocación de certificados, puede seleccionar entre dos métodos para compartir el estado de revocación con los clientes que utilizan sus certificados:

  • Activar la distribución CRL

  • Encienda OCSP

Puede configurar una de estas opciones de revocación, ninguna o ambas para su CA. Aunque es opcional, se recomienda la revocación gestionada como práctica recomendada. Antes de completar este paso, consulte Configuración de un método de revocación de certificados para obtener información sobre las ventajas de cada método, la configuración preliminar que podría ser necesaria y las funciones de revocación adicionales.

nota

Si crea su CA sin configurar la revocación, siempre podrá configurarla más adelante. Para obtener más información, consulte Actualización de su entidad de certificación privada.

  1. En Opciones de revocación de certificados, elija Activar CRL distribución.

  2. Para crear un bucket de Amazon S3 para sus CRL entradas, elija Create a new S3 bucket y escriba un nombre de bucket único. (No es necesario incluir la ruta de acceso al bucket). De lo contrario, en Cubo de S3 URI, selecciona un depósito existente de la lista.

    Al crear un depósito nuevo a través de la consola, Autoridad de certificación privada de AWS intenta adjuntar la política de acceso requerida al depósito e inhabilitar la configuración predeterminada de S3 para bloquear el acceso público (BPA). Si, por el contrario, especificas un depósito existente, debes asegurarte de que BPA esté inhabilitado para la cuenta y para el depósito. De lo contrario, se produce un error en la operación para crear la CA. Si la CA se ha creado correctamente, debe adjuntarle una política de forma manual antes de empezar a generarlaCRLs. Utilice uno de los patrones de políticas descritos en Políticas de acceso para las CRL en Amazon S3 . Para obtener más información, consulte Agregar una política de bucket mediante la consola de Amazon S3.

    importante

    Se produce un error al intentar crear una CA mediante la Autoridad de certificación privada de AWS consola si se cumplen todas las condiciones siguientes:

    • Está configurando unCRL.

    • Solicita Autoridad de certificación privada de AWS crear un bucket de S3 automáticamente.

    • Estás aplicando la BPA configuración en S3.

    En esta situación, la consola crea un bucket, pero intenta hacerlo accesible al público y no lo consigue. Compruebe la configuración de Amazon S3 si esto ocurre, BPA deshabilítela según sea necesario y, a continuación, repita el procedimiento para crear una CA. Para obtener más información, consulte Bloqueo del acceso público al almacenamiento de Amazon S3.

  3. Amplíe los CRLajustes para ver opciones de configuración adicionales.

    • Añada un CRLnombre personalizado para crear un alias para su bucket de Amazon S3. Este nombre figura en los certificados emitidos por la CA en la extensión «Puntos de CRL distribución», definida en el número RFC 5280.

    • Escriba la validez en días en los CRL que seguirá siendo válido. El valor predeterminado es 7 días. En el caso de InternetCRLs, es habitual un período de validez de 2 a 7 días. Autoridad de certificación privada de AWS intenta regenerarlo CRL en el punto medio del período especificado.

  4. Amplíe los ajustes de S3 para configurar de forma opcional el control de versiones de los buckets y el registro de acceso a los buckets.

  1. En Opciones de revocación de certificados, selecciona OCSPActivar.

  2. En el campo OCSPPunto de enlace personalizado: opcional, puedes proporcionar un nombre de dominio completo (FQDN) para un OCSP punto de enlace que no sea de Amazon.

    Al introducir un valor FQDN en este campo, se Autoridad de certificación privada de AWS inserta FQDN en la extensión Authority Information Access de cada certificado emitido, en lugar del valor predeterminado URL para el AWS OCSP respondedor. Cuando un dispositivo de punto final recibe un certificado que contiene el certificado personalizadoFQDN, consulta esa dirección para obtener una OCSP respuesta. Para que este mecanismo funcione, debe realizar dos acciones adicionales:

    • Usa un servidor proxy para reenviar el tráfico que llegue a tu cliente personalizado FQDN al AWS OCSP respondedor.

    • Agregue el CNAME registro correspondiente a su DNS base de datos.

    sugerencia

    Para obtener más información sobre la implementación de una OCSP solución completa mediante una solución personalizadaCNAME, consulteConfiguración de una URL personalizada para OCSP de Autoridad de certificación privada de AWS.

    Por ejemplo, este es un CNAME registro personalizado OCSP tal como aparecería en Amazon Route 53.

    Nombre del registro Tipo Política de direccionamiento Diferenciador Valor/ruta de destino del tráfico

    alternative.example.com

    		 CNAME Sencillez - proxy.example.com
    nota

    El valor de no CNAME debe incluir un prefijo de protocolo como «http://» o «https://».

Agregue etiquetas

En Agregar etiquetas, puede etiquetar la entidad de certificación (CA) de forma opcional. Las etiquetas son pares de valor de clave que sirven como metadatos para identificar y organizar los recursos de AWS . Para obtener una lista de Autoridad de certificación privada de AWS los parámetros de las etiquetas y obtener instrucciones sobre cómo añadirlas CAs después de crearlas, consulteAdministrar las etiquetas de su CA privada.

nota

Para adjuntar etiquetas a una entidad emisora de certificados privada durante el procedimiento de creación, el administrador de una entidad emisora de certificados debe asociar primero una IAM política integrada a la CreateCertificateAuthority acción y permitir el etiquetado de forma explícita. Para obtener más información, consulte Tag-on-create: Adjuntar etiquetas a una CA en el momento de su creación.

Opciones de permisos CA

En las opciones de permisos de la CA, si lo desea, puede delegar los permisos de renovación automática al director del AWS Certificate Manager servicio. ACMsolo puede renovar automáticamente los certificados de entidades finales privadas generados por esta CA si se concede este permiso. Puede asignar permisos de renovación en cualquier momento con el comando Autoridad de certificación privada de AWS CreatePermissionAPIor create-permissionCLI.

El valor predeterminado consiste en habilitar estos permisos.

nota

AWS Certificate Manager no admite la renovación automática de certificados de corta duración.

Precios

En Precios, confirme que entiende los precios de una entidad de certificación privada.

nota

Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte AWS Private Certificate Authority Precios. También puede utilizar la calculadora de precios de AWS para estimar los costos.

Crear CA

Elija Crear CA después de comprobar que toda la información introducida es correcta. Se abre la página de detalles de la CA y muestra su estado como Certificado pendiente.

nota

En la página de detalles, puede terminar de configurar su CA seleccionando Acciones, Instalar el certificado de CA o puede volver más tarde a la lista de entidades de certificación privadas y completar el procedimiento de instalación que corresponda en su caso: