# Uso de nombres de dominio alternativos y HTTPS
<a name="using-https-alternate-domain-names"></a>

Si desea utilizar su propio nombre de dominio en las URL de los archivos (por ejemplo, `https://www.example.com/image.jpg`) y desea que los lectores utilicen HTTPS, debe completar los pasos descritos en los siguientes temas. (Si utiliza el nombre de dominio de distribución de CloudFront predeterminado en las URL, por ejemplo, `https://d111111abcdef8.cloudfront.net/image.jpg`, siga las instrucciones del siguiente tema: [Exigencia de HTTPS para la comunicación entre lectores y CloudFront](using-https-viewers-to-cloudfront.md)).

**importante**  
Cuando se agrega un certificado a la distribución, CloudFront propaga inmediatamente el certificado a todas las ubicaciones de borde. A medida que haya nuevas ubicaciones de borde disponibles, CloudFront también propaga el certificado a dichas ubicaciones. No puede restringir las ubicaciones de borde a las que CloudFront propaga los certificados.

**Topics**
+ [

# Elección de la forma en que CloudFront atiende las solicitudes HTTPS
](cnames-https-dedicated-ip-or-sni.md)
+ [

# Requisitos para la utilización de certificados SSL/TLS con CloudFront
](cnames-and-https-requirements.md)
+ [

# Cuotas al usar certificados SSL/TLS con CloudFront (solo HTTPS entre lectores y CloudFront)
](cnames-and-https-limits.md)
+ [

# Configuración de nombres de dominio alternativos y HTTPS
](cnames-and-https-procedures.md)
+ [

# Determinación del tamaño de la clave pública en un certificado SSL/TLS RSA
](cnames-and-https-size-of-public-key.md)
+ [

# Aumento de las cuotas de certificados SSL/TLS
](increasing-the-limit-for-ssl-tls-certificates.md)
+ [

# Rotación de certificados SSL/TLS
](cnames-and-https-rotate-certificates.md)
+ [

# Reversión de un certificado SSL/TLS personalizado al certificado de CloudFront predeterminado
](cnames-and-https-revert-to-cf-certificate.md)
+ [

# Cambio de un certificado SSL/TLS personalizado con direcciones IP dedicadas a SNI
](cnames-and-https-switch-dedicated-to-sni.md)

# Elección de la forma en que CloudFront atiende las solicitudes HTTPS
<a name="cnames-https-dedicated-ip-or-sni"></a>

Si desea que los lectores usen HTTPS y nombres de dominio alternativos para los archivos, elija una de las opciones siguientes de cómo CloudFront atiende las solicitudes HTTPS:
+ Use [Server Name Indication (SNI) (Indicación de nombre de servidor [SNI])](https://en.wikipedia.org/wiki/Server_Name_Indication): recomendado
+ Utilizar una dirección IP dedicada en cada ubicación de borde

En esta sección se explica cómo funciona cada opción.

## Uso de SNI para atender solicitudes HTTPS (funciona en la mayoría de los clientes)
<a name="cnames-https-sni"></a>

[Server Name Indication (SNI) (Indicación de nombre de servidor [SNI])](https://en.wikipedia.org/wiki/Server_Name_Indication) es una extensión del protocolo TLS que admiten los navegadores y clientes disponibles desde 2010. Si configura CloudFront para atender solicitudes HTTPS mediante SNI, CloudFront asocia el nombre de dominio alternativo a una dirección IP para cada ubicación de borde. Cuando un espectador envía una solicitud HTTPS de contenido, el servicio DNS dirige la solicitud a la dirección IP de la ubicación de borde correcta. La dirección IP de su nombre de dominio se determina durante la negociación del protocolo SSL/TLS; la dirección IP no es exclusiva de su distribución.

La negociación SSL/TLS se produce muy pronto en el proceso de establecimiento de una conexión HTTPS. Si CloudFront no puede determinar inmediatamente para qué dominio es la solicitud, interrumpe la conexión. Cuando un espectador que admite SNI envía una solicitud HTTPS de contenido, esto es lo que ocurre:

1. El espectador obtiene automáticamente el nombre de dominio de la URL de la solicitud y lo agrega a la extensión SNI del mensaje de saludo del cliente de TLS.

1. Cuando CloudFront recibe el saludo del cliente de TLS, utiliza el nombre de dominio de la extensión SNI para buscar la distribución de CloudFront coincidente y devuelve el certificado de TLS asociado.

1. El lector y CloudFront llevan a cabo la negociación SSL/TLS.

1. CloudFront devuelve el contenido solicitado al lector.

Para obtener una lista actualizada de los navegadores que admiten SNI, consulte la entrada de Wikipedia de [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication).

Si desea utilizar SNI pero algunos de los navegadores de los usuarios no lo admiten, dispone de varias opciones:
+ Configure CloudFront para atender solicitudes HTTPS a través de direcciones IP dedicadas en lugar de SNI. Para obtener más información, consulte [Uso de direcciones IP dedicadas para atender solicitudes HTTPS (funciona en todos los clientes)](#cnames-https-dedicated-ip).
+ Utilice el certificado SSL/TLS de CloudFront en lugar de un certificado personalizado. Esto requiere que utilice el nombre de dominio de CloudFront para la distribución en las URL de los archivos; por ejemplo, `https://d111111abcdef8.cloudfront.net/logo.png`.

  Si utiliza el certificado de CloudFront predeterminado, los lectores deben admitir el protocolo SSL TLSv1 o versiones posteriores. CloudFront no admite SSLv3 con el certificado de CloudFront predeterminado.

