Prácticas recomendadas de Autoridad de certificación privada de AWS

Las prácticas recomendadas son recomendaciones que pueden ayudarlo a utilizar Autoridad de certificación privada de AWS de forma más eficaz. Las siguientes prácticas recomendadas se basan en experiencias reales de clientes de AWS Certificate Manager y Autoridad de certificación privada de AWS actuales.

Documentación de la estructura y las políticas de entidad de certificación (CA)

AWS recomienda documentar todas las políticas y prácticas para operar la entidad de certificación Esto podría incluir:

• Razonamiento de sus decisiones sobre la estructura de la entidad de certificación

• Un diagrama que muestra sus entidades de certificación y sus relaciones

• Políticas sobre períodos de validez de la entidad de certificación

• Planificación de la sucesión de la entidad de certificación

• Políticas sobre la longitud de la ruta

• Catálogo de permisos

• Descripción de las estructuras de control administrativo

• Seguridad

Puede capturar esta información en dos documentos, conocidos como Política de certificación (CP) y Declaración de prácticas de certificación (CPS). Consulte RFC 3647 para obtener un marco para capturar información importante sobre las operaciones de entidades de certificación.

Minimizar el uso de la entidad de certificación (CA) raíz si es posible

En general, una entidad de certificación raíz sólo debe utilizarse para emitir certificados para las entidades de certificación intermedias. Esto permite que la entidad de certificación raíz se almacene fuera de peligro mientras que las entidades de certificación intermedias realizan la tarea diaria de emitir certificados de entidad final.

Sin embargo, si la práctica actual de la organización consiste en emitir certificados de entidad final directamente desde una entidad de certificación raíz, Autoridad de certificación privada de AWS puede admitir este flujo de trabajo mientras mejora la seguridad y los controles operativos. La emisión de certificados de entidad final en este escenario requiere una política de permisos de IAM que permita a la entidad de certificación raíz utilizar una plantilla de certificado de entidad final. Para obtener información acerca de las políticas de IAM, consulte Identity and Access Management (IAM) para AWS Private Certificate Authority.

nota

Esta configuración impone limitaciones que pueden dar lugar a desafíos operativos. Por ejemplo, si la entidad de certificación raíz se ha puesto en riesgo o se pierde, debe crear una entidad de certificación raíz nueva y distribuirla a todos los clientes del entorno. Hasta que se complete este proceso de recuperación, no podrá emitir certificados nuevos. La emisión de certificados directamente desde una entidad de certificación raíz también impide restringir el acceso y limitar el número de certificados emitidos desde la raíz, que se consideran prácticas recomendadas para administrar una entidad de certificación raíz.

Dele la suya a la CA raíz Cuenta de AWS

La creación de una CA raíz y una CA subordinada en dos cuentas AWS diferentes es una práctica recomendada. Si lo hace, puede proporcionarle protección adicional y controles de acceso para su entidad de certificación raíz. Puede hacerlo exportando la CSR desde la entidad de certificación subordinada en una cuenta y firmarla con una entidad de certificación raíz en otra cuenta. El beneficio de este enfoque es que puede separar el control de sus entidades de certificación por cuenta. La desventaja es que no puede utilizar el asistente de AWS Management Console para simplificar el proceso de firma del certificado de CA de una CA subordinada desde su CA raíz.

importante

Recomendamos encarecidamente el uso de la autenticación multifactor (MFA) en cualquier momento que acceda a Autoridad de certificación privada de AWS.

Funciones separadas de administrador y emisor

La función de administrador de CA debe estar separada de la de los usuarios, que solo necesitan emitir certificados de entidad final. Si el administrador de la CA y el emisor del certificado residen en el mismo Cuenta de AWS lugar, puede limitar los permisos del emisor creando un usuario de IAM específico para ese fin.

Implementar la revocación gestionada de certificados

La revocación gestionada notifica automáticamente a los clientes de certificados cuando se ha revocado un certificado. Es posible que deba revocar un certificado si su información criptográfica se ha visto comprometida o si se emitió por error. Por lo general, los clientes se niegan a aceptar los certificados revocados. Autoridad de certificación privada de AWS ofrece dos opciones estándares para la revocación gestionada: el Protocolo de estado de certificados en línea (OCSP) y las listas de revocación de certificados (CRL). Para obtener más información, consulte Configuración de un método de revocación de certificados.

Activar AWS CloudTrail

Active el CloudTrail registro antes de crear y empezar a operar una CA privada. Con CloudTrail ella, puede recuperar un historial de llamadas a la AWS API de su cuenta para supervisar sus AWS despliegues. Este historial incluirá las llamadas a la API realizadas desde la AWS Management Console, los SDK de AWS, la AWS Command Line Interface y los servicios de AWS de nivel superior. También puede identificar qué usuarios y cuentas llamaron a las operaciones de la API de PCA, la dirección IP de origen desde la que se realizaron las llamadas y el momento en que se efectuaron. Puedes CloudTrail integrarlo en las aplicaciones mediante la API, automatizar la creación de rutas para tu organización, comprobar el estado de las rutas y controlar la forma en que los administradores activan y desactivan el CloudTrail inicio de sesión. Para obtener más información, consulte Crear un registro de seguimiento. Vaya a Registra AWS Private CA API las llamadas con AWS CloudTrail para ver ejemplos de registros de seguimiento de las operaciones de Autoridad de certificación privada de AWS.

Rotar la clave privada de la CA

Es recomendable actualizar periódicamente la clave privada de la CA privada. Puede actualizar una clave importando un nuevo certificado de entidad de certificación o puede reemplazar la entidad de certificación privada por una nueva entidad de certificación.

nota

Si reemplaza la propia CA, tenga en cuenta que el ARN de la CA cambia. Esto provocaría un error en la automatización que se basa en un ARN con codificación rígida.

Eliminar una entidad de certificación no utilizada

Puede eliminar permanentemente una CA privada. Tal vez quiera hacerlo si ya no la necesita o si desea reemplazarla por otra que tenga una nueva clave privada. Para eliminar de forma segura una CA, le recomendamos que siga el proceso que se describe en Eliminación de su entidad de certificación privada.

nota

AWS le factura por una entidad de certificación hasta que se haya eliminado.

Bloquear el acceso público de sus CRL

Autoridad de certificación privada de AWS recomienda utilizar la característica Bloqueo de acceso público de Amazon S3 (BPA) en los buckets que contienen las CRL. Esto evita exponer innecesariamente los detalles de su PKI privada a posibles adversarios. El BPA es una de las mejores prácticas de S3 y está activado de forma predeterminada en los buckets nuevos. En algunos casos, se necesita una configuración adicional. Para obtener más información, consulte Habilitar S3 Block Public Access () con BPA CloudFront.

Prácticas recomendadas de aplicaciones de Amazon EKS

Cuando utilice Autoridad de certificación privada de AWS para aprovisionar certificados X.509 a Amazon EKS, siga las recomendaciones para proteger los entornos con varios inquilinos que figuran en las Guías de prácticas recomendadas de Amazon EKS. Para obtener información general sobre la integración Autoridad de certificación privada de AWS con Kubernetes, consulte Proteger Kubernetes con Autoridad de certificación privada de AWS.