Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Certificados de cliente X.509
Los certificados X.509 permiten AWS IoT autenticar las conexiones de clientes y dispositivos. Los certificados de cliente deben estar registrados AWS IoT antes de que un cliente pueda comunicarse con ellos. AWS IoT Un certificado de cliente se puede registrar en varios Cuenta de AWS s de la misma región Región de AWS para facilitar el traslado de dispositivos entre Cuenta de AWS los de la misma región. Para obtener más información, consulte [Uso de certificados de cliente X.509 en varios Cuenta de AWS s con registro de varias cuentas](#multiple-account-cert).
Se recomienda que cada dispositivo o cliente reciba un certificado único para permitir acciones de administración de clientes precisas, incluida la revocación de certificados. Los dispositivos y los clientes deben ser compatibles con la rotación y la sustitución de certificados para garantizar un buen funcionamiento cuando los certificados caduquen.
Para obtener más información sobre el uso de certificados X.509 con el fin de admitir más de unos pocos dispositivos, consulte [Aprovisionamiento de dispositivos](iot-provision.md) para revisar las distintas opciones de aprovisionamiento y administración de certificados que admite AWS IoT .
**AWS IoT admite los siguientes tipos de certificados de cliente X.509:**
+ Certificados X.509 generados por AWS IoT
+ Certificados X.509 firmados por una entidad emisora de certificados registrada en. AWS IoT
+ Certificados X.509 firmados por una entidad de certificación que no está registrada con AWS IoT.
En esta sección se describe cómo administrar certificados X.509 en AWS IoT. Puede utilizar la AWS IoT consola o AWS CLI realizar las siguientes operaciones de certificación:
+ [Cree certificados de AWS IoT cliente](device-certs-create.md)
+ [Creación de sus propios certificados de cliente](device-certs-your-own.md)
+ [Registrar un certificado de cliente](register-device-cert.md)
+ [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md)
+ [Revocar un certificado de cliente](revoke-ca-cert.md)
Para obtener más información sobre los AWS CLI comandos que realizan estas operaciones, consulte la [referencia de AWS IoT CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/index.html).
## Uso de certificados de cliente X.509
Los certificados X.509 autentican las conexiones de clientes y dispositivos a. AWS IoT Los certificados X.509 ofrecen varios beneficios con respecto a otros mecanismos de identificación y autenticación. Los certificados X.509 permiten usar claves asimétricas con los dispositivos. Por ejemplo, podría forzar claves privadas en un almacenamiento seguro en un dispositivo para que el material criptográfico confidencial nunca salga del dispositivo. Los certificados X.509 proporcionan una autenticación del cliente más fiable que los otros sistemas, como el nombre de usuario y la contraseña o los tokens de portador, ya que la clave privada jamás abandona el dispositivo.
AWS IoT autentica los certificados de cliente mediante el modo de autenticación de cliente del protocolo TLS. La compatibilidad con TLS está disponible en numerosos lenguajes de programación y sistemas operativos, y se utiliza generalmente para cifrar datos. En la autenticación de clientes TLS, AWS IoT solicita un certificado de cliente X.509 y valida el estado del certificado y lo Cuenta de AWS compara con un registro de certificados. A continuación, pide al cliente que demuestre que es propietario de la clave privada que corresponde a la clave pública contenida en el certificado. AWS IoT exige que los clientes envíen la [extensión de indicación del nombre del servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocolo Transport Layer Security (TLS). Para obtener más información sobre la configuración de la extensión SNI, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md).
Para facilitar una conexión segura y coherente del cliente con el AWS IoT núcleo, un certificado de cliente X.509 debe tener lo siguiente:
+ Registrado en AWS IoT Core. Para obtener más información, consulte [Registrar un certificado de cliente](register-device-cert.md).
+ Tener un estado `ACTIVE`. Para obtener más información, consulte [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md).
+ No haber alcanzado aún la fecha de caducidad del certificado.
Puede crear certificados de cliente que utilicen la entidad de certificación Amazon Root y puede utilizar sus propios certificados de cliente firmados por otra entidad de certificación (CA). Para obtener más información sobre el uso de la AWS IoT consola para crear certificados que usen la CA raíz de Amazon, consulte[Cree certificados de AWS IoT cliente](device-certs-create.md). Para obtener más información sobre el uso de sus propios certificados X.509, consulte [Creación de sus propios certificados de cliente](device-certs-your-own.md).
La fecha y hora de caducidad de los certificados firmados por un certificado de entidad de certificación se establecen en el momento de su creación. Los certificados X.509 generados por AWS IoT vencen a medianoche (UTC) del 31 de diciembre de 2049 (2049-12-31T 23:59:59 Z).
AWS IoT Device Defender puede realizar auditorías en sus dispositivos Cuenta de AWS y en sus dispositivos, de acuerdo con las mejores prácticas comunes de seguridad de IoT. Esto incluye administrar las fechas de caducidad de los certificados X.509 firmados por su entidad de certificación o la entidad de certificación de Amazon Root. Para obtener más información sobre la administración de la fecha de vencimiento de un certificado, consulte [El certificado de dispositivo está caducando](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-approaching-expiration.html) y [El certificado de entidad de certificación está caducando](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-ca-cert-approaching-expiration.html).
