Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Certificate Manager certificados públicos
<a name="gs-acm-request-public"></a>

Después de solicitar un certificado público, debe validar la propiedad del dominio, como se explica en [Validar la propiedad del dominio para los certificados AWS Certificate Manager públicos](domain-ownership-validation.md).

Los certificados de ACM privados siguen el estándar X.509 y están sujetos a las siguientes restricciones: 
+ **Nombres:** se deben utilizar nombres de asunto que cumplan con el DNS. Para obtener más información, consulte [Nombres de dominio](acm-concepts.md#concept-dn).
+ **Algoritmo:** para el cifrado, el algoritmo de clave privada del certificado debe ser RSA de 2048 bits, ECDSA de 256 bits o ECDSA de 384 bits.
+ **Expiración:** cada certificado tiene una validez de 198 días.
+ **Renovación:** ACM intenta renovar un certificado público automáticamente 45 días antes de su caducidad. 

**nota**  
Los certificados de ACM públicos se pueden instalar en instancias de Amazon EC2 conectadas a un [Nitro Enclave](acm-services.md#acm-nitro-enclave). Además, puede [exportar un certificado público](export-public-certificate.md) para usarlo en cualquier instancia de Amazon EC2. Para obtener información sobre la configuración de un servidor web independiente en una instancia de Amazon EC2 no conectada a un Nitro Enclave, consulte [Tutorial: Install a LAMP web server on Amazon Linux 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html) o [Tutorial: Install a LAMP web server with the Amazon Linux AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html).

Los administradores pueden utilizar las [Políticas de clave condicional](https://docs.aws.amazon.com/acm/latest/userguide/acm-conditions.html) de ACM para controlar la forma en que los usuarios finales emiten certificados nuevos. Estas claves condicionales permiten imponer restricciones a los dominios, los métodos de validación y los demás atributos relacionados con una solicitud de certificado. Si tiene problemas al solicitar un certificado, consulte [Solución de problemas de solicitudes de certificados](troubleshooting-cert-requests.md).

Para solicitar un certificado para una PKI privada mediante una PKI Autoridad de certificación privada de AWS, consulte. [Solicite un certificado privado en AWS Certificate ManagerSolicitud de un certificado privado](gs-acm-request-private.md) 

**Topics**
+ [

# AWS Certificate Manager características y limitaciones de los certificados públicos
](acm-certificate-characteristics.md)
+ [

# Solicita un certificado público en AWS Certificate Manager
](acm-public-certificates.md)
+ [

# AWS Certificate Manager certificados públicos exportables
](acm-exportable-certificates.md)
+ [

# Validar la propiedad del dominio para los certificados AWS Certificate Manager públicos
](domain-ownership-validation.md)

# AWS Certificate Manager características y limitaciones de los certificados públicos
<a name="acm-certificate-characteristics"></a>

Los certificados públicos proporcionados por ACM tienen las siguientes características y limitaciones. Estas se aplican solo a los certificados proporcionados por ACM. Es posible que no sean de aplicación a los [certificados importados](import-certificate.md).

**Confianza en el navegador y la aplicación**  <a name="trust-term"></a>
Los certificados de ACM son de confianza para la mayoría de los principales navegadores, como Google Chrome, Microsoft Edge, Mozilla Firefox y Apple Safari. Los navegadores muestran un icono de candado cuando se conectan mediante TLS a sitios que utilizan certificados de ACM. Java también confía en los certificados de ACM.

**Autoridad de certificación y jerarquía**  <a name="authority-term"></a>
Los certificados públicos que se solicitan a través de ACM se obtienen de [Amazon Trust Services](https://www.amazontrust.com/repository/), una [autoridad de certificación (CA)](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) pública administrada por Amazon. La autoridad certificadora raíz G2 de Starfield (G2) firma de forma cruzada entre Amazon Root CAs 1 y 4. La raíz Starfield es de confianza en Android (versiones posteriores a Gingerbread) e iOS (versión 4.1\$1). Las raíces de Amazon son de confianza en iOS 11\$1. Los navegadores, las aplicaciones o las raíces OSes de Amazon o Starfield confiarán en los certificados públicos de ACM.  
ACM emite certificados guía o de entidad final a los clientes mediante certificados intermedios CAs, que se asignan aleatoriamente en función del tipo de certificado (RSA o ECDSA). ACM no proporciona información de CA intermedia debido a esta selección aleatoria.

**Validación de dominio (DV)**  <a name="domain-validation-term"></a>
Los certificados de ACM son validados por dominio e identifican solo un nombre de dominio. Al solicitar un certificado ACM, debe demostrar la propiedad o el control de todos los dominios especificados. Puede validar la titularidad a través del correo electrónico o DNS. Para obtener más información, consulte [AWS Certificate Manager validación del correo electrónico](email-validation.md) y [AWS Certificate Manager Validación de DNSValidación por DNS](dns-validation.md).

**Validación HTTP**  <a name="http-validation-term"></a>
ACM admite la validación HTTP para verificar la propiedad del dominio al emitir certificados TLS públicos para su uso con. CloudFront Este método utiliza redirecciones HTTP para demostrar la propiedad del dominio y ofrece una renovación automática similar a la validación por DNS. Actualmente, la validación HTTP solo está disponible a través de la función CloudFront Distribution Tenants.

**Redirección HTTP**  <a name="http-redirect-term"></a>
Para la validación de HTTP, ACM proporciona una URL `RedirectFrom` y una URL `RedirectTo`. Debe configurar una redirección desde `RedirectFrom` a `RedirectTo` para demostrar el control del dominio. La `RedirectFrom` URL incluye el dominio validado y `RedirectTo` apunta a una ubicación controlada por ACM en la CloudFront infraestructura que contiene un token de validación único.

**Administrado por**  <a name="managed-by-term"></a>
Certificados de ACM administrados por otro servicio que muestran la identidad de ese servicio en el campo `ManagedBy`. En el caso de los certificados que utilizan la validación HTTP con CloudFront, este campo muestra «CLOUDFRONT». Estos certificados solo se pueden utilizar a través de CloudFront. El `ManagedBy` campo aparece en las páginas **DescribeCertificate** y y **ListCertificates** APIs en las páginas de inventario y detalles de los certificados de la consola ACM.  
El campo `ManagedBy` se excluye mutuamente con el atributo “Se puede usar con”. En el CloudFront caso de los certificados gestionados, no puede añadir nuevos usos a través de otros servicios. AWS Solo puedes usar estos certificados con más recursos a través de la CloudFront API.

**Rotación de CA intermedia y raíz**  <a name="rotation-term"></a>
A fin de mantener una infraestructura de certificados resiliente, Amazon puede suspender una CA intermedia sin previo aviso. Estos cambios no afectarán a los clientes. Para obtener más información, consulte [“Amazon presenta las entidades de certificación intermedias dinámicas”](https://aws.amazon.com/blogs/security/amazon-introduces-dynamic-intermediate-certificate-authorities/).  
Si Amazon suspende una CA raíz, el cambio se producirá tan pronto como sea necesario. Amazon utilizará todos los métodos disponibles para notificar a AWS los clientes, incluidos el Panel de estado correo electrónico y la comunicación con los administradores técnicos de cuentas.

