ACMcaracterísticas del certificado - AWS Certificate Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

ACMcaracterísticas del certificado

Los certificados públicos proporcionados por ACM tienen las características descritas en esta página de .

nota

Estas características se aplican únicamente a los certificados proporcionados porACM. Es posible que no se apliquen a los certificados a los que importe ACM.

Entidad de certificación y jerarquía

Los certificados públicos que solicitas ACM se obtienen de Amazon Trust Services, una autoridad de certificación pública (CA) gestionada por Amazon. Una raíz CAs antigua denominada Starfield G2 Root Certificate Authority (G2) realiza firmas cruzadas entre Amazon Root Root Certificate Authority (G2). La raíz Starfield es de confianza en dispositivos Android a partir de las versiones posteriores a Gingerbread, y en iOS a partir de la versión 4.1. Las raíces de Amazon son de confianza en iOS a partir de la versión 11. Cualquier navegador, aplicación o sistema operativo que incluya las raíces de Amazon o Starfield confiará en los certificados públicos obtenidos deACM.

Los certificados hoja o de entidad final que se ACM expiden a los clientes derivan su autoridad de una CA raíz de Amazon Trust Services o de una de varias entidades intermediasCAs. ACMasigna aleatoriamente una CA intermedia en función del tipo de certificado (RSAoECDSA) solicitado. Como la CA intermedia se selecciona aleatoriamente después de generar la solicitud, ACM no proporciona información sobre la CA intermedia.

Confianza de navegadores y aplicaciones

ACMLos principales navegadores, incluidos Google Chrome, Microsoft Internet Explorer y Microsoft Edge, Mozilla Firefox y Apple Safari, confían en los certificados. Los navegadores que confían en ACM los certificados muestran un icono de candado en la barra de estado o en la barra de direcciones cuando se conectan medianteSSL/TLSa sitios que utilizan ACM certificados. ACMJava también confía en los certificados.

Rotación de CA intermedias y raíces

Con el fin de mantener una infraestructura de certificados resiliente y ágil, Amazon puede decidir en cualquier momento dejar de utilizar una CA intermedia sin previo aviso. Este tipo de cambios no afectan a los clientes. Para obtener más información, consulte la entrada de blog “Amazon introduces dynamic intermediate certificate authorities” (Amazon presenta las entidades de certificación intermedias dinámicas).

En el improbable caso de que Amazon deje de utilizar una CA raíz, el cambio se producirá tan pronto como lo requieran las circunstancias. Debido al gran impacto de este cambio, Amazon utilizará todos los mecanismos disponibles para notificar a los AWS clientes, incluido el AWS Health Dashboard correo electrónico a los propietarios de las cuentas y la comunicación con los administradores técnicos de cuentas.

Acceso a firewalls para revocación

Si un certificado de entidad final deja de ser de confianza, se revocará. OCSPy CRLs son los mecanismos estándar que se utilizan para verificar si un certificado ha sido revocado o no. OCSPy CRLs son los mecanismos estándar que se utilizan para publicar la información de revocación. Es posible que los firewalls de algunos clientes necesiten reglas adicionales para permitir el funcionamiento de estos mecanismos.

El siguiente ejemplo de patrones URL comodín se puede utilizar para identificar el tráfico de revocaciones. Un asterisco (*) representa uno o varios caracteres alfanuméricos, un signo de interrogación de cierre (?) representa un único carácter alfanumérico, y una almohadilla (#) representa un número.

  • OCSP

    http://ocsp.?????.amazontrust.com

    http://ocsp.*.amazontrust.com

  • CRL

    http://crl.?????.amazontrust.com/?????.crl

    http://crl.*.amazontrust.com/*.crl

Validación de dominio (DV)

Los certificados de ACM se validan en función del dominio. Es decir, el campo de asunto de un ACM certificado identifica un nombre de dominio y nada más. Al solicitar un ACM certificado, debe validar que es propietario o controla todos los dominios que especifique en su solicitud. Puede validar la propiedad mediante el correo electrónico oDNS. Para obtener más información, consulte Validación por correo electrónico y DNSvalidación.

Periodo de validez

El período de validez de ACM los certificados es de 13 meses (395 días).

Renovación e implementación administradas

ACMgestiona el proceso de renovación de ACM los certificados y el aprovisionamiento de los certificados una vez renovados. La renovación automática puede ayudarle a evitar el tiempo de inactividad debido a certificados configurados incorrectamente, revocados o caducados. Para obtener más información, consulte Renovación gestionada de ACM certificados.

Varios nombres de dominio

Cada ACM certificado debe incluir al menos un nombre de dominio completo (FQDN) y, si lo desea, puede añadir nombres adicionales. Por ejemplo, al crear un ACM certificado parawww.example.com, también puede agregar el nombre www.example.net si los clientes pueden acceder a su sitio con cualquiera de los dos nombres. Lo mismo sucede con los dominios vacíos (también conocidos como ápex de zona o dominios desnudos). Es decir, puedes solicitar un ACM certificado para www.example.com y añadir el nombre example.com. Para obtener más información, consulte Solicitar un certificado público.