  También debe cambiar el certificado SSL/TLS que CloudFront utiliza, de un certificado personalizado al certificado de CloudFront predeterminado:
  + Si no ha usado su distribución para distribuir su contenido, puede simplemente cambiar la configuración. Para obtener más información, consulte [Actualizar una distribución](HowToUpdateDistribution.md).
  + Si ha usado su distribución para distribuir el contenido, debe crear una nueva distribución de CloudFront y cambiar las URL de los archivos para reducir o eliminar la cantidad de tiempo que el contenido no va a estar disponible. Para obtener más información, consulte [Reversión de un certificado SSL/TLS personalizado al certificado de CloudFront predeterminado](cnames-and-https-revert-to-cf-certificate.md).
+ Si puede controlar qué navegador utilizarán los usuarios, haga que lo actualicen a uno que admita SNI.
+ Utilice HTTP en lugar de HTTPS.

## Uso de direcciones IP dedicadas para atender solicitudes HTTPS (funciona en todos los clientes)
<a name="cnames-https-dedicated-ip"></a>

La indicación de nombre de servidor (SNI) es una manera de asociar una solicitud a un dominio. Otra forma es utilizar una dirección IP dedicada. Si tiene usuarios que no pueden actualizar a un navegador o cliente que se haya lanzado después de 2010, puede utilizar una dirección IP dedicada para atender solicitudes HTTPS. Para obtener una lista actualizada de los navegadores que admiten SNI, consulte la entrada de Wikipedia de [Server Name Indication](https://en.wikipedia.org/wiki/Server_Name_Indication). 

**importante**  
Si configura CloudFront para atender solicitudes HTTPS mediante direcciones IP dedicadas, se le aplicará una cuota mensual adicional. El cargo comienza cuando asocia el certificado SSL/TLS a una distribución y la habilita. Para obtener más información acerca de los precios de CloudFront, consulte [Precios de Amazon CloudFront](https://aws.amazon.com/cloudfront/pricing). Además, consulte [Using the Same Certificate for Multiple CloudFront Distributions](cnames-and-https-limits.md#cnames-and-https-same-certificate-multiple-distributions).

Si configura CloudFront para atender solicitudes HTTPS mediante direcciones IP dedicadas, CloudFront asocia el certificado a una dirección IP dedicada en cada ubicación periférica de CloudFront. Cuando un espectador envía una solicitud HTTPS de contenido, esto es lo que ocurre:

1. El DNS dirige la solicitud hacia la dirección IP de su distribución en la ubicación de borde aplicable.

1. Si una solicitud de cliente proporciona la extensión SNI en el mensaje `ClientHello`, CloudFront busca una distribución que esté asociada a ese SNI.
   + Si hay una coincidencia, CloudFront responde a la solicitud con el certificado SSL/TLS.
   + Si no hay una coincidencia, CloudFront utiliza la dirección IP para identificar la distribución y determinar qué certificado SSL/TLS devolver al lector.

1. El lector y CloudFront llevan a cabo una negociación SSL/TLS con el certificado SSL/TLS.

1. CloudFront devuelve el contenido solicitado al lector.

Este método funciona con cualquier solicitud HTTPS, independientemente del navegador o espectador que esté utilizando el usuario. 

**nota**  
Las IP dedicadas no son direcciones IP estáticas y pueden cambiar con el tiempo. La dirección IP que se devuelve para la ubicación periférica se asigna de forma dinámica a partir de los rangos de direcciones IP de la [lista de servidores periféricos de CloudFront](LocationsOfEdgeServers.md).  
Los rangos de direcciones IP de los servidores periféricos de CloudFront están sujetos a cambios. Para recibir notificaciones de cambios de dirección IP, [Subscribe to AWS Public IP Address Changes via Amazon SNS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-public-ip-address-changes-via-amazon-sns/).

## Solicitud de permiso para utilizar tres o más certificados SSL/TLS de direcciones IP dedicadas
<a name="cnames-and-https-multiple-certificates"></a>

Si necesita permiso para asociar de forma permanente tres o más certificados de IP dedicada SSL/TLS con CloudFront, realice el siguiente procedimiento. Para obtener detalles acerca de solicitudes HTTPS, consulte [Elección de la forma en que CloudFront atiende las solicitudes HTTPS](#cnames-https-dedicated-ip-or-sni).

**nota**  
Este es el procedimiento que se debe seguir para utilizar tres o más certificados de direcciones IP dedicadas en las distribuciones de CloudFront. El valor predeterminado es 2. Tenga en cuenta que no puede vincular más de un certificado SSL a una distribución.  
Solo puede asociar un único certificado SSL/TLS a una distribución de CloudFront cada vez. Este es el total de certificados SSL de IP dedicadas que puede utilizar en todas las distribuciones de CloudFront.<a name="cnames-and-https-multiple-certificates-procedure"></a>

**Para solicitar permiso para utilizar tres o más certificados con una distribución de CloudFront**

1. Vaya al [Centro de soporte](https://console.aws.amazon.com/support/home?#/case/create?issueType=service-limit-increase&limitType=service-code-cloudfront-distributions) y cree un caso.

1. Indique la cantidad de certificados a utilizar para la que necesita permiso y describa las circunstancias en su solicitud. Actualizaremos su cuenta tan pronto como sea posible.

