Renovación de certificados privados en AWS Certificate Manager - AWS Certificate Manager
Automatización de la exportación de certificados renovadosPrueba de renovación administrada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Renovación de certificados privados en AWS Certificate Manager

Los certificados de ACM firmados por una CA privada de Autoridad de certificación privada de AWS se pueden renovar de manera administrada. A diferencia de los certificados de ACM de confianza pública, un certificado para una PKI privada no requiere validación. La confianza se establece cuando un administrador instala el certificado de entidad de certificación raíz apropiado en los almacenes de confianza del cliente.

nota

Solo los certificados obtenidos mediante la consola de ACM o la acción RequestCertificate de la API de ACM pueden renovarse mediante renovación administrada. ACM no administra los certificados emitidos directamente desde Autoridad de certificación privada de AWS mediante la acción IssueCertificate de la API de Autoridad de certificación privada de AWS.

Cuando quedan 60 días para que venza un certificado administrado, ACM intenta renovarlo de forma automática. Esto incluye los certificados que se exportaron e instalaron de forma manual (por ejemplo, en un centro de datos en las instalaciones). Los clientes también pueden forzar la renovación en cualquier momento mediante la acción RenewCertificate de la API de ACM. Para obtener un ejemplo de una implementación de renovación forzada de Java, consulte Renovación de un certificado.

Después de la renovación, la implementación de un certificado para un servicio se realiza de una de las siguientes maneras:

Automatización de la exportación de certificados renovados

En el siguiente procedimiento se proporciona un ejemplo de solución para automatizar la exportación de sus certificados PKI privados cuando ACM los renueva. En este ejemplo solo se exporta un certificado y su clave privada de ACM. Una vez hecha la exportación, el certificado debe estar instalado en su dispositivo de destino.

Cómo automatizar la exportación de un certificado mediante la consola

  1. De acuerdo con los procedimientos indicados en la Guía para desarrolladores de AWS Lambda, cree y configure una función Lambda que llame a la API de exportación de ACM.

    1. Creación de una función de Lambda

    2. Cree un rol de ejecución de Lambda para su función y agréguele la siguiente política de confianza. La política otorga permiso al código de su función para recuperar el certificado y la clave privada renovados al llamar la acción ExportCertificate de la API de ACM.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm:ExportCertificate",
         "Resource":"*"
      }
   ]
}

  2. Cree una regla en Amazon EventBridge para escuchar los eventos de estado de ACM y llamar a su función Lambda cuando detecte uno. ACM escribe en un evento AWS Health cada vez que intenta renovar un certificado. Para obtener más información sobre estos avisos, consulte Verificar el estado mediante Personal Health Dashboard (PHD).

    Configure la regla al agregar el siguiente patrón de eventos.

    {
   "source":[
      "aws.health"
   ],
   "detail-type":[
      "AWS Health Event"
   ],
   "detail":{
      "service":[
         "ACM"
      ],
      "eventTypeCategory":[
         "scheduledChange"
      ],
      "eventTypeCode":[
         "AWS_ACM_RENEWAL_STATE_CHANGE"
      ]
   },
   "resources":[
      "arn:aws:acm:region:account:certificate/certificate_ID"
   ]
}

  3. Complete el proceso de renovación al instalar de forma manual el certificado en el sistema de destino.

Prueba de la renovación administrada de los certificados de PKI privada

Puede utilizar la API o la AWS CLI de ACM para probar de forma manual la configuración de su flujo de trabajo de renovación administrada de ACM. Al hacerlo, puede confirmar que ACM renovará sus certificados de forma automática antes de que venzan.

nota

Solo se puede probar la renovación de los certificados emitidos y exportados por Autoridad de certificación privada de AWS.

Cuando utiliza las acciones de la API o los comandos de la CLI descritos a continuación, ACM intenta renovar el certificado. Si la renovación se realiza correctamente, ACM actualiza los metadatos del certificado que se muestran en la consola de administración o en la salida de la API. Si el certificado se encuentra asociado a servicios integrados de ACM, se implementa el certificado nuevo y se genera un evento de renovación en Amazon CloudWatch Events. Si la renovación falla, ACM devuelve un error y sugiere una acción correctiva. (Puede ver esta información mediante el comando describe-certificate). Si el certificado no se implementa a través de un servicio integrado, tendrá que exportarlo e instalarlo de forma manual en el recurso.

importante

Para renovar sus certificados de Autoridad de certificación privada de AWS con ACM, primero debe conceder los permisos de principal de servicio de ACM para hacerlo. Para obtener más información, consulte Asignación de permisos de renovación de certificados a ACM.

Para probar manualmente la renovación de certificados (AWS CLI)

  1. Use el comando renew-certificate para renovar un certificado privado exportado.

    aws acm renew-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID

  2. A continuación, utilice el comando describe-certificate para confirmar que se han actualizado los detalles de renovación del certificado.

    aws acm describe-certificate \
	--certificate-arn arn:aws:acm:region:account:certificate/certificate_ID
Para probar de forma manual la renovación de certificados (API de ACM)

  • Envíe una solicitud RenewCertificate, especificando el ARN del certificado privado para renovar. A continuación, utilice la operación DescribeCertificate para confirmar que se han actualizado los detalles de renovación del certificado.