# Rotación de certificados SSL/TLS
<a name="cnames-and-https-rotate-certificates"></a>

Cuando los certificados SSL/TLS estén a punto de caducar, tendrá que rotarlos para garantizar la seguridad de la distribución y evitar la interrupción del servicio para los lectores. Puede rotarlos de las siguientes formas:
+ Para los certificados SSL/TLS proporcionados por AWS Certificate Manager (ACM), no es necesario rotarlos. ACM administra *automáticamente* las renovaciones de los certificados por usted. Para obtener más información, consulte [Renovación administrada de certificados](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html) en la *Guía del usuario de AWS Certificate Manager*.
+ Si utiliza una autoridad de certificación de terceros y ha importado certificados a ACM (recomendado) o los ha cargado en el almacén de certificados de IAM, debe sustituir ocasionalmente un certificado por otro.

  

**importante**  
ACM no administra renovaciones de certificados que adquiera de autoridades de certificación de terceros y que después importe a ACM.
Si configura CloudFront para atender solicitudes HTTPS a través de direcciones IP dedicadas, es posible que se aplique un cargo prorrateado adicional por uso de uno o varios certificados adicionales mientras rota certificados. Le recomendamos actualizar las distribuciones para minimizar los cargos adicionales.

## Rotación de certificados SSL/TLS
<a name="rotate-ssl-tls-certificate"></a>

Para rotar los certificados, realice el siguiente procedimiento. Los espectadores pueden seguir obteniendo acceso a su contenido mientras rota certificados y también una vez completado el proceso.<a name="rotate-ssl-tls-certificates-proc"></a>

**Para rotar certificados SSL/TLS**

1. [Aumento de las cuotas de certificados SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md) para determinar si necesita permiso para utilizar más certificados SSL. En caso afirmativo, solicite el permiso y espere hasta que se le conceda antes de continuar con el paso 2.

1. Importe el nuevo certificado a ACM o cárguelo a IAM. Para obtener más información, consulte [Importación de un certificado SSL/TLS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates) en la *Guía para desarrolladores de Amazon CloudFront*.

1. (Solo para certificados de IAM) Actualice las distribuciones de una en una para utilizar el nuevo certificado. Para obtener más información, consulte [Actualizar una distribución](HowToUpdateDistribution.md).

1. (Opcional) Elimine el certificado anterior de ACM o IAM.
**importante**  
No elimine un certificado SSL/TLS hasta eliminarlo de todas las distribuciones y hasta que el estado de las distribuciones que ha actualizado haya cambiado a `Deployed`.