1. Continúe con el siguiente procedimiento.

# Requisitos para la utilización de certificados SSL/TLS con CloudFront
<a name="cnames-and-https-requirements"></a>

En este tema se describen los requisitos de los certificados SSL/TLS. Se aplicarán a estos dos tipos de certificados, salvo que se indique lo contrario:
+ Certificados para utilizar HTTPS entre los lectores y CloudFront 
+ Certificados para utilizar HTTPS entre CloudFront y el origen

**Topics**
+ [

## Emisor de certificados
](#https-requirements-certificate-issuer)
+ [

## Región de AWS para AWS Certificate Manager
](#https-requirements-aws-region)
+ [

## Formato del certificado
](#https-requirements-certificate-format)
+ [

## Certificados intermedios
](#https-requirements-intermediate-certificates)
+ [

## Tipo de clave
](#https-requirements-key-type)
+ [

## Clave privada
](#https-requirements-private-key)
+ [

## Permisos
](#https-requirements-permissions)
+ [

## Tamaño de la clave de certificado
](#https-requirements-size-of-public-key)
+ [

## Tipos de certificados admitidos
](#https-requirements-supported-types)
+ [

## Fecha de vencimiento y renovación de certificados
](#https-requirements-cert-expiration)
+ [

## Nombres de dominio en la distribución de CloudFront y en el certificado
](#https-requirements-domain-names-in-cert)
+ [

## Versión mínima de protocolo SSL/TLS
](#https-requirements-minimum-ssl-protocol-version)
+ [

## Versiones de HTTP compatibles
](#https-requirements-supported-http-versions)

## Emisor de certificados
<a name="https-requirements-certificate-issuer"></a>

Le recomendamos que utilice un certificado público emitido por [AWS Certificate Manager(ACM)](https://aws.amazon.com/certificate-manager/). Para obtener información sobre obtener un certificado de parte de ACM, consulte la *[Guía del usuario de AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/)*. Para utilizar un certificado de ACM con una distribución de CloudFront, asegúrese de solicitar (o importar) el certificado en la región Este de EE. UU. (Norte de Virginia) (`us-east-1`).

 CloudFront admite las mismas entidades de certificación (CA, por sus siglas en inglés) que Mozilla, por lo que si no utiliza ACM, utilice un certificado emitido por una entidad de certificados de la [Lista de certificados de CA incluida en Mozilla](https://wiki.mozilla.org/CA/Included_Certificates). 

Los certificados TLS utilizados por el origen que especificó para su distribución de CloudFront también se deben emitir desde la entidad de certificación que figura en la lista de certificados CA incluidos de Mozilla.

Para obtener más información sobre cómo obtener e instalar un certificado SSL/TLS, consulte la documentación de su software del servidor HTTP y la de la entidad de certificados.

## Región de AWS para AWS Certificate Manager
<a name="https-requirements-aws-region"></a>

Para utilizar un certificado en AWS Certificate Manager (ACM) para solicitar HTTPS entre el lector y CloudFront, asegúrese de solicitar (o importar) el certificado en la región Este de EE. UU. (Norte de Virginia) (`us-east-1`).

Si desea solicitar HTTPS entre CloudFront y su origen y utiliza un equilibrador de carga Elastic Load Balancing como origen, puede solicitar o importar un certificado en cualquier Región de AWS.

## Formato del certificado
<a name="https-requirements-certificate-format"></a>

El certificado debe tener el formato X.509 PEM. Este es el formato predeterminado si utiliza AWS Certificate Manager.

## Certificados intermedios
<a name="https-requirements-intermediate-certificates"></a>

Si utiliza una entidad de certificación (CA) de terceros, incluya una lista de todos los certificados intermedios de la cadena de certificados en el archivo `.pem`, comenzando por uno para la entidad de certificación que firmó el certificado para su dominio. Normalmente, en el sitio web de la CA encontrará un archivo que enumera los certificados intermedios y raíz encadenados de la manera correcta.

**importante**  
No incluya lo siguiente: el certificado raíz y los certificados intermedios que no estén en la ruta de confianza, ni el certificado de clave pública de la CA.

A continuación se muestra un ejemplo:

```
-----BEGIN CERTIFICATE-----
Intermediate certificate 2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate certificate 1
-----END CERTIFICATE-----
```

## Tipo de clave
<a name="https-requirements-key-type"></a>

CloudFront admite pares de claves públicas/privadas de RSA y ECDSA.

CloudFront admite conexiones HTTPS tanto a los lectores como a los orígenes mediante certificados RSA y ECDSA. Con [AWS Certificate Manager(ACM)](https://console.aws.amazon.com/acm), puede solicitar e importar certificados RSA o ECDSA y, a continuación, asociarlos a la distribución de CloudFront.

Para las listas de cifrados RSA y ECDSA admitidos por CloudFront que puede nego‎ciar en conexiones HTTPS, consulte [Protocolos y cifrados admitidos entre lectores y CloudFront](secure-connections-supported-viewer-protocols-ciphers.md) y [Protocolos y cifrados admitidos entre CloudFront y el origen](secure-connections-supported-ciphers-cloudfront-to-origin.md).

## Clave privada
<a name="https-requirements-private-key"></a>

Si utiliza un certificado de una entidad de certificación (CA) de terceros, tenga en cuenta lo siguiente: 
+ La clave privada debe coincidir con la clave pública que se encuentra en el certificado.
+ La clave privada debe estar en formato PEM.
+ La clave privada no puede cifrarse con una contraseña.

Si AWS Certificate Manager (ACM) ha proporcionado el certificado, ACM no divulga la clave privada. La clave privada se almacena en ACM para que la usen los servicios de AWS integrados con ACM.

## Permisos
<a name="https-requirements-permissions"></a>

Debe tener permiso para usar e importar el certificado SSL/TLS. Si utiliza AWS Certificate Manager (ACM), le recomendamos que utilice los permisos de AWS Identity and Access Management necesarios para restringir el acceso a los certificados. Para obtener más información, consulte [Identity and Access Management](https://docs.aws.amazon.com/acm/latest/userguide/security-iam.html) en la *Guía del usuario de AWS Certificate Manager*.

