Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# ¿Qué es Autoridad de certificación privada de AWS?
Autoridad de certificación privada de AWS permite la creación de jerarquías de autoridades de certificación (CA) privadas, incluidas las principales y las subordinadas CAs, sin los costes de inversión y mantenimiento que implica operar una CA local. Su empresa privada CAs puede emitir certificados X.509 de entidad final, útiles en situaciones como las siguientes:
+ Creación de canales de comunicación TLS cifrados
+ Autenticación de usuarios, equipos, puntos de conexión de API y dispositivos IoT
+ Firmar código criptográficamente
+ Implementación del Protocolo de estado de certificados en línea (OCSP) para obtener el estado de revocación de certificados
Autoridad de certificación privada de AWS se puede acceder a las operaciones desde Consola de administración de AWS, mediante la Autoridad de certificación privada de AWS API o mediante la. AWS CLI
**Topics**
+ [Disponibilidad regional para AWS Private Certificate Authority](#PcaRegions)
+ [Servicios integrados con AWS Private Certificate Authority](#PcaIntegratedServices)
+ [Algoritmos criptográficos compatibles en AWS Private Certificate Authority](#supported-algorithms)
+ [Conformidad con la RFC 5280 en AWS Private Certificate Authority](#RFC-compliance)
+ [Precios para AWS Private Certificate Authority](#PcaPricing)
+ [Términos y conceptos para AWS Private CA](PcaTerms.md)
## Disponibilidad regional para AWS Private Certificate Authority
Como la mayoría de AWS los recursos, las autoridades de certificación privadas (CAs) son recursos regionales. Para usar el CAs modo privado en más de una región, debe crear el suyo CAs en esas regiones. No puedes copiar archivos privados CAs entre regiones. Visite [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#pca_region) en la *Referencia general de AWS* o la [Tabla de regiones de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) para ver la disponibilidad regional de Autoridad de certificación privada de AWS.
**nota**
El ACM está disponible actualmente en algunas regiones, pero no lo Autoridad de certificación privada de AWS está.
## Servicios integrados con AWS Private Certificate Authority
Si AWS Certificate Manager solía solicitar un certificado privado, puede asociar ese certificado a cualquier servicio que esté integrado con ACM. Esto se aplica tanto a los certificados encadenados a una Autoridad de certificación privada de AWS raíz como a los certificados encadenados a una raíz externa. Para obtener más información, consulte [Servicios integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) en la Guía del AWS Certificate Manager usuario.
También puede integrar el sector privado CAs en Amazon Elastic Kubernetes Service para emitir certificados dentro de un clúster de Kubernetes. Para obtener más información, consulte [Proteja Kubernetes con AWS Private Certificate Authority](PcaKubernetes.md).
**nota**
Amazon Elastic Kubernetes Service no es un servicio integrado de ACM.
Si utiliza la Autoridad de certificación privada de AWS API AWS CLI para emitir un certificado o exportar un certificado privado desde ACM, puede instalar el certificado en cualquier lugar que desee.
## Algoritmos criptográficos compatibles en AWS Private Certificate Authority
Autoridad de certificación privada de AWS admite los siguientes algoritmos criptográficos para la generación de claves privadas y la firma de certificados.
**Algoritmo compatible**
| Algoritmos de clave privada | Algoritmos de firma |
| --- | --- |
| ML\$1DSA\$144 ML\$1DSA\$165 ML\$1DSA\$187 RSA\$12048 RSA\$13072 RSA\$14096 EC\$1prime256v1 EC\$1secp384r1 EC\$1SECP521R1 SM2 (Solo regiones de China) | ML\$1DSA\$144ML\$1DSA\$165ML\$1DSA\$187 SHA256CON RSASHA384CON RSASHA512CON RSASHA256CON ECDSA SHA384CON ECDSASHA512CON ECDSASM3WITHSM2 |
Esta lista se aplica únicamente a los certificados emitidos directamente Autoridad de certificación privada de AWS a través de su consola, API o línea de comandos. Cuando AWS Certificate Manager emite certificados mediante una CA desde Autoridad de certificación privada de AWS, es compatible con algunos de estos algoritmos, pero no con todos. Para obtener más información, consulte [Solicitar un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) en la Guía del AWS Certificate Manager usuario.
