Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Solicitud de un certificado privado en AWS Certificate Manager
Solicitud de un certificado privado (consola)
-
Inicie sesión en AWS Management Console y abra la consola de ACM en https://console.aws.amazon.com/acm/home
. Elija Request a certificate (Solicitar un certificado).
-
En la página Request certificate (Solicitar certificado), elija Request a private certificate (Solicitar un certificado privado) y Next (Siguiente) para continuar.
-
En la sección Certificate authority details (Detalles de la entidad de certificación), haga clic en el menú Certificate authority (Entidad de certificación) y elija una de las CA privadas disponibles. Si la CA se comparte desde otra cuenta, el ARN aparece precedido por la información de propiedad.
Se muestran detalles sobre la CA para ayudarlo a verificar que haya elegido la correcta:
-
Propietario
-
Tipo
-
Nombre común (NC)
-
Organización (O)
-
Unidad organizativa (UO)
-
Nombre del país (C)
-
Estado o provincia
-
Nombre de la localidad
-
-
En la sección Domain names (Nombres de dominio) escriba el nombre de dominio. Puede utilizar un nombre de dominio completo (FQDN), tal como
www.example.com, o un nombre de dominio desnudo o ápex, tal comoexample.com. También puede utilizar un asterisco (*) como comodín en la posición más a la izquierda para proteger varios nombres de sitio del mismo dominio. Por ejemplo,*.example.comprotege acorp.example.comy aimages.example.com. El nombre comodín aparecerá en el campo Subject (Sujeto) y en la extensión Subject Alternative Name (Nombre alternativo de sujeto) del certificado de ACM.nota
Cuando solicita un certificado de comodín, el asterisco (
*) debe encontrarse en la posición más a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Por ejemplo,*.example.compuede proteger alogin.example.comy atest.example.com, pero no puede proteger atest.login.example.com. Tenga en cuenta también que*.example.comsolo protege los subdominios deexample.com. No protege el dominio desnudo o ápex (example.com). Para proteger ambos, consulte el siguiente pasoDe manera opcional, elija Add another name to this certificate (Agregar otro nombre a este certificado) y escriba el nombre en el cuadro de texto. Esto resulta útil para autenticar tanto los dominios desnudos como los ápex (por ejemplo,
example.com) y sus subdominios (por ejemplo,*.example.com). -
En la sección Algoritmo de clave, seleccione un algoritmo.
Para obtener información que le ayude a elegir un algoritmo, consulteEtiquetar recursos de AWS Certificate Manager.
-
En la sección Tags (Etiquetas), puede etiquetar el certificado si así lo desea. Las etiquetas son pares de valor de clave que sirven como metadatos para identificar y organizar los recursos de AWS. Para obtener una lista de los parámetros de etiquetas de ACM e instrucciones sobre cómo agregar etiquetas a los certificados después de su creación, consulte Etiquetar recursos de AWS Certificate Manager.
-
En la sección Certificate renewal permissions (Permisos de renovación de certificados), confirme el aviso sobre los permisos de renovación de certificados. Estos permisos permiten la renovación automática de los certificados PKI privados que firma con la CA seleccionada. Para obtener más información, consulte Utilización de un rol vinculado a servicios con ACM.
-
Después de proporcionar toda la información requerida, elija Request (Solicitar). La consola regresa a la lista de certificados, donde puede ver el nuevo certificado.
nota
Según cómo haya ordenado la lista, es posible que un certificado que esté buscando no esté visible de inmediato. Puede hacer clic en el triángulo negro de la derecha para cambiar el orden. También puede explorar diferentes páginas de certificados utilizando los números de página de la parte superior derecha.
Solicitud de un certificado privado (CLI)
Utilice el comando request-certificate para solicitar un certificado privado en ACM.
nota
Al solicitar un certificado de PKI privado de la entidad de certificación AWS Private CA, la familia de algoritmos de firma especificada (RSA o ECDSA) debe coincidir con la familia de algoritmos de la clave secreta de la entidad de certificación.
aws acm request-certificate \ --domain-name www.example.com \ --idempotency-token 12563 \ --certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\ certificate-authority/CA_ID
Este comando devuelve el nombre de recurso de Amazon (ARN) del certificado privado nuevo.
{
"CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
} En la mayoría de los casos, ACM adjunta automáticamente un rol vinculado a servicios (SLR) a la cuenta la primera vez que utiliza una CA compartida. El SLR habilita la renovación automática de los certificados de la entidad final emitida. Para comprobar si el SLR está presente, puede consultar IAM con el siguiente comando:
aws iam get-role --role-name AWSServiceRoleForCertificateManager
Si el SLR está presente, el resultado del comando debe tener el siguiente aspecto:
{ "Role":{ "Path":"/aws-service-role/acm.amazonaws.com/", "RoleName":"AWSServiceRoleForCertificateManager", "RoleId":"AAAAAAA0000000BBBBBBB", "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager", "CreateDate":"2020-08-01T23:10:41Z", "AssumeRolePolicyDocument":{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "Service":"acm.amazonaws.com" }, "Action":"sts:AssumeRole" } ] }, "Description":"SLR for ACM Service for accessing cross-account Private CA", "MaxSessionDuration":3600, "RoleLastUsed":{ "LastUsedDate":"2020-08-01T23:11:04Z", "Region":"ap-southeast-1" } } }
Si falta el SLR, consulte Utilización de un rol vinculado a servicios con ACM.