## Tamaño de la clave de certificado
<a name="https-requirements-size-of-public-key"></a>

El tamaño de clave de certificado que admite CloudFront depende del tipo de clave y el tipo de certificado.

**Para certificados RSA:**  
CloudFront admite claves RSA de 1024, 2048, 3072 y 4096 bits. La longitud máxima de un certificado RSA que se utiliza con CloudFront es de 4096 bits.  
 Tenga en cuenta que ACM emite certificados RSA con claves de hasta 2048 bits. Para utilizar un certificado RSA de 3072 o 4096 bits, debe obtener el certificado externamente e importarlo a ACM, tras lo cual estará disponible para que lo utilice con CloudFront.   
Para obtener más información acerca de cómo determinar el tamaño de la clave RSA, consulte [Determinación del tamaño de la clave pública en un certificado SSL/TLS RSA](cnames-and-https-size-of-public-key.md).

**Para certificados ECDSA:**  
CloudFront admite claves de 256 bits. Si desea utilizar un certificado ECDSA en ACM para solicitar HTTPS entre lectores y CloudFront, utilice la curva elíptica prime256v1.

## Tipos de certificados admitidos
<a name="https-requirements-supported-types"></a>

CloudFront admite todos los tipos de certificados emitidos por una entidad de certificación de confianza.

## Fecha de vencimiento y renovación de certificados
<a name="https-requirements-cert-expiration"></a>

Si utiliza certificados obtenidos de una entidad de certificación (CA) de terceros, debe monitorear las fechas de vencimiento y renovar los certificados SSL/TLS que importe en AWS Certificate Manager (ACM) o cargue en el almacén de certificados de AWS Identity and Access Management antes de su vencimiento.

**importante**  
Para evitar problemas de vencimiento de los certificados, renueve o vuelva a importar su certificado al menos 24 horas antes del valor `NotAfter` del certificado actual. Si su certificado vence en 24 horas, solicite un nuevo certificado a ACM o importe uno nuevo a ACM. A continuación, asocie el nuevo certificado a la distribución de CloudFront.  
Es posible que CloudFront siga utilizando el certificado anterior mientras se esté renovando o reimportando el certificado. Este es un proceso asíncrono que puede tardar hasta 24 horas en mostrar los cambios en CloudFront.

Si utiliza certificados proporcionados por ACM, ACM administra las renovaciones de esos certificados por usted. Para obtener más información, consulte la [Renovación administrada](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) en la *guía del usuario de AWS Certificate Manager*.

## Nombres de dominio en la distribución de CloudFront y en el certificado
<a name="https-requirements-domain-names-in-cert"></a>

Cuando se utiliza un origen personalizado, el certificado SSL/TLS del origen incluye un nombre de dominio en el campo **Common Name (Nombre común)** y, posiblemente, varios más en el campo **Subject Alternative Names (Nombres alternativos de sujetos)**. (CloudFront admite caracteres comodín en nombres de dominio de certificados). 

Uno de los nombres de dominio del certificado debe coincidir con el nombre de dominio que especifique en Origin Domain Name. Si no coincide ningún nombre de dominio, CloudFront devuelve al lector el código de estado HTTP `502 (Bad Gateway)`.

**importante**  
Cuando se agrega un nombre de dominio alternativo a una distribución, CloudFront comprueba que el nombre de dominio alternativo esté cubierto por el certificado que se ha asociado. El certificado debe cubrir el nombre de dominio alternativo en el campo de nombre alternativo del sujeto (SAN) del certificado. Esto significa que el campo SAN debe contener una concordancia exacta para el nombre de dominio alternativo o un comodín en el mismo nivel del nombre de dominio alternativo que se está agregando.  
Para obtener más información, consulte [Requisitos para el uso de nombres de dominio alternativos](CNAMEs.md#alternate-domain-names-requirements).

## Versión mínima de protocolo SSL/TLS
<a name="https-requirements-minimum-ssl-protocol-version"></a>

Si utiliza direcciones IP dedicadas, establezca la versión mínima de protocolo SSL/TLS para la conexión entre lectores y CloudFront eligiendo una política de seguridad.

Para obtener más información, consulte [Política de seguridad (versión mínima de SSL/TLS)](DownloadDistValuesGeneral.md#DownloadDistValues-security-policy) en el tema [Referencia de toda la configuración de distribución](distribution-web-values-specify.md).

## Versiones de HTTP compatibles
<a name="https-requirements-supported-http-versions"></a>

Si asocia un certificado con más de una distribución de CloudFront, todas las distribuciones asociadas con el certificado deben utilizar la misma opción para [Versiones de HTTP compatibles](DownloadDistValuesGeneral.md#DownloadDistValuesSupportedHTTPVersions). Esta opción se especifica al crear o actualizar una distribución de CloudFront.

# Cuotas al usar certificados SSL/TLS con CloudFront (solo HTTPS entre lectores y CloudFront)
<a name="cnames-and-https-limits"></a>

Tenga en cuenta las siguientes cuotas en cuanto al uso de certificados SSL/TLS con CloudFront. Estas cuotas se aplican únicamente a los certificados SSL/TLS que aprovisione mediante AWS Certificate Manager (ACM), que importe a ACM o que cargue en el almacén de certificados de IAM para la comunicación con HTTPS entre los lectores y CloudFront.

Para obtener más información, consulte [Aumento de las cuotas de certificados SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md).

**Cantidad máxima de certificados por distribución de CloudFront**  
Puede asociar un máximo de un certificado SSL/TLS con cada distribución de CloudFront.

