Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Certificate Manager Validación de DNS
<a name="dns-validation"></a>

El sistema de nombres de dominio (DNS) es un servicio de directorio para los recursos conectados a una red. Su proveedor de DNS mantiene una base de datos que contiene registros que definen el dominio. Cuando elige la validación por DNS, ACM proporciona uno o varios registros CNAME que deben agregarse a esta base de datos. Estos registros contienen un par de valor de clave único que sirve como prueba de que usted controla el dominio.

**nota**  
Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS. Para utilizar la validación de DNS, elimine el certificado y luego cree otro nuevo que utilice la validación de DNS.

Por ejemplo, si solicita un certificado para el dominio `example.com` con `www.example.com` como nombre adicional, ACM crea dos registros CNAME. Cada registro, creado específicamente para el dominio y la cuenta, contiene un nombre y un valor. El valor es un alias que apunta a un AWS dominio que ACM utiliza para renovar automáticamente el certificado. Los registros CNAME se deben agregar a la base de datos de DNS una sola vez. ACM renueva automáticamente el certificado, siempre y cuando esté en uso y el registro CNAME siga existiendo. 

**importante**  
Si no utiliza Amazon Route 53 para administrar los registros de DNS públicos, contacte a su proveedor de DNS para saber cómo agregar registros. Si no tiene autoridad para editar la base de datos de DNS del dominio, debe utilizar la [validación por correo electrónico](email-validation.md).

Sin necesidad de repetir la validación, puede solicitar certificados de ACM adicionales para el nombre de dominio completo (FQDN) mientras el registro CNAME siga existiendo. Es decir, puede crear certificados de reemplazo que tengan el mismo nombre de dominio o certificados que cubran diferentes subdominios. Como el token de validación CNAME funciona en cualquier AWS región, puedes volver a crear el mismo certificado en varias regiones. También puede reemplazar un certificado eliminado. 

Para detener la renovación automática, puede eliminar el certificado del servicio de AWS con el que está asociado o eliminar el registro CNAME. Si Route 53 no es su proveedor de DNS, contacte a su proveedor para saber cómo eliminar un registro. Si Route 53 es su proveedor, consulte [Eliminación de conjuntos de registro de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) en la *Guía del desarrollador de Route 53*. Para obtener más información sobre la renovación de certificados administrados, consulte [Renovación de certificados gestionada en AWS Certificate Manager](managed-renewal.md). 

**nota**  
La resolución de CNAME fallará si hay más de cinco CNAMEs encadenados en tu configuración de DNS. Si necesita un encadenamiento más largo, recomendamos utilizar la [validación por correo electrónico](email-validation.md).

## Cómo funcionan los registros CNAME de ACM
<a name="cnames-overview"></a>

**nota**  
Esta sección es para los clientes que no utilizan Route 53 como su proveedor de DNS.

Si no utiliza Route 53 como proveedor de DNS, debe introducir de forma manual los registros CNAME proporcionados por ACM en la base de datos del proveedor, normalmente a través de un sitio web. Los registros CNAME se utilizan para una serie de propósitos, incluidos los mecanismos de redirección y contenedores para metadatos específicos del proveedor. En el caso de ACM, estos registros permiten la validación inicial de la propiedad del dominio y la renovación automática de certificados en curso. 

En la siguiente tabla, se muestran ejemplos de registros CNAME para seis nombres de dominio. Cada par de **Nombre**-**Valor** del registro sirve para autenticar la propiedad del nombre de dominio. 

En la tabla, tenga en cuenta que los dos primeros pares de **Nombre**-**Valor del registro** son iguales. Esto ilustra que, para un dominio comodín, como `*.example.com`, las cadenas creadas por ACM son las mismas que las creadas para su dominio base, `example.com`. De lo contrario, el par de **Nombre** y **Valor** difiere para cada nombre de dominio.


**Registros CNAME de ejemplo**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/acm/latest/userguide/dns-validation.html)

Los *xN* valores que siguen al guión bajo (\$1) son cadenas largas generadas por ACM. Por ejemplo: 

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

es representativo de un **Nombre de registro** generado. El **Valor de registro** asociado podría ser

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

para el mismo registro.

**nota**  
Si su proveedor de DNS no admite valores de CNAME con caracteres de guion bajo iniciales, consulte [Solución de problemas de validación con DNS](troubleshooting-DNS-validation.md).