**nota**
En el caso de RSA o ECDSA, la familia de algoritmos de firma especificada debe coincidir con la familia de algoritmos clave de la clave privada de la CA.
En el caso del ML-DSA, la función hash se define como parte del propio algoritmo. No existe la opción de seleccionar una función hash diferente con ML-DSA. Para mantener la compatibilidad con versiones anteriores APIs, se utiliza el mismo valor para el algoritmo clave y el algoritmo de firma.
## Conformidad con la RFC 5280 en AWS Private Certificate Authority
Autoridad de certificación privada de AWS [no impone ciertas restricciones definidas en el RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280) La situación inversa también es cierta: se aplican determinadas restricciones adicionales apropiadas para una entidad de certificación privada.
**Forzada**
+ [No después de la fecha](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1.2.5). Conforme a [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), Autoridad de certificación privada de AWS impide la emisión de certificados con una fecha `Not After` posterior a la fecha `Not After` del certificado de entidad de certificación.
+ [Restricciones básicas](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9). Autoridad de certificación privada de AWS impone las restricciones básicas y la longitud de ruta en los certificados de CA importados.
Las restricciones básicas indican si el recurso identificado por el certificado es una entidad de certificación y puede emitir certificados. Los certificados de entidades de certificación importados a Autoridad de certificación privada de AWS deben incluir la extensión de restricciones básicas y la extensión debe estar marcada `critical`. Además de la `critical` bandera, `CA=true` debe estar configurada. Autoridad de certificación privada de AWS impone restricciones básicas al fallar con una excepción de validación por los siguientes motivos:
+ La extensión no se incluye en el certificado de entidad de certificación.
+ La extensión no está marcada `critical`.
La longitud de la ruta ([pathLenConstraint](PcaTerms.md#terms-pathlength)) determina cuántos subordinados CAs pueden existir aguas abajo del certificado de CA importado. Autoridad de certificación privada de AWS impone la longitud de la ruta al fallar con una excepción de validación por los siguientes motivos:
+ La importación de un certificado de entidad de certificación violaría la restricción de longitud de ruta en el certificado de entidad de certificación o en cualquier certificado de entidad de certificación de la cadena.
+ La emisión de un certificado violaría una restricción de longitud de ruta.
+ [Las restricciones de nombres](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.10) indican un espacio de nombres dentro del cual deben ubicarse todos los nombres de los sujetos de los certificados subsiguientes de una ruta de certificación. Se aplican restricciones al nombre distintivo del sujeto y a los nombres alternativos del sujeto.
**No se aplica**
+ [Políticas de certificación](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.4). Las políticas de certificados regulan las condiciones en las que una entidad emisora de certificados emite certificados.
+ [Inhibe cualquier política](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.14). Se utiliza en los certificados emitidos a. CAs
+ [Nombre alternativo del emisor](https://datatracker.ietf.org/doc/html/rfc5280#section-section-4.2.1.7). Permite asociar identidades adicionales al emisor del certificado de CA.
+ [Restricciones políticas](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.11). Estas restricciones limitan la capacidad de una entidad de certificación para emitir certificados de entidad de certificación subordinada.
+ [Mapeos de políticas](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.5). Se utiliza en los certificados de CA. Muestra uno o más pares de OIDs; cada par incluye un issuerDomainPolicy y unsubjectDomainPolicy.
+ [Atributos del directorio de temas](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.8). Se utiliza para transmitir los atributos de identificación del sujeto.
+ [Acceso a la información del sujeto](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.2.2). Cómo acceder a la información y los servicios relacionados con el asunto del certificado en el que aparece la extensión.