**Cantidad máxima de certificados que se pueden importar a ACM o cargar en el almacén de certificados de IAM**  
Si ha obtenido sus certificados SSL/TLS de un distribuidor CA de terceros, debe almacenarlos en una de las siguientes ubicaciones:  
+ **AWS Certificate Manager**: para conocer la cuota actual de certificados de ACM, consulte ‭[Cuotas](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) en la *‬Guía del usuario de AWS Certificate Manager*‬. La cuota mostrada es un total que incluye los certificados que aprovisione mediante ACM y los que importe a ACM.
+ **Almacén de certificados de IAM**: para conocer la cuota (antes denominada límite) actual de certificados que puede cargar en el almacén de certificados de IAM de una cuenta de AWS, consulte [Límites de IAM y STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) en la *Guía del usuario de IAM*. Puede solicitar una cuota mayor en la consola de Service Quotas.

**Cantidad máxima de certificados por cuenta de AWS (solo direcciones IP dedicadas)**  
Si desea atender solicitudes HTTPS a través de direcciones IP dedicadas, tenga en cuenta lo siguiente:  
+ De forma predeterminada, CloudFront le concede permiso para utilizar dos certificados con la cuenta de AWS, uno para uso diario y otro para cuando necesite rotar certificados para numerosas distribuciones.
+ Si necesita más de dos certificados SSL/TLS personalizados para su cuenta de AWS, puede solicitar una cuota mayor en la consola de Service Quotas.

**Uso del mismo certificado para distribuciones de CloudFront que se crearon con distintas cuentas de AWS**  
Si utiliza una entidad de certificación externa y desea utilizar el mismo certificado con varias distribuciones de CloudFront creadas con diferentes cuentas de AWS, debe importar el certificado a ACM o cargarlo en el almacén de certificados de IAM una vez por cada cuenta de AWS.  
Si utiliza certificados proporcionados por ACM, no puede configurar CloudFront para utilizar certificados creados por una cuenta diferente de AWS.

**Uso del mismo certificado para CloudFront y para otros servicios de AWS**  
Si ha comprado un certificado de una autoridad de certificación de confianza como Comodo DigiCert o Symantec, puede utilizar el mismo certificado para CloudFront y para otros servicios de AWS. Si importa el certificado a ACM, solo es necesario importarlo una vez para utilizarlo con varios servicios de AWS.  
Si utiliza certificados proporcionados por ACM, estos se almacenan en ACM.

**Uso del mismo certificado para varias distribuciones de CloudFront**  
Puede utilizar el mismo certificado para una o todas las distribuciones de CloudFront que utilice para atender solicitudes HTTPS. Tenga en cuenta lo siguiente:  
+ Puede utilizar el mismo certificado tanto para atender solicitudes mediante direcciones IP dedicadas como para proporcionar solicitudes con SNI. 
+ Puede asociar solo un certificado a cada distribución.
+ Cada distribución debe incluir uno o varios nombres de dominio alternativos que también aparecerán en los campos **Common Name** o **Subject Alternative Names** del certificado.
+ Si está atendiendo solicitudes HTTPS mediante direcciones IP dedicadas y ha creado todas sus distribuciones con la misma cuenta de AWS, puede reducir significativamente sus costos si utiliza el mismo certificado para todas las distribuciones. CloudFront aplica cargos por cada certificado, no por cada distribución. 

  Por ejemplo, suponga que crea tres distribuciones con la misma cuenta de AWS y que utiliza el mismo certificado para las tres distribuciones. Se le aplicará solo un cargo por el uso de direcciones IP dedicadas.

  Sin embargo, si atiende solicitudes HTTPS con direcciones IP dedicadas y con el mismo certificado para crear distribuciones de CloudFront en diferentes cuentas de AWS, a cada cuenta se le aplica el cargo por usar direcciones IP dedicadas. Por ejemplo, si crea tres distribuciones usando tres cuentas diferentes de AWS y utiliza el mismo certificado para las tres distribuciones, a cada cuenta se cobra el cargo completo de uso de direcciones IP dedicadas.

# Configuración de nombres de dominio alternativos y HTTPS
<a name="cnames-and-https-procedures"></a>

Para utilizar nombres de dominio alternativos en las URL de los archivos y utilizar HTTPS entre los lectores y CloudFront, realice los procedimientos aplicables.

**Topics**
+ [

## Obtención de un certificado SSL/TLS
](#cnames-and-https-getting-certificates)
+ [

## Importación de un certificado SSL/TLS
](#cnames-and-https-uploading-certificates)
+ [

## Actualización de la distribución de CloudFront
](#cnames-and-https-updating-cloudfront)

## Obtención de un certificado SSL/TLS
<a name="cnames-and-https-getting-certificates"></a>

Obtenga un certificado SSL/TLS si aún no dispone de uno. Para obtener más información, consulte la documentación aplicable:
+ Para utilizar un certificado proporcionado por AWS Certificate Manager (ACM), consulte la [Guía del usuario de AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/). A continuación, diríjase a [Actualización de la distribución de CloudFront](#cnames-and-https-updating-cloudfront).
**nota**  
Le recomendamos que utilice ACM para aprovisionar, administrar e implementar los certificados SSL/TLS en los recursos administrados de AWS. Debe solicitar un certificado de ACM en la región EE. UU. Este (Norte de Virginia).
+ Para obtener un certificado de una entidad de certificación (CA) de terceros, consulte la documentación que proporciona. Cuando tenga el certificado, continúe con el siguiente procedimiento.

## Importación de un certificado SSL/TLS
<a name="cnames-and-https-uploading-certificates"></a>

Si ha obtenido el certificado de una entidad de certificación de terceros, importe el certificado a ACM o cárguelo en el almacén de certificados de IAM:

**ACM (recomendado)**  
ACM le permite importar certificados de terceros desde la consola de ACM y de forma programada. Para obtener más información sobre la [importación de un certificado a ACM, consulte Importación de certificados a AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) en la *Guía del usuario de AWS Certificate Manager*. Debe importar el certificado en la región EE. UU. Este (Norte de Virginia).

