Almacenes de confianza y administración de certificados - Amazon CloudFront
¿Qué es un almacén de confianza?Compatibilidad de la autoridad de certificaciónRequisitos y especificaciones de certificadosCreación de un almacén de confianzaAsociación del almacén de confianza con las distribucionesAdministración de almacenes de confianza

Almacenes de confianza y administración de certificados

La creación y configuración de un almacén de confianza es un requisito obligatorio para implementar la autenticación TLS mutua con CloudFront. Los almacenes de confianza contienen los certificados de la autoridad de certificación (CA) que CloudFront utiliza para validar los certificados de los clientes durante el proceso de autenticación.

¿Qué es un almacén de confianza?

Un almacén de confianza es un repositorio de certificados CA que CloudFront utiliza para validar los certificados de los clientes durante la autenticación TLS mutua. Los almacenes de confianza contienen los certificados CA raíz e intermedios que forman la cadena de confianza para autenticar los certificados de los clientes.

Al implementar un TLS mutuo con CloudFront, el almacén de confianza define las autoridades de certificación en las que confía para emitir certificados de cliente válidos. CloudFront valida cada certificado de cliente con su almacén de confianza durante el establecimiento de comunicación de TLS. Solo los clientes que presenten certificados encadenados a una de las autoridades de certificación del almacén de confianza se autenticarán correctamente.

Los almacenes de confianza de CloudFront son recursos por cuenta que se pueden asociar a varias distribuciones. Esto permite mantener políticas de validación de certificados coherentes en toda la implementación de CloudFront y, al mismo tiempo, simplificar la administración de certificados CA.

Compatibilidad de la autoridad de certificación

CloudFront admite certificados emitidos tanto por una autoridad de certificación privada de AWS como por autoridades de certificación privadas de terceros. Esta flexibilidad permite utilizar la infraestructura de certificados existente o aprovechar los servicios de certificación administrados de AWS en función de los requisitos de la organización.

  • Autoridad de certificación privada de AWS: puede utilizar los certificados emitidos por la autoridad de certificación privada de AWS, que proporciona un servicio de autoridad de certificación privada administrada. Esta integración simplifica la administración del ciclo de vida de los certificados y proporciona una integración perfecta con otros servicios de AWS.

  • Autoridades de certificación privadas de terceros: también puede utilizar los certificados de la infraestructura de autoridad de certificación privada existente, incluidas las autoridades de certificación empresariales u otros proveedores de certificados de terceros. Esto permite mantener los procesos actuales de administración de certificados y, al mismo tiempo, agregar las capacidades de mTLS de CloudFront.

Requisitos y especificaciones de certificados

Los almacenes de confianza tienen requisitos específicos para los certificados CA que contienen:

Requisitos de formato de certificado CA

  • Formato: formato PEM (Correo con privacidad mejorada)

  • Límites de contenido: los certificados deben estar dentro de los límites -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----

  • Comentarios: deben ir precedidos de un carácter # y no deben contener ningún carácter -

  • Saltos de línea: no se permiten líneas en blanco entre los certificados

Especificaciones de certificados compatibles

  • Tipo de certificado: X.509v3

  • Tipos de claves públicas:

    • RSA 2048, RSA 4096

    • ECDSA: secp256r1, secp384r1

  • Algoritmos de firma:

    • SHA256, SHA384, SHA512 con RSA

    • SHA256, SHA384, SHA512 con EC

    • SHA256, SHA384, SHA512 con RSASSA-PSS con MGF1

Ejemplo de formato de paquete de certificados

Varios certificados (codificados en PEM):

# Root CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqiMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----
# Intermediate CA Certificate
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKoK/OvD/XqjMA0GCSqGSIb3DQEBCwUAMEUxCzAJBgNV
BAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEwHwYDVQQKDBhJbnRlcm5ldCBX
aWRnaXRzIFB0eSBMdGQwHhcNMTcwNzEyMTU0NzQ4WhcNMjcwNzEwMTU0NzQ4WjBF
MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTEhMB8GA1UECgwYSW50
ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
CgKCAQEAuuExKvY1xzHFylsHiuowqpmzs7rEcuuylOuEszpFp+BtXh0ZuEtts9LP
-----END CERTIFICATE-----

Creación de un almacén de confianza

Antes de crear un almacén de confianza, debe cargar un paquete de certificados CA en formato PEM en un bucket de Amazon S3. El paquete de certificados debe contener todos los certificados CA raíz e intermedios de confianza necesarios para validar los certificados de los clientes.

El paquete de certificados CA solo se lee una vez desde S3 al crear un almacén de confianza. Si en el futuro se realizan cambios en el paquete de certificados CA, el almacén de confianza tendrá que actualizarse manualmente. No se mantiene ninguna sincronización entre el almacén de confianza y el paquete de certificados CA de S3.

Requisitos previos

  • Un paquete de certificados de la autoridad de certificación (CA) cargado en un bucket de Amazon S3

  • Los permisos necesarios para crear recursos de CloudFront

Creación de un almacén de confianza (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel de navegación izquierdo, elija Almacenes de confianza.

  3. Seleccione Crear almacén de confianza.

  4. En Nombre del almacén de confianza, introduzca un nombre para el almacén de confianza.

  5. En Paquete de autoridad de certificación (CA), ingrese la ruta de Amazon S3 al paquete de certificados CA de formato PEM.

  6. Seleccione Crear almacén de confianza.

Creación de un almacén de confianza (CLI de AWS)

aws cloudfront create-trust-store \
  --name MyTrustStore \
  --certificate-authority-bundle-s3-location Bucket=my-bucket,Key=ca-bundle.pem \
  --tags Items=[{Key=Environment,Value=Production}]

Asociación del almacén de confianza con las distribuciones

Tras crear un almacén de confianza, debe asociarlo a una distribución de CloudFront para habilitar la autenticación TLS mutua.

