Administración del ciclo de vida de entidad de certificación privada - AWS Private Certificate Authority
Selección de períodos de validezAdministración de sucesión de entidad de certificaciónRevocación de una entidad de certificación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración del ciclo de vida de entidad de certificación privada

Los certificados de entidad de certificación tienen una duración determinada o un período de validez. Cuando un certificado de CA caduca, todos los certificados emitidos directa o indirectamente por un subordinado CAs inferior en la jerarquía de CA dejan de ser válidos. Puede evitar la caducidad del certificado de entidad de certificación planificando con antelación.

Selección de períodos de validez

El período de validez de un certificado X.509 es un campo de certificado básico obligatorio. Determina el intervalo de tiempo durante el cual la entidad de certificación emisora certifica que se puede confiar en el certificado, salvo revocación. (Un certificado raíz, al ser autofirmado, certifica su propio período de validez).

Autoridad de certificación privada de AWS y AWS Certificate Manager ayudan a configurar los períodos de validez de los certificados sujetos a las siguientes restricciones:

  • Un certificado gestionado por Autoridad de certificación privada de AWS debe tener un período de validez inferior o igual al período de validez de la CA que lo emitió. En otras palabras, los certificados secundarios CAs y de la entidad final no pueden sobrevivir a los certificados principales. Si se intenta utilizar el IssueCertificate API para emitir un certificado de CA con un período de validez superior o igual al de la entidad emisora de certificados principal, se produce un error.

  • Los certificados emitidos y gestionados por AWS Certificate Manager (aquellos para los que se ACM genera la clave privada) tienen un período de validez de 13 meses (395 días). ACMgestiona el proceso de renovación de estos certificados. Si Autoridad de certificación privada de AWS solía emitir certificados directamente, puede elegir cualquier período de validez.

El diagrama siguiente muestra una configuración típica de períodos de validez anidados. El certificado raíz es el más duradero; los certificados de la entidad final son relativamente efímeros; y los subordinados CAs oscilan entre estos extremos.

Los períodos subordinados y de validez deben corresponder a los períodos de validez de sus entidades principales.

Cuando planifique la jerarquía de la entidad de certificación, determine la duración óptima de los certificados de entidad de certificación. Trabaje retrospectivamente a partir de la duración deseada de los certificados de entidad final que desea emitir.

Certificados de entidad final

Los certificados de entidad final deben tener un período de validez adecuado para el caso de uso. Una duración breve minimiza la exposición de un certificado en caso de pérdida o robo de su clave privada. Sin embargo, los períodos de vida breves suponen renovaciones frecuentes. Si no se renueva un certificado que caduca, puede producirse un tiempo de inactividad.

El uso distribuido de los certificados de la entidad final también puede plantear problemas logísticos si se produce una infracción de seguridad. Su planificación debe tener en cuenta los certificados de renovación y distribución, la revocación de certificados en riesgo y la rapidez con la que las revocaciones se propagan a los clientes que dependen de los certificados.

El período de validez predeterminado de un certificado de entidad final emitido directamente ACM es de 13 meses (395 días). En Autoridad de certificación privada de AWS, puede utilizar el IssueCertificate API para aplicar cualquier período de validez siempre que sea inferior al de la CA emisora.

Certificados de entidad de certificación subordinados

Los certificados de entidades de certificación subordinados deben tener períodos de validez mucho más largos que los certificados que emiten. Un buen rango para la validez de un certificado de entidad de certificación es de dos a cinco veces el período de cualquier certificado de entidad de certificación secundario o certificado de entidad final que emite. Por ejemplo, suponga que tiene una jerarquía de entidades de certificación de dos niveles (entidad de certificación raíz y una entidad de certificación subordinada). Si desea emitir certificados de entidad final con una duración de un año, puede configurar la duración de la entidad de certificación emisora subordinada para que sea de tres años. Este es el período de validez predeterminado para un certificado de CA subordinado en Autoridad de certificación privada de AWS. Los certificados de entidad de certificación subordinados se pueden cambiar sin reemplazar el certificado de entidad de certificación raíz.