**Almacén de certificados de IAM**  
(No recomendado) Utilice el siguiente comando de AWS CLI para cargar el certificado de terceros en el almacén de certificados de IAM.  

```
aws iam upload-server-certificate \
        --server-certificate-name CertificateName \
        --certificate-body file://public_key_certificate_file \
        --private-key file://privatekey.pem \
        --certificate-chain file://certificate_chain_file \
        --path /cloudfront/path/
```
Tenga en cuenta lo siguiente:  
+ **Cuenta de AWS**: debe cargar el certificado en el almacén de certificados de IAM con la misma cuenta de AWS que utilizó para crear la distribución de CloudFront.
+ **Parámetro --path**: al cargar el certificado en IAM, el valor del parámetro `--path` (ruta del certificado) debe comenzar por `/cloudfront/`, por ejemplo, `/cloudfront/production/` o `/cloudfront/test/`. La ruta debe acabar con una /.
+ **Certificados existentes**: debe especificar valores para los parámetros `--server-certificate-name` y `--path` que sean diferentes de los valores asociados con los certificados existentes.
+ **Uso de la consola de CloudFront**: el valor que especifique para el parámetro `--server-certificate-name` en AWS CLI, por ejemplo, `myServerCertificate`, aparece en la lista **SSL Certificate (Certificado SSL)** de la consola de CloudFront.
+ **Con la API de CloudFront**: anote la cadena alfanumérica que devuelve AWS CLI, por ejemplo, `AS1A2M3P4L5E67SIIXR3J`. Este es el valor que se especifica en el elemento `IAMCertificateId`. No es necesario el ARN de IAM, que también devuelve la CLI.
Para obtener más información sobre AWS CLI, consulte la [Guía del usuario de AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) y la [Referencia de comandos de AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/).

## Actualización de la distribución de CloudFront
<a name="cnames-and-https-updating-cloudfront"></a>

Para actualizar la configuración de su distribución, realice el siguiente procedimiento:<a name="cnames-and-https-updating-cloudfront-procedure"></a>

**Para configurar la distribución de CloudFront para nombres de dominio alternativos**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Elija la ID de la distribución que desea actualizar.

1. En la pestaña **General**, seleccione **Edit**.

1. Actualice los siguientes valores:  
**Nombre de dominio alternativo (CNAME)**  
Elija **Agregar elemento** para agregar los nombres de dominio alternativos aplicables. Separe los nombres de dominio con comas o escriba uno por línea.  
**Certificado SSL personalizado**  
Seleccione un certificado en el menú desplegable.  
Aquí se enumeran hasta 100 certificados. Si tiene más de 100 certificados y no ve el certificado que desea añadir, puede escribir un ARN de certificado en el campo para elegirlo.  
Si ha cargado un certificado al almacén de certificados de IAM pero no está en la lista y no puede elegirlo escribiendo el nombre en el campo, revise el procedimiento [Importación de un certificado SSL/TLS](#cnames-and-https-uploading-certificates) para confirmar que el certificado se ha cargado correctamente.   
Después de asociar el certificado SSL/TLS a la distribución de CloudFront, no elimine el certificado de ACM ni el almacén de certificados de IAM hasta que haya eliminado el certificado de todas las distribuciones y se hayan implementado.

1. Seleccione **Save changes (Guardar cambios)**.

1. Configure CloudFront para que solicite HTTPS entre lectores y CloudFront:

   1. En la pestaña **Behaviors (Comportamientos)**, elija el comportamiento de la caché que desee actualizar y después elija **Edit (Editar)**.

   1. Especifique uno de los siguientes valores en **Viewer Protocol Policy (Política de protocolo del espectador)**:  
**Redireccionamiento de HTTP a HTTPS**  
Los espectadores pueden usar tanto el protocolo HTTP como el HTTPS, pero las solicitudes HTTP se redirigirán automáticamente a solicitudes HTTPS. CloudFront devuelve el código de estado HTTP `301 (Moved Permanently)` junto con la nueva URL HTTPS. A continuación, el lector vuelve a enviar la solicitud a CloudFront través de la URL HTTPS.  
CloudFront no redirige las solicitudes `DELETE`, `OPTIONS`, `PATCH`, `POST` ni `PUT` de HTTP a HTTPS. Si configura un comportamiento de la caché para que redirija a HTTPS, CloudFront responde a solicitudes HTTP `DELETE`, `OPTIONS`, `PATCH`, `POST` o `PUT` para ese comportamiento de la caché con el código de estado HTTP `403 (Forbidden)`.
Cuando un lector realiza una solicitud HTTP que se redirige a una solicitud HTTPS, se aplican cargos de CloudFront a ambas solicitudes. En el caso de la solicitud HTTP, el cargo es solo para la solicitud y para los encabezados que CloudFront devuelve al lector. En el caso de la solicitud HTTPS, el cargo es por la solicitud y por los encabezados y el archivo que el origen devuelve.  
**Solo HTTPS**  
Los espectadores pueden obtener acceso a su contenido solo si utilizan HTTPS. Si un lector envía una solicitud HTTP en lugar de una solicitud HTTPS, CloudFront devuelve el código de estado HTTP `403 (Forbidden)` y no devuelve el archivo.

   1. Elija **Yes, Edit (Sí, editar)**.

   1. Repita los pasos de la "a" a la "c" para cada comportamiento de la caché adicional para el que desee exigir HTTPS entre los lectores y CloudFront.