+ [Identificador de clave de sujeto (SKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.2) e [Identificador de clave de autoridad (AKI)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.1). El RFC requiere un certificado de entidad de certificación para contener la extensión SKI. Los certificados emitidos por la CA deben contener una extensión de AKI que coincida con el SKI del certificado de CA. AWS no hace cumplir estos requisitos. Si su certificado de entidad de certificación no contiene un SKI, la entidad final emitida o el certificado de entidad de certificación subordinada será el hash SHA-1 de la clave pública del emisor.
+ [SubjectPublicKeyInfo](https://datatracker.ietf.org/doc/html/rfc5280#section-4.1)y el [nombre alternativo del sujeto (SAN)](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.6). Al emitir un certificado, Autoridad de certificación privada de AWS copia las extensiones del SAN SubjectPublicKeyInfo y de la CSR proporcionada sin realizar la validación.
## Precios para AWS Private Certificate Authority
A su cuenta se le cobra un precio mensual por cada entidad de certificación privada a partir del momento en que la crea. También se le cobrará cada certificado que emita. Este cargo incluye los certificados que exporte desde ACM y los certificados que cree desde la Autoridad de certificación privada de AWS API o la Autoridad de certificación privada de AWS CLI. Una vez que se elimina una CA privada, no se le aplicarán cargos por ella. Sin embargo, si restaura una entidad de certificación privada, se le cobrará por el tiempo que ha pasado entre su eliminación y su restauración. Los certificados privados en los que no tiene acceso a la clave privada son gratis. Estos incluyen los certificados que se utilizan con [servicios integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html), CloudFront como Elastic Load Balancing y API Gateway.
Para obtener la información Autoridad de certificación privada de AWS de precios más reciente, consulte [AWS Private Certificate Authority Precios](https://aws.amazon.com/private-ca/pricing/). También puede utilizar la [calculadora de precios de AWS](https://calculator.aws/#/createCalculator/certificateManager) para estimar los costos.
# Términos y conceptos para AWS Private CA
Los siguientes términos y conceptos pueden ayudarle a medida que trabaja con ellos AWS Private Certificate Authority.
**Topics**
+ [Confianza](#terms-trust)
+ [Certificados de servidor TLS](#terms-tlscert)
+ [Firma del certificado](#terms-signing)
+ [Certificate authority (Autoridad de certificado)](#terms-ca)
+ [CA raíz](#terms-rootca)
+ [Certificado de entidad de certificación](#terms-ca-cert)
+ [Certificado de entidad de certificación raíz](#terms-root)
+ [Certificado de entidad final](#terms-endentity)
+ [Certificados autofirmados](#terms-selfsignedcert)
+ [Certificado privado](#terms-pca-cert)
+ [Ruta de acceso del certificado](#terms-certpath)
+ [Restricción de longitud de ruta](#terms-pathlength)
## Confianza
Para que un navegador web confíe en la identidad de un sitio web, el navegador debe tener la posibilidad de verificar el certificado del sitio web. Los navegadores, sin embargo, solo confían en una pequeña cantidad de certificados conocidos como certificados raíz de la CA. Una tercera parte de confianza, conocida como entidad de certificación (CA), valida la identidad del sitio web y emite un certificado digital firmado para el operador del sitio web. El navegador puede comprobar la firma digital para validar la identidad del sitio web. Si la validación se realiza correctamente, el navegador muestra un icono de un candado en la barra de direcciones.
## Certificados de servidor TLS
Las transacciones HTTPS requieren certificados de servidor para autenticar un servidor. Un certificado de servidor es una estructura de datos X.509 v3 que vincula la clave pública del certificado al asunto del certificado. Un certificado TLS lo firma una entidad de certificación (CA). Contiene el nombre del servidor, el período de validez, la clave pública, el algoritmo de firma y más.
## Firma del certificado
Una firma digital es un hash cifrado a través de un certificado. La firma se utiliza para confirmar la integridad de los datos del certificado. Su entidad de certificación privada crea una firma mediante una función de hash criptográfico, por ejemplo, SHA256 sobre el contenido del certificado de tamaño variable. Esta función hash produce una cadena de datos de tamaño fijo que no se puede falsificar de forma efectiva. Esta cadena se denomina hash. El CA cifra después este valor hash con la clave privada y concatena los hash cifrados con el certificado.