Cuando solicita un certificado y especifica la validación por DNS, ACM proporciona información CNAME en el siguiente formato:


****  

| Nombre del dominio | Nombre del registro | Tipo del registro | Valor del registro | 
| --- | --- | --- | --- | 
| example.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws.  | 

El *Nombre del dominio* es el FQDN asociado al certificado. El *Nombre del registro* identifica el registro de forma única y sirve como la clave del par de valor de clave. El *Valor del registro* sirve como el valor del par de valor de clave. 

Estos tres valores (*Nombre de dominio*, *Nombre de registro* y *Valor de registro*) deben ingresarse en los campos apropiados de la interfaz web del proveedor de DNS para agregar registros de DNS. Los proveedores no manejan del mismo modo el campo de nombre de registro (o simplemente “nombre”). En algunos casos, se espera que proporcione toda la cadena como se muestra arriba. Otros proveedores agregan automáticamente el nombre de dominio a cualquier cadena que ingrese, lo que significa (en este ejemplo) que solo debe ingresar

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

en el campo de nombre. Si la entrada es incorrecta e ingresa un nombre de registro que contiene un nombre de dominio (como *`.example.com`*), es posible que el resultado sea el siguiente:

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

La validación fallará en este caso. Por eso, debe intentar determinar de antemano qué tipo de entrada espera su proveedor.

## Configuración de la validación por DNS
<a name="setting-up-dns-validation"></a>

En esta sección se describe cómo configurar un certificado público para usar la validación de DNS.<a name="dns-validation-console"></a>

**Para configurar la validación por DNS en la consola**
**nota**  
Este procedimiento supone que ya ha creado al menos un certificado y que trabaja en la AWS región en la que lo creó. Si intenta abrir la consola y ve la pantalla de primer uso, o si logra abrir la consola y no ve el certificado en la lista, compruebe que ha especificado la región correcta.

1. Abra la consola ACM en [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. En la lista de certificados, elija la **ID de certificado** de un certificado con estado **Pending validation (Pendiente de validación)** que desea configurar. Se abre una página de detalles del certificado.

1. En la sección **Domains (Dominios)**, realice uno de los dos procedimientos siguientes:

   1. (Opcional) Validar con Route 53.

      Aparece el botón **Create records in Route 53 (Crear registros en Route 53)** si se cumplen las siguientes condiciones:
      + Utiliza Route 53 como el proveedor de DNS.
      + Tiene permiso para escribir en la zona alojada por Route 53.
      + Su FQDN aún *no* se ha validado.
**nota**  
Si utiliza Route 53, pero no se encuentra la opción **Create records in Route 53** (Crear registro en Route 53) o está desactivado, consulte [La consola de ACM no muestra el botón “Crear registro en Route 53”](troubleshooting-DNS-validation.md#troubleshooting-route53-1). 

      Seleccione **Create records in Route 53** (Crear registros en Route 53) y, a continuación, elija **Create records** (Crear registros). La página **Certificate status (Estado del certificado)** debería abrirse con un informe de banner de estado **Successfully created DNS records (Registros DNS creados correctamente)**.

      El nuevo certificado podría continuar mostrando un estado de **Pending validation (Validación pendiente)** durante un máximo de 30 minutos.
**sugerencia**  
No puede solicitar mediante programación que ACM cree automáticamente su registro en Route 53. Sin embargo, puede realizar una AWS CLI llamada a la API de Route 53 para crear el registro en la base de datos DNS de Route 53. Para obtener más información sobre los conjuntos de registros de Route 53, consulte [Trabajar con conjuntos de registros de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).

   1. (Opcional) Si no utiliza Route 53 como proveedor de DNS, debe recuperar la información CNAME y agregarla a la base de datos de DNS. En la página de detalles del nuevo certificado, puede hacer esto de una de estas dos formas:
      + Copie los componentes CNAME que se muestran en la sección **Domains (Dominios)**. Esta información aún debe agregarse manualmente a la base de datos de DNS.
      + También puede elegir **Export to CSV (Exportar a CSV**. La información del archivo resultante se debe agregar manualmente a la base de datos de DNS.
**importante**  
Para evitar problemas de validación, revise [Cómo funcionan los registros CNAME de ACM](#cnames-overview) antes de agregar información a la base de datos de su proveedor de DNS. Si surgen problemas, consulte [Solución de problemas en la validación por DNS](troubleshooting-DNS-validation.md). 

Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momento en que genera un valor de CNAME por usted, ACM cambia el estado del certificado a **Validation timed out (Tiempo de espera de validación agotado)**. La razón más probable de este resultado es que no actualizó con éxito la configuración de DNS con el valor que ACM generó. Para solucionar este problema, debe solicitar un certificado nuevo después de revisar las instrucciones CNAME.