Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Emita certificados privados de entidad final

PDF
RSS
Modo de enfoque
Emita certificados privados de entidad final - AWS Private Certificate Authority
Emita un certificado estándar (AWS CLI)Emita un certificado con un nombre de asunto personalizado mediante una plantilla APIPassthrough Emita un certificado con extensiones personalizadas mediante una plantilla APIPassthrough

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Con una CA privada, puede solicitar certificados de entidad final privada a AWS Certificate Manager (ACM) o. Autoridad de certificación privada de AWS Las capacidades de ambos servicios se comparan en la siguiente tabla.

Funcionalidad

ACM

Autoridad de certificación privada de AWS

Emitir un certificado de entidad final

✓ (utilizando RequestCertificate o la consola)

✓ (utilizando IssueCertificate)

Asociación con balanceadores de carga y servicios conectados a Internet AWS

No compatible
Renovación administrada de certificados Con compatibilidad indirecta a través de ACM

Soporte de consola

No compatible

Compatibilidad con API

Compatibilidad con CLI

Cuando Autoridad de certificación privada de AWS crea un certificado, sigue una plantilla que especifica el tipo de certificado y la longitud de la ruta. Si no se proporciona ningún ARN de plantilla a la instrucción API o CLI que crea el certificado, se aplica la plantilla EndEntityCertificate/V1 de forma predeterminada. Para obtener más información acerca de las plantillas de certificados disponibles, consulte Utilice plantillas de certificados AWS Private CA.

Si bien los certificados ACM se diseñan en función de la confianza pública, satisfacen Autoridad de certificación privada de AWS las necesidades de su PKI privada. En consecuencia, puede configurar los certificados mediante la Autoridad de certificación privada de AWS API y la CLI de formas no permitidas por ACM. Estos incluyen los siguientes:

Tras crear un certificado TLS privado con él Autoridad de certificación privada de AWS, puede importarlo a ACM y utilizarlo con un servicio compatible. AWS

nota

Los certificados creados con el siguiente procedimiento, mediante el issue-certificate comando o con la acción de la IssueCertificateAPI, no se pueden exportar directamente para su uso externo. AWS Sin embargo, puede usar su CA privada para firmar los certificados emitidos a través de ACM y esos certificados se pueden exportar junto con sus claves secretas. Para obtener más información, consulte Solicitar un certificado privado y Exportar un certificado privado en la Guía del usuario de ACM.

Emita un certificado estándar (AWS CLI)

Puede usar el comando issue-certificate de la Autoridad de certificación privada de AWS CLI o la acción de la API IssueCertificatepara solicitar un certificado de entidad final. Este comando necesita el nombre de recurso de Amazon (ARN) de la CA privada que desea utilizar para emitir el certificado. También debe generar una solicitud de firma de certificado (CSR) mediante un programa como OpenSSL.

Si usa la Autoridad de certificación privada de AWS API o AWS CLI emite un certificado privado, el certificado no se administra, lo que significa que no puede usar la consola ACM, la CLI de ACM o la API de ACM para verlo o exportarlo, y el certificado no se renueva automáticamente. Sin embargo, puede usar el comando PCA get-certificate para recuperar los detalles del certificado y, si es propietario de la CA, puede crear un informe de auditoría.

Consideraciones sobre la creación de certificados

  • En conformidad con RFC 5280, la longitud del nombre de dominio (técnicamente, el nombre común) que proporcione no puede superar los 64 octetos (caracteres), incluidos los puntos. Para agregar un nombre de dominio más largo, especifíquelo en el campo Nombre alternativo del asunto, que admite nombres de hasta 253 octetos de longitud.

  • Si utiliza la AWS CLI versión 1.6.3 o posterior, utilice el prefijo fileb:// al especificar los archivos de entrada codificados en base64, como. CSRs Esto garantiza que se analizan los datos correctamente Autoridad de certificación privada de AWS .

El siguiente comando de OpenSSL genera una CSR y una clave privada para un certificado:

$ openssl req -out csr.pem -new -newkey rsa:2048 -nodes -keyout private-key.pem

Puede inspeccionar el contenido de la CSR de la siguiente manera:

$ openssl req -in csr.pem -text -noout

El resultado debe parecerse al siguiente ejemplo abreviado:

Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, O=Big Org, CN=example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:ca:85:f4:3a:b7:5f:e2:66:be:fc:d8:97:65:3d:
                    a4:3d:30:c6:02:0a:9e:1c:ca:bb:15:63:ca:22:81:
                    00:e1:a9:c0:69:64:75:57:56:53:a1:99:ee:e1:cd:
                    ...
                    aa:38:73:ff:3d:b7:00:74:82:8e:4a:5d:da:5f:79:
                    5a:89:52:e7:de:68:95:e0:16:9b:47:2d:57:49:2d:
                    9b:41:53:e2:7f:e1:bd:95:bf:eb:b3:a3:72:d6:a4:
                    d3:63
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         74:18:26:72:33:be:ef:ae:1d:1e:ff:15:e5:28:db:c1:e0:80:
         42:2c:82:5a:34:aa:1a:70:df:fa:4f:19:e2:5a:0e:33:38:af:
         21:aa:14:b4:85:35:9c:dd:73:98:1c:b7:ce:f3:ff:43:aa:11:
         ....
         3c:b2:62:94:ad:94:11:55:c2:43:e0:5f:3b:39:d3:a6:4b:47:
         09:6b:9d:6b:9b:95:15:10:25:be:8b:5c:cc:f1:ff:7b:26:6b:
         fa:81:df:e4:92:e5:3c:e5:7f:0e:d8:d9:6f:c5:a6:67:fb:2b:
         0b:53:e5:22

El siguiente comando crea un certificado. Como no se especifica ninguna plantilla, se emite un certificado de entidad final base de forma predeterminada.