Nombres con comodines

ACMpermite utilizar un asterisco (*) en el nombre de dominio para crear un ACM certificado que contenga un nombre comodín que pueda proteger varios sitios del mismo dominio. Por ejemplo, *.example.com protege www.example.com e images.example.com.

nota

Cuando solicita un certificado de comodín, el asterisco (*) debe encontrarse en la posición más a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Por ejemplo, *.example.com puede proteger login.example.com y test.example.com, pero no puede proteger test.login.example.com. Tenga en cuenta también que *.example.com solo protege los subdominios de example.com. No protege el dominio desnudo o ápex (example.com). Sin embargo, puede solicitar un certificado que proteja una dominio desnudo o ápex y sus subdominios especificando varios nombres de dominio en su solicitud. Por ejemplo, puede solicitar un certificado que proteja example.com y *.example.com.

Algormos clave

Un certificado debe especificar un algoritmo y un tamaño de clave. Actualmente, se admiten los algoritmos de clave pública siguientes RSA y los algoritmos de clave pública Elliptic Curve Digital Signature Algorithm (ECDSA). ACM ACMpuede solicitar la emisión de nuevos certificados mediante algoritmos marcados con un asterisco (*). Los algoritmos restantes solo son compatibles con los certificados importados.

nota

Al solicitar un PKI certificado privado firmado por una entidad emisora de certificados AWS Private CA, la familia (RSAoECDSA) de algoritmos de firma especificada debe coincidir con la familia de algoritmos de la clave secreta de la entidad emisora de certificados.

  • RSA1024 bits (RSA_1024)

  • RSA2048 bits (*RSA_2048)

  • RSA3072 bits () RSA_3072

  • RSA4096 bits () RSA_4096

  • ECDSA256 bits (*EC_prime256v1)

  • ECDSA384 bits (*EC_secp384r1)

  • ECDSA521 bits (EC_secp521r1)

ECDSAlas llaves son más pequeñas y ofrecen una seguridad comparable a la de RSA las llaves, pero con una mayor eficiencia informática. Sin embargo, no ECDSA es compatible con todos los clientes de red. La siguiente tabla, adaptada de NIST, muestra el grado de seguridad representativo de RSA y ECDSA con claves de varios tamaños. Todos los valores se muestran en bits.

Comparación de la seguridad de algoritmos y claves

Nivel de seguridad

RSAtamaño de clave

ECDSAtamaño de clave

128

 3072 256

192

 7680 384

256

 15360 521

El nivel de seguridad, entendido como una potencia de 2, está relacionado con la cantidad de intentos necesarios para romper el cifrado. Por ejemplo, tanto una clave de 3072 bits como una RSA clave de 256 bits ECDSA se pueden recuperar con no más de 2 128 intentos.

Para obtener información que le ayude a elegir un algoritmo, consulte la entrada del AWS blog Cómo evaluar y utilizar los certificados en. ECDSA AWS Certificate Manager

importante

Tenga en cuenta que los servicios integrados solo permiten asociar a sus recursos los algoritmos y tamaños de clave que admiten. Además, su compatibilidad varía en función de si el certificado se importa a IAM o aACM. Para obtener más información, consulte la documentación de cada servicio.

Punycode

Se deben cumplir los siguientes requisitos de Punycode relativos a los Nombres de dominio internacionalizados:

  1. Los nombres de dominio que empiecen con el patrón “<character><character>--” deben coincidir con “xn--”.

  2. Los nombres de dominio que empiecen con “xn--” también deben ser nombres de dominio internacionalizados válidos.

Ejemplos de Punycode

Nombre del dominio

Cumple el n.° 1

Cumple el n.° 2

Permitida

Nota

example.com

n/a

n/a

No empieza con “<character><character>--”

a--ejemplo.com

n/a

n/a

No empieza con “<character><character>--”

abc--ejemplo.com

n/a

n/a

No empieza con “<character><character>--”

xn--xyz.com

Nombre de dominio internacionalizado válido (se resuelve en 简.com)

xn--ejemplo.com

No

No es un nombre de dominio internacionalizado válido

ab--ejemplo.com

No

No

Debe empezar con “xn--”
Excepciones

Tenga en cuenta lo siguiente:

  • ACMno proporciona certificados de validación extendida (EV) ni certificados de validación organizacional (OV).

  • ACMno proporciona certificados para nada más que para los TLS protocolos SSL /.

  • No puede utilizar ACM certificados para cifrar el correo electrónico.

  • ACMactualmente no le permite inhabilitar la renovación gestionada de los ACM certificados. Además, la renovación gestionada no está disponible para los certificados a los que se importeACM.

  • No se pueden solicitar certificados para nombres de dominio propiedad de Amazon, por ejemplo los que terminan en amazonaws.com, cloudfront.net o elasticbeanstalk.com.

  • No puede descargar la clave privada de un ACM certificado.

  • No puede instalar ACM certificados directamente en su sitio web o aplicación de Amazon Elastic Compute Cloud (AmazonEC2). No obstante, sí puede utilizar su certificado con cualquier servicio integrado. Para obtener más información, consulte Servicios integrados con AWS Certificate Manager.