En el AWS IoT blog oficial, se profundiza en la gestión de la rotación de certificados de dispositivos y las mejores prácticas de seguridad en [Cómo gestionar la rotación de certificados de dispositivos de IoT mediante el uso AWS IoT](https://aws.amazon.com/blogs/iot/how-to-manage-iot-device-certificate-rotation-using-aws-iot/).
## Uso de certificados de cliente X.509 en varios Cuenta de AWS s con registro de varias cuentas
El registro de varias cuentas permite mover dispositivos entre sus Cuenta de AWS en la misma región o en regiones diferentes. Puede registrar, probar y configurar un dispositivo en una cuenta de preproducción y, a continuación, registrar y utilizar el mismo dispositivo y certificado de dispositivo en una cuenta de producción. También puede registrar el certificado de cliente en el dispositivo o los certificados del dispositivo sin una CA en la que esté registrada. AWS IoT Para obtener más información, consulte [Registrar un certificado de cliente firmado por una entidad de certificación no registrada (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli).
**nota**
Los certificados utilizados para el registro de varias cuentas son compatibles con los tipos de puntos de conexión `iot:Data-ATS`, `iot:Data` (heredados), `iot:Jobs` y `iot:CredentialProvider`. Para obtener más información sobre los puntos finales de los AWS IoT dispositivos, consulte[AWS IoT datos del dispositivo y puntos finales de servicio](iot-connect-devices.md#iot-connect-device-endpoints).
Los dispositivos que utilizan el registro de varias cuentas deben enviar la [extensión de indicación del nombre del servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocolo Transport Layer Security (TLS) y proporcionar la dirección completa del punto final en el `host_name` campo cuando se conecten a. AWS IoT AWS IoT utiliza la dirección del punto final `host_name` para enrutar la conexión a la cuenta correcta. AWS IoT Los dispositivos existentes que no envíen una dirección de punto de conexión válida en `host_name` seguirán funcionando, pero no podrán utilizar las características que requiere esta información. Para obtener más información acerca de la extensión SNI y para aprender a identificar la dirección del punto de conexión del campo `host_name`, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md).
**Para utilizar el registro de varias cuentas**
1. Puede registrar los certificados de dispositivo con una entidad de certificación. Puede registrar la CA emisora de certificados en varias cuentas en modo `SNI_ONLY` y utilizar esa entidad de certificación para registrar el mismo certificado de cliente en varias cuentas. Para obtener más información, consulte [Registro de un certificado de entidad de certificación en modo SNI\$1ONLY (CLI) - Recomendado](manage-your-CA-certs.md#register-CA-cert-SNI-cli).
1. Puede registrar los certificados de dispositivo sin una entidad de certificación. Consulte [Registro de un certificado de cliente firmado por una entidad de certificación no registrada (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli). El registro de una entidad de certificación es opcional. No es necesario que registre la CA con la que firmó los certificados del dispositivo AWS IoT.
## Los algoritmos de firma de certificados son compatibles con AWS IoT
AWS IoT admite los siguientes algoritmos de firma de certificados:
+ SHA256CON RSA
+ SHA384CON RSA
+ SHA512CON RSA
+ SHA256WITHRSAANDMGF1 (RSASSA-PSS)
+ SHA384WITHRSAANDMGF1 (RSASSA-PSS)
+ SHA512WITHRSAANDMGF1 (RSASSA-PSS)
+ DSA\$1WITH\$1 SHA256
+ ECDSA-CON- SHA256
+ ECDSA-CON- SHA384
+ ECDSA-CON- SHA512
Para obtener más información acerca de la autenticación y la seguridad de los certificados, consulte [Calidad de la clave del certificado del dispositivoy](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-key-quality.html).
**nota**
La solicitud de firma de certificado (CSR) debe incluir una clave pública. Puede tratarse de una clave RSA con una longitud de al menos 2048 bits o una clave ECC de curvas NIST P-256, NIST P-384 o NIST P-521. Para obtener más información, consulte [CreateCertificateFromCsr](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateCertificateFromCsr.html) en la *Guía de referencia de la API de AWS IoT *.
## Algoritmos clave compatibles con AWS IoT
En la siguiente tabla se muestra cómo se admiten los algoritmos de clave:
****
| Algoritmo clave | Algoritmo de firma de certificados | Versión de TLS | ¿Se admite? Yes o No |
| --- | --- | --- | --- |
| RSA con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.2 y TLS 1.3 | Sí |
| ECC NIST P-256/P-384/P-521 | Todos | TLS 1.2 y TLS 1.3 | Sí |
| RSA-PSS con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.2 | No |
| RSA-PSS con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.3 | Sí |
Para crear un certificado mediante la [CreateCertificateFromCSR](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateCertificateFromCsr.html), puede utilizar un algoritmo de clave compatible para generar una clave pública para su CSR. Para registrar su propio certificado mediante [RegisterCertificate](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificate.html)una [RegisterCertificateWithoutCA](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificateWithoutCA.html), puede utilizar un algoritmo de clave compatible para generar una clave pública para el certificado.
Para obtener más información, consulte [Security policies](https://docs.aws.amazon.com//iot/latest/developerguide/transport-security.html#tls-policy-table).