Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Solución de otros problemas
<a name="misc-problems"></a>

En esta sección se incluyen instrucciones sobre problemas no relacionados con la emisión o validación de certificados de ACM.

**Topics**
+ [Solución de problemas con la autorización de la entidad de certificación (CAA)](troubleshooting-caa.md)
+ [Problemas de importación de certificados](troubleshoot-import.md)
+ [Problemas de asignación de certificados](troubleshooting-pinning.md)
+ [Problemas con API Gateway](troubleshoot-apigateway.md)
+ [Qué hacer cuando un certificado falla de forma inesperada](unexpected-failure.md)
+ [Problemas con el rol vinculado a servicios (SLR) de ACM](slr-problems.md)

# Solución de problemas con la autorización de la entidad de certificación (CAA)
<a name="troubleshooting-caa"></a>

Puede utilizar registros de DNS de CAA para especificar que la entidad de certificación (CA) de Amazon puede emitir certificados de ACM para su dominio o subdominio. Si recibe un error **One or more domain names have failed validation due to a Certification Authority Authentication (CAA) error** durante la emisión de certificados, verifique los registros de DNS de CAA. Si recibe este error después de que haya validado correctamente su solicitud de un certificado de ACM, debe actualizar los registros de CAA y volver solicitar un certificado. El campo **value** (valor) del registro de CAA debe contener uno de los siguientes nombres de dominio:
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com

Para obtener más información sobre cómo crear un registro de CAA, consulte [(Opcional) Configuración de un registro de CAA](setup.md#setup-caa).

**nota**  
Puede elegir no configurar ningún registro de CAA para su dominio si no desea habilitar la comprobación de CAA.

# Problemas de importación de certificados
<a name="troubleshoot-import"></a>

Puede importar certificados de terceros al ACM y asociarlos a los [servicios integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html). Si tiene problemas, examine los temas de [requisitos previos](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-prerequisites.html) y [formato de los certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-format.html). En concreto, tenga en cuenta lo siguiente: 
+ Solo puede importar los certificados X.509 de la versión 3. SSL/TLS 
+ El certificado puede ser autofirmado o puede estar firmado por una entidad de certificación (CA). 
+ Si el certificado está firmado por una CA, debe incluir una cadena de certificados intermedia que proporcione una ruta a la raíz de la entidad de certificación. 
+ Si el certificado está autofirmado, debe incluir la clave privada en texto sin formato.
+ Cada certificado de la cadena debe certificar directamente al que le precede. 
+ No incluya su certificado de entidad final en la cadena de certificados intermedia.
+ El certificado, la cadena de certificados y la clave privada (si la hay) deben estar codificados en PEM. En general, la codificación PEM consiste en bloques de texto ASCII codificado en Base64 que comienzan y terminan con líneas de encabezado y pie de página de texto sin formato. No se deben agregar líneas o espacios ni realizar ningún otro cambio en un archivo PEM al copiarlo o cargarlo. Puede verificar las cadenas de certificados mediante la [Utilidad de verificación de OpenSSL](https://www.openssl.org/docs/manmaster/man1/openssl-verify.html).
+ La clave privada (si la hubiera) no debe estar cifrada. (Consejo: si tiene una frase de contraseña, está cifrada).
+ Los servicios [integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) con ACM deben utilizar algoritmos y tamaños de clave admitidos por ACM. Consulte la guía del AWS Certificate Manager usuario y la documentación de cada servicio para asegurarse de que su certificado funciona. 
+ La compatibilidad con los certificados de los servicios integrados puede variar en función de si el certificado se importa a IAM o ACM. 
+ El certificado debe ser válido cuando se importa. 
+ En la consola se muestra información detallada para todos los certificados. Sin embargo, de forma predeterminada, si llamas a la [ListCertificates](https://docs.aws.amazon.com/acm/latest/APIReference/API_ListCertificates.html)API o al AWS CLI comando [list-certificates](https://docs.aws.amazon.com/cli/latest/reference/acm/list-certificates.html) sin especificar el `keyTypes` filtro, solo se muestran `RSA_2048` los certificados `RSA_1024` o certificados. 