**Acceso al firewall para la revocación**  <a name="revocation-term"></a>
Los certificados de entidad final revocados utilizan el OCSP CRLs para verificar y publicar la información de revocación. Es posible que los firewalls de algunos clientes necesiten reglas adicionales para permitir el funcionamiento de estos mecanismos.  
Utilice estos patrones de URL con caracteres comodín para identificar el tráfico de revocación:  
+ **OCSP**

  `http://ocsp.?????.amazontrust.com`

  `http://ocsp.*.amazontrust.com`
+ **CRL**

  `http://crl.?????.amazontrust.com/?????.crl`

  `http://crl.*.amazontrust.com/*.crl`
Un asterisco (\$1) representa uno o varios caracteres alfanuméricos, un signo de interrogación de cierre (?) representa un único carácter alfanumérico, y una almohadilla (\$1) representa un número.

**Algoritmos de clave**  <a name="algorithms-term"></a>
Los certificados deben especificar un algoritmo y un tamaño de clave. ACM es compatible con los siguientes algoritmos de clave pública de RSA y ECDSA:  
+ RSA de 1024 bits (`RSA_1024`)
+ RSA de 2048 bits (`RSA_2048`)\$1
+ RSA de 3072 bits (`RSA_3072`)
+ RSA de 4096 bits (`RSA_4096`)
+ ECDSA de 256 bits (`EC_prime256v1`)\$1
+ ECDSA de 384 bits (`EC_secp384r1`)\$1
+ ECDSA de 521 bits (`EC_secp521r1`)
ACM puede solicitar nuevos certificados a través de algoritmos marcados con un asterisco (\$1). Los algoritmos solo son compatibles con los certificados [importados](import-certificate.md).  
En el caso de los certificados PKI privados firmados por una AWS Private CA CA, la familia de algoritmos de firma (RSA o ECDSA) debe coincidir con la familia de algoritmos de clave secreta de la CA.
Las claves ECDSA son más pequeñas y eficientes desde el punto de vista computacional que las claves RSA de seguridad comparable, pero no todos los clientes de red admiten ECDSA. En esta tabla, adaptada del [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-57pt1r5.pdf), se comparan los tamaños de las claves RSA y ECDSA (en bits) para determinar los niveles de seguridad equivalentes:    
**Comparación de la seguridad de algoritmos y claves**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/acm/latest/userguide/acm-certificate-characteristics.html)
El nivel de seguridad, como una potencia de 2, está relacionado con la cantidad de intentos necesarios para romper el cifrado. Por ejemplo, se pueden recuperar tanto una clave RSA de 3072 bits como una clave ECDSA de 256 bits sin más de 2128 intentos.  
Si necesita ayuda para elegir un algoritmo, consulte la entrada del AWS blog [Cómo evaluar y utilizar los certificados ECDSA en](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager  
Los [servicios integrados](https://docs.aws.amazon.com/acm/latest/userguide/acm-services.html) solo permiten los algoritmos y tamaños de clave compatibles para sus recursos. La compatibilidad varía según si el certificado se importa a IAM o ACM. Para conocer detalles, consulte la documentación de cada servicio:  
+ Para Elastic Load Balancing, consulte [Agentes de escucha de HTTPS para su Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html).
+ Para ver CloudFront, consulte [ SSL/TLS Protocolos y cifrados compatibles](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/secure-connections-supported-viewer-protocols-ciphers.html).

**Renovación e implementación gestionadas**  <a name="renewal-term"></a>
ACM administra la renovación y el aprovisionamiento de certificados de ACM. La renovación automática permite evitar el tiempo de inactividad debido a certificados configurados incorrectamente, revocados o expirados. Para obtener más información, consulte [Renovación de certificados gestionada en AWS Certificate Manager](managed-renewal.md).

**Múltiples nombres de dominio**  <a name="multiple-domains-term"></a>
Cada certificado de ACM debe incluir al menos un nombre de dominio completo (FQDN), al igual que nombres adicionales. Por ejemplo, un certificado para `www.example.com` también puede incluir `www.example.net`. Esto también se aplica a los dominios raíz (dominios de vértice de zona o sin prefijo). Puede solicitar un certificado para www.example.com e incluir example.com. Para obtener más información, consulte [AWS Certificate Manager certificados públicos](gs-acm-request-public.md).

**Punycode**  <a name="punycode-term"></a>
Se deben cumplir los siguientes requisitos de [Punycode](https://datatracker.ietf.org/doc/html/rfc3492) de los [Nombres de dominio internacionalizados](https://www.icann.org/resources/pages/idn-2012-02-25-en):  

1. Los nombres de dominio que empiecen con el patrón “<character><character>--” deben coincidir con “xn--”.

1. Los nombres de dominio que empiecen con “xn--” también deben ser nombres de dominio internacionalizados válidos.  
**Ejemplos de Punycode**    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/acm/latest/userguide/acm-certificate-characteristics.html)

**Periodo de validez**  <a name="validity-term"></a>
Los certificados ACM tienen una validez de 198 días.

**Nombres comodín**  <a name="wildcard-term"></a>
ACM permite utilizar un asterisco (\$1) en el nombre de dominio para crear un certificado de comodín que pueda proteger varios sitios en el mismo dominio. Por ejemplo, `*.example.com` protege `www.example.com` e `images.example.com`.  
En un certificado de comodín, el asterisco (`*`) debe estar en la posición más a la izquierda del nombre de dominio y proteger un nivel de subdominio. Por ejemplo, `*.example.com` protege a `login.example.com` y `test.example.com`, pero no a `test.login.example.com`. Además, `*.example.com` *solo* protege los subdominios, pero no al dominio raíz o ápex (`example.com`). Puede solicitar un certificado para un dominio raíz o para sus subdominios especificando varios nombres de dominio, como `example.com` y `*.example.com`.  
Si los usa CloudFront, tenga en cuenta que la validación HTTP no admite los certificados comodín. En el caso de los certificados comodín, debe utilizar la validación por DNS o correo electrónico. Recomendamos la validación por DNS, ya que admite la renovación automática de los certificados.

# Solicita un certificado público en AWS Certificate Manager
<a name="acm-public-certificates"></a>

Puede solicitar certificados AWS Certificate Manager públicos desde la consola o la API de AWS CLI ACM. Puede usar estos certificados integrados Servicios de AWS o exportarlos para usarlos fuera de Nube de AWS ellos.

La siguiente lista describe las diferencias entre los certificados públicos y los certificados públicos exportables.

**Certificados públicos**  
Utilice certificados públicos de ACM con componentes integrados Servicios de AWS como Elastic Load Balancing CloudFront, Amazon y Amazon API Gateway. Para obtener más información, consulte [Servicios integrados con ACM](acm-services.md).  
No se pueden exportar los certificados públicos de ACM creados antes del 17 de junio de 2025.

**Certificados públicos exportables**  
Los certificados públicos exportables funcionan con certificados integrados Servicios de AWS y también se pueden utilizar de forma externa. Nube de AWS Para obtener más información, consulte [AWS Certificate Manager certificados públicos exportables](acm-exportable-certificates.md) y [Servicios integrados con ACM](acm-services.md). Debe crear un nuevo certificado público de ACM y habilitar la opción de exportación para poder exportar el certificado público. 

Las siguientes secciones analizan el procedimiento para solicitar, exportar y revocar un certificado público de ACM.

