Rotación de un certificado de IAM Identity Center - AWS IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Rotación de un certificado de IAM Identity Center

La rotación de un certificado de IAM Identity Center es un proceso de varios pasos que incluye lo siguiente:

  • Generación de un nuevo certificado

  • Adición del nuevo certificado al sitio web del proveedor de servicios

  • Configuración del nuevo certificado como activo

  • Eliminación del certificado inactivo

Utilice todos los procedimientos siguientes en el orden que se indica a continuación para completar el proceso de rotación de certificados para una solicitud determinada:

Paso 1: generar un nuevo certificado.

Los nuevos certificados de IAM Identity Center que genere se pueden configurar para que utilicen las siguientes propiedades:

  • Período de validez: especifica el tiempo asignado (en meses) antes de que caduque un nuevo certificado de IAM Identity Center.

  • Tamaño de la clave: determina el número de bits que debe utilizar una clave con su algoritmo criptográfico. Puede establecer este valor en RSA de 1024 bits o RSA de 2048 bits. Para obtener información general sobre cómo funcionan los tamaños de clave en criptografía, consulte Tamaño de clave.

  • Algoritmo: especifica el algoritmo que IAM Identity Center utiliza al firmar la aserción/respuesta de SAML. Puede establecer este valor en SHA-1 o SHA-256. AWS recomienda utilizar el SHA-256 siempre que sea posible, a menos que su proveedor de servicios requiera el SHA-1. Para obtener información general sobre cómo funcionan los algoritmos de criptografía, consulte Criptografía de clave pública.

  1. Abra la consola de IAM Identity Center.

  2. Elija Aplicaciones.

  3. En la lista de aplicaciones, elija la aplicación para la que desee generar un nuevo certificado.

  4. En la página de detalles de la aplicación, elija la pestaña Configuración. En Metadatos de IAM Identity Center, seleccione Administrar certificado. Si no tiene una pestaña Configuración o el ajuste de configuración no está disponible, no tiene que rotar el certificado de esta aplicación.

  5. En la página de certificados de IAM Identity Center, seleccione Generar un certificado nuevo.

  6. En el cuadro de diálogo Generar un nuevo certificado de IAM Identity Center, especifique los valores adecuados para el período de validez, el algoritmo y el tamaño de clave. A continuación, elija Generar.

Paso 2: actualizar el sitio web del proveedor de servicios.

Utilice el siguiente procedimiento para restablecer la relación de confianza con el proveedor de servicios de la aplicación.

importante

Al cargar el nuevo certificado al proveedor de servicios, es posible que los usuarios no puedan autenticarse. Para corregir esta situación, configure el nuevo certificado como activo como se describe en el paso siguiente.

  1. En la consola de IAM Identity Center, elija la aplicación para la que acaba de generar un nuevo certificado.

  2. En la página de detalles de la aplicación, elija la pestaña Configuración.

  3. Seleccione Ver instrucciones y, a continuación, siga las instrucciones del sitio web específico del proveedor de servicios de aplicaciones para añadir el certificado recién generado.

Paso 3: configurar el nuevo certificado como activo.

Una aplicación puede tener asignados hasta dos certificados. IAM Identity Center utilizará el certificado que esté establecido como activo para firmar todas las aserciones de SAML.

  1. Abra la consola de IAM Identity Center.

  2. Elija Aplicaciones.

  3. En la lista de aplicaciones, elija su aplicación.

  4. En la página de detalles de la aplicación, elija la pestaña Configuración. En los Metadatos de IAM Identity Center, seleccione Administrar certificado.

  5. En la página de certificados de IAM Identity Center, seleccione el certificado que desee configurar como activo, elija Acciones y, a continuación, Establecer como activo.

  6. En el cuadro de diálogo Establecer el certificado seleccionado como activo, confirme que comprende que configurar un certificado como activo puede requerir que restablezca la relación confianza y, a continuación, seleccione Activar.

Paso 4: eliminar el certificado anterior.

Use el siguiente procedimiento para completar el proceso de rotación de certificados para su aplicación. Solo puede eliminar un certificado que esté en estado inactivo.

  1. Abra la consola de IAM Identity Center.

  2. Elija Aplicaciones.

  3. En la lista de aplicaciones, elija su aplicación.

  4. En la página de detalles de la aplicación, elija la pestaña Configuración. En los Metadatos de IAM Identity Center, seleccione Administrar certificado.

  5. En la página de certificados de IAM Identity Center, seleccione el certificado que desee eliminar. Elija Acciones y, a continuación, elija Eliminar.

  6. En el cuadro de diálogo Eliminar certificado, elija Eliminar.