# Problemas de asignación de certificados
<a name="troubleshooting-pinning"></a>

Para renovar un certificado, ACM genera un nuevo par de claves pública y privada. Si tu aplicación utiliza un certificado ACM[Asignación de certificados](acm-bestpractices.md#best-practices-pinning), lo que también se conoce como anclaje SSL, es posible que la aplicación no pueda conectarse a tu dominio después AWS de renovar el certificado. Por este motivo, recomendamos que no asigne un certificado de ACM. Si su aplicación debe asignar un certificado, puede hacer lo siguiente:
+ [Importe su propio certificado](import-certificate.md) a ACM y, a continuación, asigne la aplicación al certificado importado. ACM no proporciona una renovación administrada de los certificados importados.
+ Si utiliza un certificado público, fije su aplicación a todos los [certificados raíz de Amazon](https://www.amazontrust.com/repository/) disponibles. Si utiliza un certificado privado, fije su aplicación al certificado raíz de la CA.

# Problemas con API Gateway
<a name="troubleshoot-apigateway"></a>

Al implementar un punto final de API *optimizado para* la periferia, API Gateway configura una CloudFront distribución para usted. La CloudFront distribución es propiedad de API Gateway, no de tu cuenta. Además, la distribución está vinculada al certificado de ACM utilizado al implementar la API. Para eliminar dicho vínculo y permitir que ACM elimine el certificado, deberá eliminar el dominio personalizado de API Gateway asociado al certificado. 

Al implementar un punto de enlace de la API *regional*, API Gateway crea un Application Load Balancer (ALB) en su nombre. El balanceador de carga es propiedad de API Gateway y no está visible. El ALB está vinculado al certificado de ACM utilizado al implementar la API. Para eliminar dicho vínculo y permitir que ACM elimine el certificado, deberá eliminar el dominio personalizado de API Gateway asociado al certificado. 

# Qué hacer cuando un certificado falla de forma inesperada
<a name="unexpected-failure"></a>

Si ha asociado de forma correcta un certificado de ACM a un servicio integrado, pero el certificado deja de funcionar y el servicio integrado comienza a devolver errores, la causa puede ser un cambio en los permisos que el servicio necesita para utilizar un certificado de ACM. 

Por ejemplo, Elastic Load Balancing (ELB) requiere permiso para descifrar y, a su vez, descifra la clave privada del certificado. AWS KMS key Este permiso se concede mediante una política basada en recursos que ACM aplica cuando se asocia un certificado con ELB. Si ELB pierde la concesión de ese permiso, fallará la próxima vez que intente descifrar la clave del certificado.

Para investigar el problema, compruebe el estado de sus subvenciones en la AWS KMS consola de. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) A continuación, realice una de las siguientes acciones:
+ Si cree que los permisos concedidos a un servicio integrado han sido revocados, visite la consola del servicio integrado, desasocie el certificado del servicio y vuelva a asociarlo. De este modo, se volverá a aplicar la política basada en recursos y se pondrá en marcha una nueva concesión de permiso.
+ Si cree que se han revocado los permisos concedidos a ACM, póngase Soporte en https://console.aws.amazon.com/support/ contacto con: home\$1/.

# Problemas con el rol vinculado a servicios (SLR) de ACM
<a name="slr-problems"></a>

[Al emitir un certificado firmado por una entidad emisora de certificados privada que otra cuenta ha compartido con usted, ACM intenta configurar por primera vez un rol vinculado a un servicio (SLR) para interactuar como principal con una política de acceso basada en los recursos. Autoridad de certificación privada de AWS](https://docs.aws.amazon.com/privateca/latest/userguide/pca-resource-sharing.html#pca-rbp) Si emite un certificado privado desde una CA compartida y no hay un SLR, ACM no podrá renovar de forma automática ese certificado por usted.

ACM podría avisarle que no puede determinar si existe un SLR en su cuenta. Si ya se ha concedido el permiso `iam:GetRole` necesario al SLR de ACM para su cuenta, el aviso no se repetirá después de crearse el SLR. Si se repite, es posible que usted o el administrador de su cuenta tengan que conceder el permiso `iam:GetRole` a ACM o asociar la cuenta a la política `AWSCertificateManagerFullAccess` administrada por ACM.

Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.