**Topics**
+ [

## Solicitar un certificado público mediante la consola
](#request-public-console)
+ [

## Solicitar un certificado público mediante la CLI
](#request-public-cli)

## Solicitar un certificado público mediante la consola
<a name="request-public-console"></a>

**Para solicitar un certificado público de ACM (consola)**

1. [Inicie sesión en la consola AWS de administración y abra la consola ACM en https://console.aws.amazon.com/acm/ casa.](https://console.aws.amazon.com/acm/home)

   Elija **Request a certificate (Solicitar un certificado)**.

1. En la sección **Domain names (Nombres de dominio)** escriba el nombre de dominio. 

   Puede utilizar un nombre de dominio completo (FQDN), tal como **www.example.com**, o un nombre de dominio desnudo o ápex, tal como **example.com**. También puede utilizar un asterisco (**\$1**) como comodín en la posición más a la izquierda para proteger varios nombres de sitio del mismo dominio. Por ejemplo, **\$1.example.com** protege a **corp.example.com** y a **images.example.com**. El nombre comodín aparecerá en el campo **Subject (Sujeto)** y en la extensión **Subject Alternative Name (Nombre alternativo de sujeto)** del certificado de ACM. 

   Cuando solicita un certificado de comodín, el asterisco (**\$1**) debe encontrarse en la posición más a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Por ejemplo, **\$1.example.com** puede proteger a **login.example.com** y a **test.example.com**, pero no puede proteger a **test.login.example.com**. Tenga en cuenta también que **\$1.example.com** *solo* protege los subdominios de **example.com**. No protege el dominio desnudo o ápex (**example.com**). Para proteger ambos, consulte el siguiente paso.
**nota**  
En conformidad con [RFC 5280](https://datatracker.ietf.org/doc/html/rfc5280), la longitud del nombre de dominio (técnicamente, el nombre común) que ingrese en este paso no puede superar los 64 octetos (caracteres), incluidos los puntos. Cada nombre alternativo de sujeto (SAN) posterior que proporcione, como en el siguiente paso, puede tener una longitud de hasta 253 octetos. 

   1. Para agregar otro nombre, elija **Add another name to this certificate (Agregar otro nombre a este certificado)** y escriba el nombre en el cuadro de texto. Esto resulta útil para proteger tanto los dominios desnudos como los ápex (por ejemplo, **example.com**) y sus subdominios (por ejemplo, **\$1.example.com**).

1. Si desea crear un certificado público exportable mediante ACM, seleccione la opción **Enable export** (Habilitar exportación). Podrá acceder a las claves privadas del certificado y utilizarlas fuera de Nube de AWS. Para obtener más información, consulte [AWS Certificate Manager certificados públicos exportables](acm-exportable-certificates.md).

1. En la sección **Validation method (Método de validación)** elija **DNS validation (Validación DNS)** (opción recomendada) o **Email validation (Validación por correo electrónico)**, según sus necesidades.
**nota**  
Si no puede editar su configuración de DNS, recomendamos que utilice la validación de dominios de DNS en lugar de la validación por correo electrónico. La validación por DNS presenta varios beneficios con respecto a la validación por correo electrónico. Consulte [AWS Certificate Manager Validación de DNSValidación por DNS](dns-validation.md). 

   Antes de que ACM emita un certificado, valida que usted es el propietario o controla los nombres de dominio incluidos en la solicitud de certificado. Puede utilizar la validación por correo electrónico o la validación por DNS. 

   1. Si selecciona la validación por correo electrónico, ACM envía el correo electrónico de validación al dominio que especifique en el campo del nombre de dominio. Si especifica un dominio de validación, ACM envía el correo electrónico a ese dominio de validación. Para obtener más información sobre la validación por correo electrónico, consulte [AWS Certificate Manager validación del correo electrónico](email-validation.md).

   1. Si utiliza la validación por DNS, solo tiene que agregar un registro CNAME proporcionado por ACM en la configuración de DNS. Para obtener más información sobre la validación por DNS, consulte [AWS Certificate Manager Validación de DNSValidación por DNS](dns-validation.md).

1. En la sección **Key algorithm** (Algoritmo de clave), seleccione un algoritmo.

1. En la página **Tags (Etiquetas)**, puede etiquetar el certificado si así lo desea. Las etiquetas son pares clave-valor que sirven como metadatos para identificar y organizar los recursos. AWS Para obtener una lista de los parámetros de etiquetas de ACM e instrucciones sobre cómo agregar etiquetas a los certificados después de su creación, consulte [Etiquetar AWS Certificate Manager recursos](tags.md). 

   Cuando termine de agregar etiquetas, elija **Request (Solicitar)**.

1. Una vez procesada la solicitud, la consola regresa a la lista de certificados, donde se muestra la información sobre el nuevo certificado.

   Un certificado recibe el estado **Pending validation** (Validación pendiente) al solicitarse, a menos que falle por alguno de los motivos expuestos en el tema de solución de problemas [Error en la solicitud de certificado](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-cert-requests.html#troubleshooting-failed). ACM intenta repetidamente validar un certificado durante 72 horas y, a continuación, se agota el tiempo de espera. Si un certificado muestra el estado **Failed** (Error) o **Validation timed out** (Tiempo de espera de validación agotado), elimine la solicitud, corrija el problema con [DNS validation](https://docs.aws.amazon.com/acm/latest/userguide/dns-validation.html) (Validación por DNS) o [Email validation](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html) (Validación por correo electrónico) e inténtelo de nuevo. Si se supera la validación, el certificado recibe el estado **Issued** (Emitido). 
**nota**  
Según cómo haya ordenado la lista, es posible que un certificado que esté buscando no esté visible de inmediato. Puede hacer clic en el triángulo negro de la derecha para cambiar el orden. También puede explorar diferentes páginas de certificados utilizando los números de página de la parte superior derecha.

## Solicitar un certificado público mediante la CLI
<a name="request-public-cli"></a>

Utilice el comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para solicitar un nuevo certificado público de ACM en la línea de comandos. Los valores opcionales del método de validación son DNS y EMAIL (Correo electrónico). Los valores opcionales del algoritmo clave son RSA\$12048 (el predeterminado si el parámetro no se proporciona explícitamente), EC\$1prime256v1 y EC\$1secp384r1.

```
aws acm request-certificate \
--domain-name www.example.com \
--key-algorithm EC_Prime256v1 \
--validation-method DNS \
--idempotency-token 1234 \
--options CertificateTransparencyLoggingPreference=DISABLED,Export=ENABLED
```