Requisitos previos

  • Una distribución de CloudFront existente con la política de protocolo de espectador solo HTTPS habilitada y la compatibilidad con HTTP3 desactivada.

Asociación de un almacén de confianza (consola)

Hay dos formas de asociar un almacén de confianza a la consola de CloudFront: a través de la página de detalles del almacén de confianza o a través de la página de configuración de distribución.

Asociación de un almacén de confianza a través de la página de detalles del almacén de confianza:

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel de navegación izquierdo, elija Almacenes de confianza.

  3. Elija el nombre del almacén de confianza que desea asociar.

  4. Elija Asociar a distribución.

  5. Configure las opciones de mTLS de espectador disponibles:

    • Modo de validación del certificado de cliente: elija entre el modo obligatorio y el opcional. En el modo obligatorio, todos los clientes deben presentar los certificados. En el modo opcional, se validan los clientes que presentan certificados, mientras que a los clientes que no los presentan se les permite el acceso.

    • Anuncie los nombres de las autoridades de certificación de los almacenes de confianza: elija si desea anunciar los nombres de las autoridades de certificación del almacén de confianza a los clientes durante el establecimiento de comunicación de TLS.

    • Omita la fecha de caducidad del certificado: elija si desea permitir las conexiones con certificados caducados (se seguirán aplicando otros criterios de validación).

    • Función de conexión: se puede asociar una función de conexión opcional para permitir o denegar las conexiones en función de otros criterios personalizados.

  6. Seleccione una o varias distribuciones para asociarlas al almacén de confianza. Solo las distribuciones con HTTP3 desactivado y con comportamientos de caché exclusivos de HTTPS pueden admitir los mTLS de espectador.

  7. Elija Asociar.

Asociación de un almacén de confianza a través de la página de configuración de distribución:

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. Seleccione la distribución que desea asociar.

  3. En la pestaña General, dentro del contenedor Configuración, elija Editar en la esquina superior derecha.

  4. Desplácese hacia abajo hasta la parte inferior de la página, dentro del contenedor Conectividad, active el interruptor mTLS de espectador.

  5. Configure las opciones de mTLS de espectador disponibles:

    • Modo de validación del certificado de cliente: elija entre el modo obligatorio y el opcional. En el modo obligatorio, todos los clientes deben presentar los certificados. En el modo opcional, se validan los clientes que presentan certificados, mientras que a los clientes que no los presentan se les permite el acceso.

    • Anuncie los nombres de las autoridades de certificación de los almacenes de confianza: elija si desea anunciar los nombres de las autoridades de certificación del almacén de confianza a los clientes durante el establecimiento de comunicación de TLS.

    • Omita la fecha de caducidad del certificado: elija si desea permitir las conexiones con certificados caducados (se seguirán aplicando otros criterios de validación).

    • Función de conexión: se puede asociar una función de conexión opcional para permitir o denegar las conexiones en función de otros criterios personalizados.

  6. Elija Guardar cambios en la esquina inferior derecha.

Asociación de un almacén de confianza (CLI de AWS)

Los almacenes de confianza se pueden asociar a las distribuciones mediante la propiedad DistributionConfig.ViewerMtlsConfig. Esto significa que primero debemos buscar la configuración de distribución y, a continuación, proporcionar ViewerMtlsConfig en una solicitud de UpdateDistribution posterior.

// First fetch the distribution
aws cloudfront get-distribution {DISTRIBUTION_ID}

// Update the distribution config, for example:
Distribution config, file://distConf.json: 
{
  ...other fields,
  ViewerMtlsConfig: {
    Mode: 'required',
    TrustStoreConfig: {
        AdvertiseTrustStoreCaNames: false,
        IgnoreCertificateExpiry: true,
        TrustStoreId: {TRUST_STORE_ID}
    }
  }
}

aws cloudfront update-distribution \
   --id {DISTRIBUTION_ID} \
   --if-match {ETAG} \
   --distribution-config file://distConf.json

Administración de almacenes de confianza

Consulta de los detalles del almacén de confianza

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel de navegación izquierdo, elija Almacenes de confianza.

  3. Elija el nombre del almacén de confianza para ver su página de detalles.

La página de detalles muestra:

  • Nombre e ID del almacén de confianza

  • Número de certificados CA

  • Fecha de creación y fecha de última modificación

  • Distribuciones asociadas

  • Etiquetas

Modificación de un almacén de confianza

Para reemplazar un paquete de certificados CA:

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel de navegación izquierdo, elija Almacenes de confianza.

  3. Elija el nombre del almacén de confianza.

  4. Elija Acciones y, a continuación, Editar.

  5. Para el paquete de autoridades de certificación (CA), ingrese la ubicación de Amazon S3 del archivo PEM del paquete de autoridad de certificación actualizado.

  6. Elija Actualización del almacén de confianza.

Eliminación de un almacén de confianza

Requisitos previos: primero debe desasociar el almacén de confianza de todas las distribuciones de CloudFront.

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudFront en https://console.aws.amazon.com/cloudfront/v4/home.

  2. En el panel de navegación izquierdo, elija Almacenes de confianza.

  3. Elija el nombre del almacén de confianza.

  4. Elija Eliminar almacén de confianza.

  5. Elija Eliminar para confirmar.

Siguientes pasos

Tras crear y asociar el almacén de confianza a una distribución de CloudFront, puede proceder a habilitar la autenticación TLS mutua en la distribución y configurar ajustes adicionales, como el reenvío de los encabezados de los certificados a los orígenes. Para obtener instrucciones detalladas sobre cómo habilitar mTLS en las distribuciones, consulte Habilitación de TLS mutua para las distribuciones de CloudFront.