## Certificate authority (Autoridad de certificado)
Una entidad de certificación (CA) emite certificados digitales y, si es necesario, los revoca. El tipo más común de certificado digital se basa en el estándar ISO X.509. Un certificado X.509 confirma la identidad del sujeto del certificado y asocia esa identidad a una clave pública. El sujeto puede ser un usuario, una aplicación, un equipo o cualquier otro dispositivo. La CA firma un certificado aplicando una función hash al contenido y cifrando después el hash con la clave privada que está asociada a la clave pública del certificado. Una aplicación cliente (por ejemplo, un navegador web) que necesite confirmar la identidad de un sujeto utilizará la clave pública para descifrar la firma del certificado. A continuación, aplicará una función hash al contenido del certificado y comparará el valor hash con la firma descifrada para determinar si coinciden. Para obtener más información sobre la firma de solicitudes, consulte [Firma del certificado](#terms-signing).
Puede utilizarla Autoridad de certificación privada de AWS para crear una CA privada y utilizarla para emitir certificados. Su CA privada solo emite SSL/TLS certificados privados para su uso en su organización. Para obtener más información, consulte [Certificado privado](#terms-pca-cert). Para que pueda utilizarse, la CA privada también necesita un certificado. Para obtener más información, consulte [Certificado de entidad de certificación](#terms-ca-cert).
## CA raíz
Un bloque de creación criptográfico y raíz de confianza en función de la cual se pueden emitir certificado. Se compone de una clave privada para firmar (emitir) certificados y un certificado de raíz que identifica la entidad de certificación raíz y enlaza la clave privada al nombre de la entidad de certificación. El certificado raíz se distribuye a los almacenes de confianza de cada entidad de un entorno. Los administradores crean almacenes de confianza para incluir solo aquellos en los CAs que confían. Los administradores actualizan o crean los almacenes de confianza en los sistemas operativos, las instancias y las imágenes de las máquinas host de las entidades de su entorno. Cuando los recursos intentan conectarse entre sí, verifican los certificados que presenta cada entidad. Un cliente comprueba la validez de los certificados y si existe una cadena desde el certificado hasta un certificado raíz instalado en el almacén de confianza. Si se cumplen esas condiciones, se produce un “apretón de manos” entre los recursos. Este apretón de manos demuestra criptográficamente la identidad de cada entidad con la otra y crea un canal de comunicación cifrado (TLS/SSL) entre ellas.
## Certificado de entidad de certificación
El certificado de una entidad de certificación (CA) confirma la identidad de la CA y la asocia con la clave pública incluida en el certificado.
Puede utilizarlos Autoridad de certificación privada de AWS para crear una CA raíz privada o una CA subordinada privada, cada una respaldada por un certificado de CA. Los certificados de entidad de certificación subordinada están firmados por otro certificado de entidad de certificación superior en una cadena de confianza. Pero en el caso de una entidad de certificación raíz, el certificado está autofirmado. También puede establecer una autoridad raíz externa (alojada en las instalaciones, por ejemplo). A continuación, puede utilizar su autoridad raíz para firmar un certificado de entidad de certificación raíz subordinada alojado por Autoridad de certificación privada de AWS.
En el siguiente ejemplo, se muestran los campos típicos de un certificado de CA Autoridad de certificación privada de AWS X.509. Tenga en cuenta que, en los certificados de CA, el valor `CA:` del campo `Basic Constraints` está establecido en `TRUE`.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4121 (0x1019)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp, CN=www.example.com/emailAddress=corp@www.example.com
Validity
Not Before: Feb 26 20:27:56 2018 GMT
Not After : Feb 24 20:27:56 2028 GMT
Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate Office, CN=www.example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c0: ... a3:4a:51
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9
X509v3 Authority Key Identifier:
keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Digital Signature, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
6:bb:94: ... 80:d8
```
## Certificado de entidad de certificación raíz
Por lo general, una autoridad de certificación (CA) existe dentro de una estructura jerárquica que contiene varias otras, CAs con relaciones padre-hijo claramente definidas entre ellas. El hijo o el subordinado CAs reciben la certificación de sus padres CAs, lo que crea una cadena de certificados. La CA de la parte superior de la jerarquía se denomina “raíz de la CA” y su certificado se denomina “certificado raíz”. Este certificado suele estar autofirmado.