Certificados raíz

Los cambios en un certificado de CA raíz afectan a toda PKI la infraestructura de claves públicas y requieren que se actualicen todos los almacenes de confianza del navegador y del sistema operativo del cliente dependientes. Para minimizar el impacto operativo, debe elegir un período de validez largo para el certificado raíz. El Autoridad de certificación privada de AWS valor predeterminado para los certificados raíz es de diez años.

Administración de sucesión de entidad de certificación

Tiene dos formas de administrar la sucesión de entidades de certificación: reemplazar la entidad de certificación antigua o volver a emitir la entidad de certificación con un nuevo período de validez.

Reemplazar una entidad de certificación antigua

Para reemplazar una entidad de certificación antigua, debe crear una entidad de certificación nueva y encadenarla a la misma entidad de certificación principal. Después, emitirá certificados de la nueva entidad de certificación.

Los certificados emitidos por la nueva entidad de certificación tienen una nueva cadena de entidad de certificación. Una vez establecida la nueva entidad de certificación, puede desactivar la antigua entidad de certificación para evitar que emita nuevos certificados. Si está deshabilitada, la antigua CA admite la revocación de los certificados antiguos emitidos desde la CA y, si está configurada para ello, sigue validando los certificados mediante listas de revocación de certificados OCSP o listas de revocación de certificados ()CRLs. Cuando caduque el último certificado emitido desde la entidad de certificación antigua, puede eliminar la entidad de certificación antigua. Puede generar un informe de auditoría para todos los certificados emitidos por la entidad de certificación para confirmar que todos los certificados emitidos han caducado. Si la CA anterior tiene una CA subordinadaCAs, también debe sustituirla, ya que la CA subordinada CAs caduca al mismo tiempo o antes que la CA principal. Comience reemplazando la entidad de certificación más alta de la jerarquía que debe reemplazarse. A continuación, cree una nueva subordinada de reemplazo CAs en cada nivel inferior posterior.

AWS recomienda incluir un identificador de generación de CA en los nombres, CAs según sea necesario. Por ejemplo, suponga que nombra a la entidad de certificación de primera generación “entidad de certificación raíz corporativa”. Cuando cree la entidad emisora de certificados de segunda generación, asígnele el nombre “entidad de certificación raíz corporativa G2”. Esta sencilla convención de nomenclatura puede ayudar a evitar confusiones cuando ambas no CAs hayan caducado.

Se prefiere este método de sucesión de entidades de certificación porque gira la clave privada de la entidad de certificación. La rotación de la clave privada es una práctica recomendada para las claves de entidades de certificación. La frecuencia de rotación debe ser proporcional a la frecuencia de uso de las claves: a medida CAs que se expidan más certificados, se deben rotar con mayor frecuencia.

nota

Los certificados privados emitidos mediante la ACM entidad emisora no se pueden renovar si se sustituye la CA. Si los utiliza ACM para la emisión y la renovación, debe volver a emitir el certificado de CA para prolongar la vida útil de la CA.

Reemplazar una CA antigua

Cuando una CA se acerca a su fecha de caducidad, un método alternativo para prolongar su vida útil consiste en volver a emitir el certificado de CA con una nueva fecha de caducidad. La reemisión deja todos los metadatos de la CA en su lugar y conserva las claves públicas y privadas existentes. En este escenario, la cadena de certificados existente y los certificados de entidad final sin caducar emitidos por la CA siguen siendo válidos hasta que caduquen. La emisión de nuevos certificados también puede continuar sin interrupciones. Para actualizar una CA con un certificado reemitido, siga los procedimientos de instalación habituales que se describen en Creación e instalación del certificado para una CA.

nota

Recomendamos sustituir las CA que vayan a caducar en lugar de volver a emitir su certificado dadas las ventajas de seguridad que se obtienen al cambiar a un nuevo par de claves.

Revocación de una entidad de certificación

Para revocar una CA, se revoca su certificado subyacente. Esto también revoca de manera efectiva todos los certificados emitidos por la CA. La información de revocación se distribuye a los clientes mediante OCSPo un. CRL Debe revocar un certificado de CA solo si desea revocar efectivamente todos los certificados de entidad final y CA subordinada.