Este comando devuelve el nombre de recurso de Amazon (ARN) del nuevo certificado público.

```
{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```

# AWS Certificate Manager certificados públicos exportables
<a name="acm-exportable-certificates"></a>

AWS Certificate Manager los certificados públicos exportables le permiten aprovisionar, gestionar e implementar certificados [SSL/TLS en cualquier lugar, incluidas las instancias de Amazon EC2, los](acm-concepts.md#concept-sslcert) contenedores y los hosts locales. Esta función amplía los certificados públicos emitidos por ACM para que no estén integrados Servicios de AWS, lo que le proporciona un control centralizado de los certificados en toda su infraestructura.

## Ventajas
<a name="acm-exportable-certificates-benefits"></a>

Las ventajas de los certificados públicos exportables de ACM son las siguientes:
+ *Administración de certificados simplificada*: administre de forma centralizada los certificados de todos sus recursos con ACM.
+ *Emisión de certificados más rápida*: acceda a los certificados y utilícelos en menos tiempo.
+ *Renovaciones automatizadas*: ACM gestiona automáticamente las renovaciones de certificados y notifica cuando hay nuevos listos para su implementación. Para obtener más información, consulte [EventBridge Soporte de Amazon para ACM](supported-events.md).
+ *Rentable*: pague únicamente por los certificados públicos exportables que usted cree.
+ *Implementación flexible*: utilice los certificados con cualquier servidor o aplicación que sea compatible con los [certificados SSL/TLS](acm-concepts.md#concept-sslcert) estándar.

## Cómo funcionan los certificados públicos exportables de ACM
<a name="acm-exportable-certificates-how-it-works"></a>

Las funcionalidades de los certificados públicos exportables de ACM son las siguientes:

1. Solicita un certificado exportable mediante ACM para el dominio.

1. Valida la propiedad del dominio mediante una validación de DNS o correo electrónico.

1. Exporta el certificado, la clave privada y la cadena de certificado.

1. Implementa el certificado en el servidor o aplicación.

1. ACM administra las renovaciones y envía notificaciones cuando hay nuevos certificados disponibles.

## Consideraciones de seguridad
<a name="acm-exportable-certificates-security"></a>

A continuación, se muestran las consideraciones de seguridad al utilizar certificados públicos exportables de ACM. Para obtener más información, consulte [Protección de datos en AWS Certificate Manager](data-protection.md).
+ Proteja las claves privadas exportadas mediante controles de acceso y almacenamiento seguros.
+ Utilice la característica de revocación de ACM si sospecha que la clave ha sido comprometida.
+ Implemente los procedimientos de rotación de claves adecuados al implementar certificados renovados.

## Limitaciones
<a name="acm-exportable-certificates-limitations"></a>

Algunas limitaciones del certificado de ACM son las siguientes:
+ Los certificados tienen un período de validez de 198 días.
+ ACM renueva los certificados que caducan 45 días antes de su fecha de caducidad.
+ Debe administrar el proceso de implementación de los certificados exportados.

## Precios
<a name="acm-exportable-certificates-pricing"></a>

Los SSL/TLS certificados públicos exportables con los que los cree están sujetos a un cargo adicional. AWS Certificate Manager Para obtener la información más reciente sobre los precios de ACM, consulte la página de [precios AWS Certificate Manager de los servicios](https://aws.amazon.com//certificate-manager/pricing/) en el AWS sitio web.

## Prácticas recomendadas
<a name="acm-exportable-certificates-best-practices"></a>

Algunas de las prácticas recomendadas a la hora de utilizar certificados de ACM son las siguientes:
+ Tras la renovación de un certificado, debe empezar a usarlo inmediatamente.
+ Pruebe e implemente procesos de implementación automatizados para los certificados renovados.
+ Supervisa las implementaciones de certificados mediante [ EventBridge métricas y alarmas de Amazon](supported-events.md).

# Exporte un certificado AWS Certificate Manager público
<a name="export-public-certificate"></a>

Los siguientes procedimientos explican cómo exportar un certificado público de ACM en la consola de ACM. Como alternativa, puede utilizar la acción [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/export-certificate.html) AWS CLI o de la [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)API.

**nota**  
No se pueden exportar los certificados públicos de ACM creados antes del 17 de junio de 2025.

## Exportación de un certificado público (consola)
<a name="console-procedures"></a>

1. Inicie sesión en la consola ACM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. En **List certificates** (Mostrar certificados), seleccione la casilla del certificado que desee exportar.

   1. Como opción, puede seleccionar el certificado. En la página de detalles del certificado, seleccione **Export** (Exportar).

1. Seleccione **More actions** (Más acciones) y luego **Export** (Exportar).

1. Escriba y confirme una frase de contraseña para la clave privada.

1. Puede descargar o copiar los archivos del certificado.
**nota**  
En la consola ACM, puede exportar archivos de certificado .pem. Puede convertir el archivo .pem a otro formato de archivo, como .ppk. Para obtener más información, consulte este [artículo re:Post](https://repost.aws/knowledge-center/ec2-ppk-pem-conversion). 

## Exportación de un certificado público (AWS CLI)
<a name="cli-procedures"></a>

Utilice el [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI comando o la acción de la [ExportCertificate](https://docs.aws.amazon.com//acm/latest/APIReference/API_ExportCertificate.html)API para exportar un certificado público y una clave privada. Debe asignar una frase de contraseña cuando ejecuta el comando. Para una mayor seguridad, utilice un editor de archivos para almacenar su frase de contraseña en un archivo y, a continuación, proporcione la frase de contraseña suministrando el archivo. Esto impide que la frase de contraseña se almacene en el historial de comandos y que otras personas la vean mientras la escribe.

**nota**  
El archivo que contiene la frase de contraseña no debe concluir con un terminador de línea. Puede verificar su archivo de contraseña de esta manera:

```
$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators
```

Los siguientes ejemplos canalizan la salida del comando en `jq` para aplicar el formato PEM.

```
[Windows/Linux]$ aws acm export-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
    --passphrase fileb://path-to-passphrase-file  \
    | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
```

Genera un certificado en formato PEM codificado en Base64 que también contiene una cadena de certificados y una clave privada cifrada, como se muestra en el siguiente ejemplo abreviado.

```
-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----
```

Para generar todo en un archivo, agregue la redirección `>` al ejemplo anterior para producir el siguiente comando: 