1. Confirme lo siguiente antes de utilizar la configuración actualizada en un entorno de producción:
   + El patrón de ruta de cada comportamiento de la caché es aplicable únicamente a las solicitudes en las que desea que los espectadores utilicen HTTPS.
   + Los comportamientos de la caché se muestran en el orden en que desee que CloudFront los evalúe. Para obtener más información, consulte [Patrón de ruta](DownloadDistValuesCacheBehavior.md#DownloadDistValuesPathPattern).
   + Los comportamientos de la caché son solicitudes de redirección hacia los orígenes correctos. 

# Determinación del tamaño de la clave pública en un certificado SSL/TLS RSA
<a name="cnames-and-https-size-of-public-key"></a>

Cuando se usan nombres de dominio alternativos de CloudFront y HTTPS, el tamaño máximo de la clave pública en un certificado SSL/TLS RSA es de 4096 bits. (Este es el tamaño de la clave, no es la cantidad de caracteres de la clave pública). Si utiliza AWS Certificate Manager para sus certificados, tenga en cuenta que aunque ACM admite claves más grandes, no se pueden usar con CloudFront.

Puede determinar el tamaño de la clave pública de RSA al ejecutar el siguiente comando OpenSSL:

```
openssl x509 -in path and filename of SSL/TLS certificate -text -noout 
```

Donde:
+ `-in` especifica la ruta y el nombre de archivo de su certificado SSL/TLS. RSA
+ `-text` provoca que OpenSSL muestre la longitud de la clave pública de RSA en bits.
+ `-noout` impide que OpenSSL muestre la clave pública.

Ejemplo de resultados:

```
Public-Key: (2048 bit)
```

# Aumento de las cuotas de certificados SSL/TLS
<a name="increasing-the-limit-for-ssl-tls-certificates"></a>

Hay cuotas en cuanto a la cantidad de certificados SSL/TLS que puede importar a AWS Certificate Manager (ACM) o cargar en AWS Identity and Access Management (IAM). También hay una cuota en el número de certificados SSL/TLS que puede utilizar con una Cuenta de AWS al configurar CloudFront para atender solicitudes HTTPS con direcciones IP dedicadas. Sin embargo, puede solicitar una ampliación de dichas cuotas.

**Topics**
+ [

## Aumento de la cuota en certificados importados a ACM
](#certificates-to-import-into-acm)
+ [

## Aumento de la cuota en certificados subidos a IAM
](#certificates-to-upload-into-iam)
+ [

## Aumento de la cuota en certificados utilizados con direcciones IP dedicadas
](#certificates-using-dedicated-ip-address)

## Aumento de la cuota en certificados importados a ACM
<a name="certificates-to-import-into-acm"></a>

Para consultar la cuota de certificados que puede importar a ACM, consulte [Cuotas](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html) en la *Guía del usuario de AWS Certificate Manager*.

Para solicitar una cuota más alta, use la consola de Service Quotas. Para obtener más información, consulte [Solicitud de aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*.

## Aumento de la cuota en certificados subidos a IAM
<a name="certificates-to-upload-into-iam"></a>

Para obtener información sobre la cuota (antes denominada límite) del número de certificados que puede cargar en IAM, consulte [Límites de IAM y STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) en la *Guía del usuario de IAM*.

Para solicitar una cuota más alta, use la consola de Service Quotas. Para obtener más información, consulte [Solicitud de aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*.

## Aumento de la cuota en certificados utilizados con direcciones IP dedicadas
<a name="certificates-using-dedicated-ip-address"></a>

Para conocer la cuota en el número de certificados SSL que puede utilizar por cada Cuenta de AWS si atiende solicitudes HTTPS utilizando direcciones IP dedicadas, consulte [Cuotas en certificados SSL](cloudfront-limits.md#limits-ssl-certificates).

Para solicitar una cuota más alta, use la consola de Service Quotas. Para obtener más información, consulte [Solicitud de aumento de cuota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) en la *Guía del usuario de Service Quotas*.

# Rotación de certificados SSL/TLS
<a name="cnames-and-https-rotate-certificates"></a>

Cuando los certificados SSL/TLS estén a punto de caducar, tendrá que rotarlos para garantizar la seguridad de la distribución y evitar la interrupción del servicio para los lectores. Puede rotarlos de las siguientes formas:
+ Para los certificados SSL/TLS proporcionados por AWS Certificate Manager (ACM), no es necesario rotarlos. ACM administra *automáticamente* las renovaciones de los certificados por usted. Para obtener más información, consulte [Renovación administrada de certificados](https://docs.aws.amazon.com/acm/latest/userguide/acm-renewal.html) en la *Guía del usuario de AWS Certificate Manager*.
+ Si utiliza una autoridad de certificación de terceros y ha importado certificados a ACM (recomendado) o los ha cargado en el almacén de certificados de IAM, debe sustituir ocasionalmente un certificado por otro.

  

**importante**  
ACM no administra renovaciones de certificados que adquiera de autoridades de certificación de terceros y que después importe a ACM.
Si configura CloudFront para atender solicitudes HTTPS a través de direcciones IP dedicadas, es posible que se aplique un cargo prorrateado adicional por uso de uno o varios certificados adicionales mientras rota certificados. Le recomendamos actualizar las distribuciones para minimizar los cargos adicionales.

## Rotación de certificados SSL/TLS
<a name="rotate-ssl-tls-certificate"></a>

Para rotar los certificados, realice el siguiente procedimiento. Los espectadores pueden seguir obteniendo acceso a su contenido mientras rota certificados y también una vez completado el proceso.<a name="rotate-ssl-tls-certificates-proc"></a>

**Para rotar certificados SSL/TLS**

1. [Aumento de las cuotas de certificados SSL/TLS](increasing-the-limit-for-ssl-tls-certificates.md) para determinar si necesita permiso para utilizar más certificados SSL. En caso afirmativo, solicite el permiso y espere hasta que se le conceda antes de continuar con el paso 2.

