Rotación de certificados SSL/TLS - Amazon CloudFront
Rotación de certificados SSL/TLS

Rotación de certificados SSL/TLS

Cuando los certificados SSL/TLS estén a punto de caducar, tendrá que rotarlos para garantizar la seguridad de la distribución y evitar la interrupción del servicio para los lectores. Puede rotarlos de las siguientes formas:

  • Para los certificados SSL/TLS proporcionados por AWS Certificate Manager (ACM), no es necesario rotarlos. ACM administra automáticamente las renovaciones de los certificados por usted. Para obtener más información, consulte Renovación administrada de certificados en la Guía del usuario de AWS Certificate Manager.

  • Si utiliza una autoridad de certificación de terceros y ha importado certificados a ACM (recomendado) o los ha cargado en el almacén de certificados de IAM, debe sustituir ocasionalmente un certificado por otro.

importante

  • ACM no administra renovaciones de certificados que adquiera de autoridades de certificación de terceros y que después importe a ACM.

  • Si configura CloudFront para atender solicitudes HTTPS a través de direcciones IP dedicadas, es posible que se aplique un cargo prorrateado adicional por uso de uno o varios certificados adicionales mientras rota certificados. Le recomendamos actualizar las distribuciones para minimizar los cargos adicionales.

Rotación de certificados SSL/TLS

Para rotar los certificados, realice el siguiente procedimiento. Los espectadores pueden seguir obteniendo acceso a su contenido mientras rota certificados y también una vez completado el proceso.

Para rotar certificados SSL/TLS

  1. Aumento de las cuotas de certificados SSL/TLS para determinar si necesita permiso para utilizar más certificados SSL. En caso afirmativo, solicite el permiso y espere hasta que se le conceda antes de continuar con el paso 2.

  2. Importe el nuevo certificado a ACM o cárguelo a IAM. Para obtener más información, consulte Importación de un certificado SSL/TLS en la Guía para desarrolladores de Amazon CloudFront.

  3. (Solo para certificados de IAM) Actualice las distribuciones de una en una para utilizar el nuevo certificado. Para obtener más información, consulte Actualizar una distribución.

  4. (Opcional) Elimine el certificado anterior de ACM o IAM.

    importante

    No elimine un certificado SSL/TLS hasta eliminarlo de todas las distribuciones y hasta que el estado de las distribuciones que ha actualizado haya cambiado a Deployed.