## Certificado de entidad final
Un certificado de identidad final identifica un recurso, como un servidor, instancia, contenedor o dispositivo. A diferencia de los certificados de entidades de certificación, los certificados de entidad final no se pueden usar para emitir certificados. Otros términos comunes para el certificado de entidad final son certificado «cliente» o «hoja».
## Certificados autofirmados
Un certificado firmado por el emisor en lugar de una entidad de certificación superior. A diferencia de los certificados emitidos desde una raíz segura mantenida por una CA, los certificados autofirmados funcionan como su propia raíz y, por lo tanto, tienen limitaciones importantes: se pueden utilizar para proporcionar cifrado electrónico, pero no para verificar la identidad, y no se pueden revocar. Son inaceptables desde el punto de vista de la seguridad. Sin embargo, las organizaciones los utilizan porque son fáciles de generar, no requieren experiencia ni infraestructura, y muchas aplicaciones los aceptan. No existen controles para la emisión de certificados autofirmados. Las organizaciones que los utilizan corren un mayor riesgo de sufrir interrupciones causadas por la caducidad de los certificados porque no tienen forma de hacer un seguimiento de las fechas de caducidad.
## Certificado privado
Autoridad de certificación privada de AWS los certificados son SSL/TLS certificados privados que puede usar en su organización, pero que no son de confianza en la Internet pública. Utilícelos para identificar recursos, como clientes, servidores, aplicaciones, servicios, dispositivos y usuarios. Al establecer un canal de comunicación cifrado y seguro, cada recurso utiliza un certificado como el siguiente junto con técnicas de cifrado para demostrar su identidad a otro recurso Los puntos de conexión de la API interna, los servidores web, los usuarios de VPN, los dispositivos de IoT y muchas otras aplicaciones utilizan certificados privados para establecer los canales de comunicación cifrados que son necesarios para poder trabajar con seguridad. De forma predeterminada, los certificados privados no son de confianza pública. Un administrador interno debe configurar explícitamente las aplicaciones para que confíen en los certificados privados y distribuyan los certificados.
```
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate, CN=www.example.com
Validity
Not Before: Feb 26 18:39:57 2018 GMT
Not After : Feb 26 19:39:57 2019 GMT
Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales, CN=www.example.com/emailAddress=sales@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00...c7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 Subject Key Identifier:
C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl
Signature Algorithm: sha256WithRSAEncryption
58:32:...:53
```
## Ruta de acceso del certificado
Un cliente que se basa en un certificado valida que existe una ruta de acceso desde el certificado de entidad final, posiblemente a través de una cadena de certificados intermedios, a una raíz de confianza. El cliente comprueba que cada certificado de la ruta es válido (no está revocado). También comprueba que el certificado de la entidad final no haya caducado, que sea íntegro (no haya sido manipulado ni modificado) y que se cumplan las restricciones del certificado.
## Restricción de longitud de ruta
Las restricciones básicas *pathLenConstraint*de un certificado de CA establecen el número de certificados de CA subordinados que pueden existir en la cadena inferior. Por ejemplo, un certificado de CA con una restricción de longitud de ruta igual a cero no puede tener ningún subordinado. CAs Una CA con una restricción de longitud de ruta igual a uno puede tener hasta un nivel de subordinado CAs por debajo. [El RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) lo define como «el número máximo de certificados non-self-issued intermedios que pueden seguir a este certificado en una ruta de certificación válida». El valor de longitud de ruta excluye el certificado de la entidad final, aunque puede incluirse en un lenguaje informal sobre la “longitud” o la “profundidad” de una cadena de validación, lo que genera confusión.