```
$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt
```

# Proteja las cargas de trabajo de Kubernetes con certificados ACM
<a name="exportable-certificates-kubernetes"></a>

Puede usar certificados públicos AWS Certificate Manager exportables con AWS Controllers for Kubernetes (ACK) para emitir y exportar certificados TLS públicos desde ACM a sus cargas de trabajo de Kubernetes. Esta integración le permite proteger los pods de Amazon Elastic Kubernetes Service (Amazon EKS) y cancelar el TLS en su entrada de Kubernetes. [Para empezar, consulte el ACM Controller para Kubernetes en.](https://github.com/aws-controllers-k8s/acm-controller) GitHub

AWS Controllers for Kubernetes (ACK) amplía la API de Kubernetes para gestionar los recursos mediante manifiestos nativos de Kubernetes. AWS El controlador de servicios ACK para ACM proporciona una gestión automatizada del ciclo de vida de los certificados dentro del flujo de trabajo de Kubernetes. Al crear un recurso de certificado ACM en Kubernetes, el controlador ACK realiza las siguientes acciones:

1. Solicita un certificado a ACM, que genera la solicitud de firma de certificado (CSR).

1. Espera a que se complete la validación del dominio y a que ACM emita el certificado.

1. Si se especifica el `exportTo` campo, exporta el certificado emitido y la clave privada y los almacena en el Kubernetes Secret especificado.

1. Si se especifica el `exportTo` campo y el certificado puede renovarse, actualiza el secreto de Kubernetes con los certificados renovados antes de que caduquen.

Los certificados emitidos públicamente requieren la [validación del dominio](https://docs.aws.amazon.com//acm/latest/userguide/dns-validation.html) antes de que ACM pueda emitirlos. Puede usar el [controlador de servicio ACK para Amazon Route 53](https://github.com/aws-controllers-k8s/route53-controller) para crear automáticamente los registros CNAME de validación de DNS necesarios en la zona alojada.

## Opciones de uso de certificados
<a name="kubernetes-ack-certificate-usage"></a>

Puedes usar los certificados ACM con Kubernetes de varias maneras:

![\[alt text not found\]](http://docs.aws.amazon.com/es_es/acm/latest/userguide/images/kubernetes-acm.png)


1. *Terminación del balanceador de carga (sin exportación)*: emita certificados a través de ACK y utilícelos para terminar el TLS en un balanceador de carga. AWS El certificado permanece en ACM y el controlador del [AWS Load Balancer](https://kubernetes-sigs.github.io/aws-load-balancer-controller/v2.1/guide/ingress/cert_discovery/) lo detecta automáticamente. Este enfoque no requiere la exportación del certificado.

1. *Terminación de ingreso (con exportación)*: exporte los certificados de ACM y guárdelos en Kubernetes Secrets para su terminación mediante TLS a nivel de ingreso. Esto le permite usar los certificados directamente en sus cargas de trabajo de Kubernetes.

**nota**  
Para ver los casos de uso que requieren certificados privados, consulte [AWS Private CA Connector for Kubernetes](https://docs.aws.amazon.com//privateca/latest/userguide/PcaKubernetes-concepts.html), un complemento de administración de certificados.

## Requisitos previos
<a name="kubernetes-ack-prerequisites"></a>

Antes de instalar el controlador de servicio ACK para ACM, asegúrese de tener lo siguiente:
+ Un clúster de Kubernetes.
+ Helm instalado.
+ `kubectl` configurado para comunicarse con el clúster.
+ `eksctl`instalado para configurar las asociaciones de identidad de los pods en EKS.

## Instale el controlador de servicio ACK para ACM
<a name="kubernetes-ack-installation"></a>

Utilice Helm para instalar el controlador de servicio ACK para ACM en su clúster de Amazon EKS.

1. Cree un espacio de nombres para el controlador ACK.

   ```
   $ kubectl create namespace ack-system --dry-run=client -o yaml | kubectl apply -f -
   ```

1. Cree una asociación de identidad de módulo para el controlador ACK. *CLUSTER\$1NAME*Sustitúyala por el nombre de tu clúster y *REGION* por tu AWS región.

   ```
   $ eksctl create podidentityassociation --cluster CLUSTER_NAME --region REGION \
       --namespace ack-system \
       --create-service-account \
       --service-account-name ack-acm-controller \
       --permission-policy-arns arn:aws:iam::aws:policy/AWSCertificateManagerFullAccess
   ```

1. Inicie sesión en el registro público de Amazon ECR.

   ```
   $ aws ecr-public get-login-password --region us-east-1 | helm registry login --username AWS --password-stdin public.ecr.aws
   ```

1. Instale el controlador de servicio ACK para ACM. *REGION*Sustitúyalo por su AWS región.

   ```
   $ helm install -n ack-system ack-acm-controller oci://public.ecr.aws/aws-controllers-k8s/acm-chart --set serviceAccount.create=false --set serviceAccount.name=ack-acm-controller --set aws.region=REGION
   ```

1. Compruebe que la controladora esté funcionando.

   ```
   $ kubectl get pods -n ack-system
   ```

Para obtener más información sobre las asociaciones de identidad de pods, consulte [EKS Pod Identity](https://docs.aws.amazon.com//eks/latest/userguide/pod-identities.html) en la *Guía del usuario de Amazon EKS*.

## Ejemplo: Termine el TLS en la entrada
<a name="kubernetes-ack-example"></a>

El siguiente ejemplo muestra cómo exportar un certificado ACM y usarlo para terminar el TLS en el nivel de entrada de Kubernetes. Esta configuración crea un certificado ACM, lo exporta a un Kubernetes Secret y configura un recurso de Ingress para usar el certificado para la terminación de TLS.

En este ejemplo:
+ El secreto se crea para almacenar el certificado exportado () `exported-cert-secret`
+ El recurso de certificado ACK solicita un certificado de ACM para su dominio y lo exporta al `exported-cert-secret` secreto.
+ El recurso Ingress hace referencia al TLS `exported-cert-secret` de terminación para el tráfico entrante.

Sustituya `${HOSTNAME}` por su nombre de dominio.

```
apiVersion: v1
kind: Secret
type: kubernetes.io/tls
metadata:
  name: exported-cert-secret
  namespace: demo-app
data:
  tls.crt: ""
  tls.key: ""
---
apiVersion: acm.services.k8s.aws/v1alpha1
kind: Certificate
metadata:
  name: exportable-public-cert
  namespace: demo-app
spec:
  domainName: ${HOSTNAME}
  options:
    certificateTransparencyLoggingPreference: ENABLED
  exportTo: 
    namespace: demo-app
    name: exported-cert-secret
    key: tls.crt
---
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-traefik
  namespace: demo-app
spec:
  tls:
  - hosts:
    - ${HOSTNAME}
    secretName: exported-cert-secret
  ingressClassName: traefik
  rules:
  - host: ${HOSTNAME}
    http:
      paths:
      - path: /
        pathType: Prefix
        backend:
          service:
            name: whoami
            port:
              number: 80
```

Una vez implementado, el controlador de servicios ACK para ACM administra automáticamente el ciclo de vida del certificado, incluidas las renovaciones. Cuando ACM renueva el certificado, el controlador actualiza el `exported-cert-secret` secreto con el nuevo certificado, lo que garantiza que Ingress siga utilizando certificados válidos sin intervención manual.

# Revoca un certificado público AWS Certificate Manager
<a name="revoke-certificate"></a>

Puede revocar un certificado público AWS Certificate Manager exportable mediante la consola de ACM o mediante una acción de la API AWS CLI.

**aviso**  
No se puede volver a usar el certificado una vez revocado. La revocación de un certificado es permanente.

Es posible que tenga que revocar un certificado para cumplir con las políticas de su organización o mitigar un problema clave. Se requiere un motivo para revocar un certificado. Los motivos que se pueden utilizar son los siguientes:
+ Sin especificar
+ Afiliación cambiada
+ Superseded
+ Cese de actividad

Para obtener más información, consulte el [Acuerdo de suscriptor del certificado de Amazon Trust Services](https://www.amazontrust.com/repository/sa-1.3.pdf) y [Amazon Trust Service](https://www.amazontrust.com/repository/).

AWS proporciona dos servicios para comprobar las revocaciones de certificados: el Protocolo de estado de certificados en línea (OCSP) y la lista de revocaciones de certificados. Con el OCSP, el cliente consulta una base de datos de revocaciones autorizada que devuelve un estado en tiempo real. El OCSP depende de la información de validación incluida en los certificados.

## Consideraciones
<a name="revoke-considerations"></a>

Antes de revocar un certificado, se deben tener en cuenta las siguientes consideraciones:
+ Solo se pueden revocar los certificados que se hayan exportado anteriormente.
+ No se pueden revocar los [certificados públicos no exportables](acm-exportable-certificates.md). Si ya no necesita estos certificados, debe [eliminarlos](gs-acm-delete.md).
+ Si ya no necesita el certificado, debe [eliminar los certificados](gs-acm-delete.md) en lugar de revocarlos.
+ El proceso de revocación del certificado es global. Todos los certificados válidos que decida revocar se revocarán junto con los certificados asociados. ARNs
+ La revocación del certificado es permanente. No se pueden recuperar los certificados revocados para reutilizarlos.
+ La revocación del certificado puede tardar hasta 24 horas en surtir efecto.

## Revocar un certificado (consola)
<a name="revoke-certificate-console"></a>

El siguiente procedimiento explica cómo revocar de un certificado público o privado de ACM.

1. Inicie sesión en la consola ACM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)

1. En **List certificates** (Mostrar certificados), seleccione la casilla del certificado que desee revocar.

   1. Como opción, puede seleccionar el certificado. En la página de detalles del certificado, seleccione **Revoke** (Revocar).

1. Seleccione **More actions** (Más acciones) y luego **Revoke** (Revocar).

1. Aparecerá un cuadro de diálogo en el que deberá escribir el motivo de revocación. Escriba **revoke** y luego seleccione **Revoke** (Revocar).

## Revocar un certificado (AWS CLI)
<a name="revoke-certificate-cli"></a>

Utilice el [https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html](https://docs.aws.amazon.com//cli/latest/reference/acm-pca/revoke-certificate.html) AWS CLI comando o la acción de la [https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RevokeCertificate.html)API para revocar un certificado público o privado de ACM. Puede recuperar el ARN del certificado llamando al comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html).

