Certificados privados en AWS Certificate Manager - AWS Certificate Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Certificados privados en AWS Certificate Manager

Si tiene acceso a una CA privada existente creada por Autoridad de certificación privada de AWS, AWS Certificate Manager (ACM) puede solicitar un certificado adecuado para utilizarlo en su infraestructura de clave privada (PKI). La CA puede residir en su cuenta o compartirse con usted desde otra cuenta. Para obtener información sobre la creación de una CA privada, consulte el artículo Crear Private Certificate Authority.

De manera predeterminada, no se confía en los certificados firmados por una CA privada, y ACM no admite ningún tipo de validación para ellos. En consecuencia, un administrador debe tomar medidas para instalarlos en los almacenes de confianza de los clientes de su organización.

Los certificados de ACM privados siguen el estándar X.509 y están sujetos a las siguientes restricciones:

  • Nombres: se deben utilizar nombres de asunto que cumplan con el DNS. Para obtener más información, consulte Nombres de dominio.

  • Algoritmo: para el cifrado, el algoritmo de clave privada del certificado debe ser RSA de 2048 bits, ECDSA de 256 bits o ECDSA de 384 bits.

    nota

    La familia de algoritmos de firma especificada (RSA o ECDSA) debe coincidir con la familia de algoritmos de la clave secreta de la entidad de certificación.

  • Vencimiento: cada certificado tiene una validez de 13 meses (395 días). La fecha de finalización del certificado de la CA de firma debe ser posterior a la fecha de finalización del certificado solicitado, ya que, de lo contrario, la solicitud del certificado producirá un error.

  • Renovación: ACM intenta renovar un certificado privado automáticamente después de 11 meses.

La CA privada utilizada para firmar los certificados de entidad final está sujeta a sus propias restricciones:

  • La CA debe tener el estado de Activa.

  • El algoritmo de clave privada de la CA debe ser RSA 2048 o RSA 4096.

nota

A diferencia de los certificados de confianza pública, los certificados firmados por una CA privada no requieren validación.