$ aws acm-pca issue-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --csr fileb://csr.pem \
      --signing-algorithm "SHA256WITHRSA" \
      --validity Value=365,Type="DAYS"

Se devuelve el ARN del certificado emitido:

{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
nota

Autoridad de certificación privada de AWS devuelve inmediatamente un ARN con un número de serie cuando recibe el issue-certificate comando. Sin embargo, el procesamiento del certificado se realiza de forma asíncrona y, aun así, puede fallar. Si esto ocurre, un comando get-certificate que utilice el nuevo ARN también fallará.

Emita un certificado con un nombre de asunto personalizado mediante una plantilla APIPassthrough

En este ejemplo, se emite un certificado que contiene elementos de nombre de asunto personalizados. Además de proporcionar una CSR como la que aparece enEmita un certificado estándar (AWS CLI), se pasan dos argumentos adicionales al issue-certificate comando: el ARN de APIPassthrough una plantilla y un archivo de configuración JSON que especifica los atributos personalizados y sus identificadores OIDs de objeto (). No puedes usarlo StandardAttributes junto conCustomAttributes. Sin embargo, puedes pasar el estándar OIDs como parte de. CustomAttributes El nombre OIDs del asunto predeterminado aparece en la siguiente tabla (información de la RFC 4519 y de la base de datos de referencia global OID):

Nombre del asunto

Abreviatura

ID de objeto

countryName

c

2.5.4.6

CommonName

cn

2.5.4.3

dnQualifier [calificador de nombre distintivo]

2.5.4,46

generationQualifier

2.5.4,44

givenName

2.5.4,42

initials

2.5.4,43

locality

l

2.5.4.7

organizationName

o

2.5.4,10

organizationalUnitName

ou

2.5.4,11

pseudonym

2.5.4,65

serialNumber

2.5.4.5

st [estado]

2.5.4.8

surname

sn

2.5.4.4

título

2.5.4.12

domainComponent

dc

0,9,234,19200300.100,1,25

userid

0,9,2342 19200300.1001.1

El archivo de configuración de ejemplo api_passthrough_config.txt contiene el código siguiente:

{
  "Subject": {
    "CustomAttributes": [
      {
        "ObjectIdentifier": "2.5.4.6",
        "Value": "US"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.1",
        "Value": "BCDABCDA12341234"
      },
      {
        "ObjectIdentifier": "1.3.6.1.4.1.37244.1.5",
        "Value": "CDABCDAB12341234"
      }
    ]
  }
}

Escriba el siguiente comando para extraer el certificado:

$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/BlankEndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566

Se devuelve el ARN del certificado emitido:

{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}

Recupere el certificado localmente de la siguiente manera:

$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem

Puede inspeccionar el contenido del certificado mediante OpenSSL:

$ openssl x509 -in cert.pem -text -noout
nota

También es posible crear una CA privada que transfiera atributos personalizados a cada certificado que emita.

Emita un certificado con extensiones personalizadas mediante una plantilla APIPassthrough

En este ejemplo, se emite un certificado que contiene extensiones personalizadas. Para ello, debe pasar tres argumentos al issue-certificate comando: el ARN de una APIPassthrough plantilla y un archivo de configuración JSON que especifica las extensiones personalizadas, y una CSR como la que se muestra en. Emita un certificado estándar (AWS CLI)

El archivo de configuración de ejemplo api_passthrough_config.txt contiene el código siguiente:

{
  "Extensions": {
    "CustomExtensions": [
      {
        "ObjectIdentifier": "2.5.29.30",
        "Value": "MBWgEzARgg8ucGVybWl0dGVkLnRlc3Q=",
        "Critical": true
      }
    ]
  }
}

El certificado personalizado se emite de la siguiente manera:

$ aws acm-pca issue-certificate \
      --validity Type=DAYS,Value=10 
      --signing-algorithm "SHA256WITHRSA" \
      --csr fileb://csr.pem \
      --api-passthrough file://api_passthrough_config.txt \
      --template-arn arn:aws:acm-pca:::template/EndEntityCertificate_APIPassthrough/V1 \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566

Se devuelve el ARN del certificado emitido:

{
   "CertificateArn":"arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}

Recupere el certificado localmente de la siguiente manera:

$ aws acm-pca get-certificate \
      --certificate-authority-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
      --certificate-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID | \
      jq -r .'Certificate' > cert.pem

Puede inspeccionar el contenido del certificado mediante OpenSSL:

$ openssl x509 -in cert.pem -text -noout

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.