```
$ aws acm revoke-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234 \
    --revocation-reason "UNSPECIFIED"
```

**aviso**  
No se puede volver a usar el certificado una vez revocado. La revocación de un certificado es permanente.

El siguiente ejemplo muestra los resultados del comando `revoke-certificate`.

```
arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234
```

# Configurar los eventos de renovación automática
<a name="configure-auto-renewals-events"></a>

Con los certificados públicos AWS Certificate Manager exportables y Amazon EventBridge, puedes configurar eventos de renovación automática de certificados.

1. Organiza un EventBridge evento de Amazon para supervisar las renovaciones de certificados. Para obtener más información, consulta el [ EventBridge soporte de Amazon para ACM.](https://docs.aws.amazon.com//acm/latest/userguide/cloudwatch-events.html)

1. Cree una automatización para gestionar la implementación de los certificados cuando se produzcan las renovaciones. Para obtener más información, consulte [Iniciando acciones con Amazon EventBridge en ACM](example-actions.md).

1. Configure EventBridge los eventos para que le avisen de cualquier error en la renovación o el despliegue.

# Forzar renovación de certificados
<a name="force-certificate-renewal"></a>

Puede renovar sus certificados públicos y privados de ACM con la consola de ACM, [renovar el certificado o realizar una acción de](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI API. [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html) Solo se pueden renovar los certificados que se hayan exportado anteriormente.

**importante**  
Al renovar un certificado público exportable de ACM, se le cobrará una tarifa adicional. Para obtener la información más reciente sobre los precios de ACM, consulte la página de precios de los [AWS Certificate Manager servicios en el sitio web](https://aws.amazon.com//certificate-manager/pricing/). AWS 

## Renovar un certificado (consola)
<a name="renew-certificate-console"></a>

El siguiente procedimiento explica cómo forzar la renovación de un certificado público o privado de ACM.

1. Inicie sesión en la consola ACM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/)

1. En **List certificates** (Mostrar certificados), seleccione la casilla del certificado que desee renovar.

   1. Como opción, puede seleccionar el certificado. En la página de detalles del certificado, seleccione **Renew** (Renovar).

1. Seleccione **More actions** (Más acciones) y luego **Renew** (Renovar).

1. Aparecerá un cuadro de diálogo en el que deberá escribir **renew** y luego seleccionar **Renew** (Renovar).

## Renovar un certificado (AWS CLI)
<a name="renew-certificate-cli"></a>

Utilice el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/renew-certificate.html) AWS CLI comando o la acción de la [https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html](https://docs.aws.amazon.com/acm/latest/APIReference/API_RenewCertificate.html)API para renovar un certificado público o privado de ACM. Puede recuperar el ARN del certificado llamando al comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/acm/list-certificates.html). El comando `renew-certificate` no devuelve ninguna respuesta.