1. Importe el nuevo certificado a ACM o cárguelo a IAM. Para obtener más información, consulte [Importación de un certificado SSL/TLS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-uploading-certificates) en la *Guía para desarrolladores de Amazon CloudFront*.

1. (Solo para certificados de IAM) Actualice las distribuciones de una en una para utilizar el nuevo certificado. Para obtener más información, consulte [Actualizar una distribución](HowToUpdateDistribution.md).

1. (Opcional) Elimine el certificado anterior de ACM o IAM.
**importante**  
No elimine un certificado SSL/TLS hasta eliminarlo de todas las distribuciones y hasta que el estado de las distribuciones que ha actualizado haya cambiado a `Deployed`.

# Reversión de un certificado SSL/TLS personalizado al certificado de CloudFront predeterminado
<a name="cnames-and-https-revert-to-cf-certificate"></a>

Si ha configurado CloudFront para utilizar HTTPS entre lectores y CloudFront y ha configurado CloudFront para utilizar un certificado SSL/TLS personalizado, puede cambiar la configuración para utilizar el certificado SSL/TLS de CloudFront predeterminado. El proceso depende de si ha utilizado la distribución para distribuir su contenido:
+ Si no ha usado su distribución para distribuir su contenido, puede simplemente cambiar la configuración. Para obtener más información, consulte [Actualizar una distribución](HowToUpdateDistribution.md).
+ Si ha usado su distribución para distribuir el contenido, debe crear una nueva distribución de CloudFront y cambiar las URL de los archivos para reducir o eliminar la cantidad de tiempo que el contenido no va a estar disponible. Para ello, realice el siguiente procedimiento.

## Reversión a certificado de CloudFront predeterminado
<a name="revert-default-cloudfront-certificate"></a>

El siguiente procedimiento muestra cómo revertir de un certificado SSL/TLS personalizado al certificado de CloudFront predeterminado.<a name="cnames-and-https-revert-to-cf-certificate-proc"></a>

**Para volver al certificado de CloudFront predeterminado**

1. Cree una nueva distribución de CloudFront con la configuración deseada. En **SSL Certificate (Certificado SSL)**, elija **Default CloudFront Certificate (\$1.cloudfront.net) (Certificado de CloudFront predeterminado [\$1.cloudfront.net])**. 

   Para obtener más información, consulte [Creación de una distribución](distribution-web-creating-console.md).

1. En el caso de los archivos distribuidos con CloudFront, actualice las URL en la aplicación para que utilicen el nombre de dominio que CloudFront ha asignado a la nueva distribución. Por ejemplo, cambie `https://www.example.com/images/logo.png` a `https://d111111abcdef8.cloudfront.net/images/logo.png`.

1. Elimine la distribución asociada con un certificado SSL/TLS personalizado o actualice la distribución para cambiar el valor de **SSL Certificate (Certificado SSL)** a **Default CloudFront Certificate (\$1.cloudfront.net) (Certificado de CloudFront predeterminado [\$1.cloudfront.net])**. Para obtener más información, consulte [Actualizar una distribución](HowToUpdateDistribution.md).
**importante**  
Hasta que complete este paso, AWS seguirá acumulando cargos por utilizar un certificado SSL/TLS personalizado.

1. Elimine su certificado SSL/TLS personalizado (opcional).

   1. Ejecute el comando AWS CLI de la `list-server-certificates` para obtener el ID del certificado que desea eliminar. Para obtener más información, consulte [list-server-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-server-certificates.html) en la *Referencia de comandos de AWS CLI*.

   1. Ejecute el comando `delete-server-certificate` de AWS CLI para eliminar el certificado. Para obtener más información, consulte [delete-server-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-server-certificate.html) en la *Referencia de comandos de AWS CLI*.

# Cambio de un certificado SSL/TLS personalizado con direcciones IP dedicadas a SNI
<a name="cnames-and-https-switch-dedicated-to-sni"></a>

Si configura CloudFront para utilizar un certificado SSL/TLS personalizado con direcciones IP dedicadas, puede utilizar un certificado SSL/TLS personalizado con SNI en su lugar y eliminar el cargo asociado a direcciones IP dedicadas.

**importante**  
Esta actualización de la configuración de CloudFront no afecta a los lectores que admiten SNI. Los lectores pueden acceder al contenido antes y después del cambio, así como mientras el cambio se propaga a las ubicaciones de borde de CloudFront. Los espectadores que no admiten SNI no podrán obtener acceso a su contenido tras el cambio. Para obtener más información, consulte [Elección de la forma en que CloudFront atiende las solicitudes HTTPS](cnames-https-dedicated-ip-or-sni.md). 

## Cambio de un certificado personalizado a SNI
<a name="cloudfront-switch-custom-cert-sni"></a>

El siguiente procedimiento muestra cómo cambiar de un certificado SSL/TLS personalizado con direcciones IP dedicadas a SNI.<a name="cnames-and-https-switch-dedicated-to-sni-proc"></a>

**Para cambiar de un certificado SSL/TLS personalizado con direcciones IP dedicadas a SNI**

1. Inicie sesión en Consola de administración de AWS y abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. Elija el ID de la distribución que desea visualizar o actualizar.

1. Elija **Distribution Settings (Configuración de distribución)**.

1. En la pestaña **General**, seleccione **Edit**.

1. En **Certificación SSL personalizada (*opcional*)**, anule la selección de **Soporte de clientes heredados**.

1. Elija **Sí, editar**.