```
$ aws acm renew-certificate \
    --certificate-arn arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012
```

# Validar la propiedad del dominio para los certificados AWS Certificate Manager públicos
<a name="domain-ownership-validation"></a>

A fin de que la entidad de certificación (CA) de Amazon pueda emitir un certificado para el sitio, AWS Certificate Manager (ACM) debe verificar que usted es el propietario de todos los nombres de dominio que ha especificado en la solicitud, o bien que es quien los controla. Puede optar por demostrar que es propietario con la validación del sistema de nombres de dominio (DNS), con la validación por correo electrónico o HTTP en el momento en que solicita un certificado.

**nota**  
La validación solo se aplica a los certificados de confianza pública emitidos por ACM. ACM no valida la propiedad del dominio para [certificados importados](import-certificate.md) o para certificados firmados por una CA privada. ACM no puede validar los recursos de una [zona alojada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) de Amazon VPC o cualquier otro dominio privado. Para obtener más información, consulte [Solución de problemas de validación de certificados](certificate-validation.md).

Se recomienda utilizar la validación por DNS por sobre la de correo electrónico debido a las siguientes razones:
+ Si utiliza Amazon Route 53 para administrar sus registros de DNS públicos, puede actualizar los registros directamente a través de ACM.
+ ACM renueva automáticamente los certificados validados por DNS, siempre y cuando el certificado esté en uso y el registro de DNS siga existiendo.
+ Los certificados validados por correo electrónico requieren que el propietario del dominio realice una acción para su renovación. ACM comienza a enviar avisos de renovación 45 días antes de su vencimiento. Estos avisos se envían a una o varias de las cinco direcciones de administrador comunes del dominio. Las notificaciones contienen un enlace que el propietario del dominio puede presionar para facilitar la renovación. Una vez validados todos los dominios enumerados, ACM emite un certificado renovado con el mismo ARN.

Si no puede editar la base de datos de DNS del dominio, debe utilizar la [validación por correo electrónico](email-validation.md).

La validación HTTP está disponible para los certificados que se utilizan con CloudFront. Este método utiliza redireccionamientos HTTP para demostrar la propiedad del dominio y ofrece una renovación automática similar a la validación por DNS.

**nota**  
Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS. Para utilizar la validación de DNS, elimine el certificado y luego cree otro nuevo que utilice la validación de DNS.

**Topics**
+ [

# AWS Certificate Manager Validación de DNS
](dns-validation.md)
+ [

# AWS Certificate Manager validación del correo electrónico
](email-validation.md)
+ [

# AWS Certificate Manager Validación HTTP
](http-validation.md)

# AWS Certificate Manager Validación de DNS
<a name="dns-validation"></a>

El sistema de nombres de dominio (DNS) es un servicio de directorio para los recursos conectados a una red. Su proveedor de DNS mantiene una base de datos que contiene registros que definen el dominio. Cuando elige la validación por DNS, ACM proporciona uno o varios registros CNAME que deben agregarse a esta base de datos. Estos registros contienen un par de valor de clave único que sirve como prueba de que usted controla el dominio.

**nota**  
Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS. Para utilizar la validación de DNS, elimine el certificado y luego cree otro nuevo que utilice la validación de DNS.

Por ejemplo, si solicita un certificado para el dominio `example.com` con `www.example.com` como nombre adicional, ACM crea dos registros CNAME. Cada registro, creado específicamente para el dominio y la cuenta, contiene un nombre y un valor. El valor es un alias que apunta a un AWS dominio que ACM utiliza para renovar automáticamente el certificado. Los registros CNAME se deben agregar a la base de datos de DNS una sola vez. ACM renueva automáticamente el certificado, siempre y cuando esté en uso y el registro CNAME siga existiendo. 

**importante**  
Si no utiliza Amazon Route 53 para administrar los registros de DNS públicos, contacte a su proveedor de DNS para saber cómo agregar registros. Si no tiene autoridad para editar la base de datos de DNS del dominio, debe utilizar la [validación por correo electrónico](email-validation.md).

Sin necesidad de repetir la validación, puede solicitar certificados de ACM adicionales para el nombre de dominio completo (FQDN) mientras el registro CNAME siga existiendo. Es decir, puede crear certificados de reemplazo que tengan el mismo nombre de dominio o certificados que cubran diferentes subdominios. Como el token de validación CNAME funciona en cualquier AWS región, puedes volver a crear el mismo certificado en varias regiones. También puede reemplazar un certificado eliminado. 

Para detener la renovación automática, puede eliminar el certificado del servicio de AWS con el que está asociado o eliminar el registro CNAME. Si Route 53 no es su proveedor de DNS, contacte a su proveedor para saber cómo eliminar un registro. Si Route 53 es su proveedor, consulte [Eliminación de conjuntos de registro de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) en la *Guía del desarrollador de Route 53*. Para obtener más información sobre la renovación de certificados administrados, consulte [Renovación de certificados gestionada en AWS Certificate Manager](managed-renewal.md). 

**nota**  
La resolución de CNAME fallará si hay más de cinco CNAMEs encadenados en tu configuración de DNS. Si necesita un encadenamiento más largo, recomendamos utilizar la [validación por correo electrónico](email-validation.md).

## Cómo funcionan los registros CNAME de ACM
<a name="cnames-overview"></a>

**nota**  
Esta sección es para los clientes que no utilizan Route 53 como su proveedor de DNS.

Si no utiliza Route 53 como proveedor de DNS, debe introducir de forma manual los registros CNAME proporcionados por ACM en la base de datos del proveedor, normalmente a través de un sitio web. Los registros CNAME se utilizan para una serie de propósitos, incluidos los mecanismos de redirección y contenedores para metadatos específicos del proveedor. En el caso de ACM, estos registros permiten la validación inicial de la propiedad del dominio y la renovación automática de certificados en curso. 

En la siguiente tabla, se muestran ejemplos de registros CNAME para seis nombres de dominio. Cada par de **Nombre**-**Valor** del registro sirve para autenticar la propiedad del nombre de dominio. 

En la tabla, tenga en cuenta que los dos primeros pares de **Nombre**-**Valor del registro** son iguales. Esto ilustra que, para un dominio comodín, como `*.example.com`, las cadenas creadas por ACM son las mismas que las creadas para su dominio base, `example.com`. De lo contrario, el par de **Nombre** y **Valor** difiere para cada nombre de dominio.


**Registros CNAME de ejemplo**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/acm/latest/userguide/dns-validation.html)

Los *xN* valores que siguen al guión bajo (\$1) son cadenas largas generadas por ACM. Por ejemplo: 

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

es representativo de un **Nombre de registro** generado. El **Valor de registro** asociado podría ser

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

para el mismo registro.

**nota**  
Si su proveedor de DNS no admite valores de CNAME con caracteres de guion bajo iniciales, consulte [Solución de problemas de validación con DNS](troubleshooting-DNS-validation.md).

Cuando solicita un certificado y especifica la validación por DNS, ACM proporciona información CNAME en el siguiente formato:


****  

| Nombre del dominio | Nombre del registro | Tipo del registro | Valor del registro | 
| --- | --- | --- | --- | 
| example.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws.  | 

El *Nombre del dominio* es el FQDN asociado al certificado. El *Nombre del registro* identifica el registro de forma única y sirve como la clave del par de valor de clave. El *Valor del registro* sirve como el valor del par de valor de clave. 

Estos tres valores (*Nombre de dominio*, *Nombre de registro* y *Valor de registro*) deben ingresarse en los campos apropiados de la interfaz web del proveedor de DNS para agregar registros de DNS. Los proveedores no manejan del mismo modo el campo de nombre de registro (o simplemente “nombre”). En algunos casos, se espera que proporcione toda la cadena como se muestra arriba. Otros proveedores agregan automáticamente el nombre de dominio a cualquier cadena que ingrese, lo que significa (en este ejemplo) que solo debe ingresar

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

en el campo de nombre. Si la entrada es incorrecta e ingresa un nombre de registro que contiene un nombre de dominio (como *`.example.com`*), es posible que el resultado sea el siguiente:

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

La validación fallará en este caso. Por eso, debe intentar determinar de antemano qué tipo de entrada espera su proveedor.

## Configuración de la validación por DNS
<a name="setting-up-dns-validation"></a>

En esta sección se describe cómo configurar un certificado público para usar la validación de DNS.<a name="dns-validation-console"></a>

**Para configurar la validación por DNS en la consola**
**nota**  
Este procedimiento supone que ya ha creado al menos un certificado y que trabaja en la AWS región en la que lo creó. Si intenta abrir la consola y ve la pantalla de primer uso, o si logra abrir la consola y no ve el certificado en la lista, compruebe que ha especificado la región correcta.

1. Abra la consola ACM en [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. En la lista de certificados, elija la **ID de certificado** de un certificado con estado **Pending validation (Pendiente de validación)** que desea configurar. Se abre una página de detalles del certificado.

1. En la sección **Domains (Dominios)**, realice uno de los dos procedimientos siguientes:

   1. (Opcional) Validar con Route 53.

      Aparece el botón **Create records in Route 53 (Crear registros en Route 53)** si se cumplen las siguientes condiciones:
      + Utiliza Route 53 como el proveedor de DNS.
      + Tiene permiso para escribir en la zona alojada por Route 53.
      + Su FQDN aún *no* se ha validado.
**nota**  
Si utiliza Route 53, pero no se encuentra la opción **Create records in Route 53** (Crear registro en Route 53) o está desactivado, consulte [La consola de ACM no muestra el botón “Crear registro en Route 53”](troubleshooting-DNS-validation.md#troubleshooting-route53-1). 

      Seleccione **Create records in Route 53** (Crear registros en Route 53) y, a continuación, elija **Create records** (Crear registros). La página **Certificate status (Estado del certificado)** debería abrirse con un informe de banner de estado **Successfully created DNS records (Registros DNS creados correctamente)**.

      El nuevo certificado podría continuar mostrando un estado de **Pending validation (Validación pendiente)** durante un máximo de 30 minutos.
**sugerencia**  
No puede solicitar mediante programación que ACM cree automáticamente su registro en Route 53. Sin embargo, puede realizar una AWS CLI llamada a la API de Route 53 para crear el registro en la base de datos DNS de Route 53. Para obtener más información sobre los conjuntos de registros de Route 53, consulte [Trabajar con conjuntos de registros de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).

   1. (Opcional) Si no utiliza Route 53 como proveedor de DNS, debe recuperar la información CNAME y agregarla a la base de datos de DNS. En la página de detalles del nuevo certificado, puede hacer esto de una de estas dos formas:
      + Copie los componentes CNAME que se muestran en la sección **Domains (Dominios)**. Esta información aún debe agregarse manualmente a la base de datos de DNS.
      + También puede elegir **Export to CSV (Exportar a CSV**. La información del archivo resultante se debe agregar manualmente a la base de datos de DNS.
**importante**  
Para evitar problemas de validación, revise [Cómo funcionan los registros CNAME de ACM](#cnames-overview) antes de agregar información a la base de datos de su proveedor de DNS. Si surgen problemas, consulte [Solución de problemas en la validación por DNS](troubleshooting-DNS-validation.md). 

Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momento en que genera un valor de CNAME por usted, ACM cambia el estado del certificado a **Validation timed out (Tiempo de espera de validación agotado)**. La razón más probable de este resultado es que no actualizó con éxito la configuración de DNS con el valor que ACM generó. Para solucionar este problema, debe solicitar un certificado nuevo después de revisar las instrucciones CNAME.

# AWS Certificate Manager validación del correo electrónico
<a name="email-validation"></a>

Para que la entidad de certificación (CA) de Amazon pueda emitir un certificado para su sitio, AWS Certificate Manager (ACM) debe verificar que usted es el propietario o controla todos los dominios que ha especificado en la solicitud. Puede realizar la verificación mediante el correo electrónico o DNS. En este tema, se explica la validación por correo electrónico.

Si tiene problemas al utilizar la validación por correo electrónico, consulte [Solución de problemas de validación por correo electrónico](troubleshooting-email-validation.md).

## Cómo funciona la validación por correo electrónico
<a name="how-email-validation-works"></a>

ACM envía mensajes de correo electrónico de validación a los siguientes cinco correos electrónicos del sistema comunes para cada dominio. Como opción alternativa, puede especificar un superdominio como dominio de validación si prefiere recibir estos correos electrónicos en ese dominio. Cualquier subdominio hasta la dirección mínima del sitio web es válido, y se utiliza como dominio de la dirección de correo electrónico como sufijo después de `@`. Por ejemplo, puede recibir un correo electrónico dirigido a admin@example.com si especifica example.com como dominio de validación de subdominio.example.com.
+ administrator@su\$1nombre\$1de\$1dominio
+ hostmaster@su\$1nombre\$1de\$1dominio
+ postmaster@su\$1nombre\$1de\$1dominio
+ webmaster@su\$1nombre\$1de\$1dominio
+ admin@su\$1nombre\$1de\$1dominio

Para demostrar que es el propietario del dominio, debe seleccionar el enlace de validación incluido en estos correos electrónicos. ACM también envía correos electrónicos de validación a estas mismas direcciones para renovar el certificado cuando faltan 45 días para que caduque.

La validación por correo electrónico para solicitudes de certificados de varios dominios mediante la API de ACM o la CLI genera el envío de un mensaje de correo electrónico por parte de cada dominio solicitado, incluso si la solicitud incluye subdominios de otros dominios de la solicitud. El propietario del dominio debe validar un mensaje de correo electrónico para cada uno de estos dominios antes de que ACM pueda emitir el certificado.

**Excepción a este proceso**  
Si solicita un certificado de ACM para un nombre de dominio que empiece con **www** o un asterisco de comodín (**\$1**), ACM eliminará **www** o el asterisco inicial y envíará un correo electrónico a las direcciones administrativas. Para formar estas direcciones, se agrega el prefijo admin@, administrator@, hostmaster@, postmaster@ y webmaster@ a la parte restante del nombre de dominio. Por ejemplo, si solicita un certificado de ACM para www.example.com, se envía un correo electrónico a admin@example.com en vez de a admin@www.example.com. Del mismo modo, si solicita un certificado de ACM para \$1.test.example.com, se envía un correo electrónico a admin@test.example.com. El resto de las direcciones administrativas comunes se forman de manera similar.

**importante**  
ACM ya no es compatible con la validación por correo electrónico de WHOIS para nuevos certificados o renovaciones. Pero sí lo sigue siendo con las direcciones comunes del sistema. Para obtener más información, consulte la [entrada del blog](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/).

## Consideraciones
<a name="certificate-considerations"></a>

Tenga en cuenta lo siguiente acerca de la validación por correo electrónico.
+ Para poder utilizar la validación por correo electrónico, necesita una dirección de correo electrónico que funcione registrada en su dominio. Los procedimientos para configurar una dirección de correo electrónico quedan fuera del alcance de esta guía.
+ La validación solo se aplica a los certificados de confianza pública emitidos por ACM. ACM no valida la propiedad del dominio para [certificados importados](import-certificate.md) o para certificados firmados por una CA privada. ACM no puede validar los recursos de una [zona alojada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) de Amazon VPC o cualquier otro dominio privado. Para obtener más información, consulte [Solución de problemas de validación de certificados](certificate-validation.md).
+ Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS. Para utilizar la validación de DNS, elimine el certificado y luego cree otro nuevo que utilice la validación de DNS.

## Vencimiento y renovación de certificados
<a name="renewal"></a>

Los certificados ACM son válidos durante 198 días. Renovar un certificado requiere acción por parte del propietario del dominio. ACM comienza a enviar avisos de renovación a las direcciones de correo electrónico asociadas al dominio 45 días antes de que caduque. Las notificaciones contienen un enlace donde el propietario del dominio puede hacer clic para realizar la renovación. Una vez validados todos los dominios enumerados, ACM emite un certificado renovado con el mismo ARN.

## (Opcional) Volver a enviar el correo electrónico de validación
<a name="gs-acm-resend"></a>

Cada correo electrónico de validación contiene un token que puede utilizar para aprobar una solicitud de certificado. No obstante, puesto que el correo electrónico de validación necesario para el proceso de aprobación puede bloquearse por filtros de spam o perderse en el camino, el token vence automáticamente después de 72 horas. Si no recibe el correo electrónico original o si el token ha vencido, puede solicitar que se vuelva a enviar el correo electrónico. Para obtener información sobre cómo volver a enviar un correo electrónico de validación, consulte [Volver a enviar el correo electrónico de validación](email-renewal-validation.md#request-domain-validation-email-for-renewal) 

Para problemas persistentes con la validación por correo electrónico, consulte la sección [Solución de problemas de validación por correo electrónico](troubleshooting-email-validation.md) de [Solucionar problemas con AWS Certificate Manager](troubleshooting.md).

# Automatice la validación del AWS Certificate Manager correo
<a name="email-automation"></a>

Por lo general, los certificados de ACM validados por correo electrónico requieren la acción manual del propietario del dominio. Las organizaciones que se ocupan de un gran número de certificados validados por correo electrónico pueden preferir crear un analizador que pueda automatizar las respuestas necesarias. A fin de ayudar a los clientes a utilizar la validación por correo electrónico, la información en esta sección describe las plantillas utilizadas para los mensajes de correo electrónico de validación de dominio y el flujo de trabajo utilizado para completar el proceso de validación. 

## Plantillas de correo electrónico de validación
<a name="validation-email-template"></a>

Los mensajes de correo electrónico de validación tienen uno de los dos formatos siguientes, en función de si se solicita un certificado nuevo o se renueva un certificado existente. El contenido de las cadenas resaltadas debe reemplazarse por valores específicos del dominio que se valida.

### Validación de un nuevo certificado
<a name="new-template"></a>

Texto de la plantilla de correo electrónico:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### Validación de un certificado para su renovación
<a name="renewal-template"></a>

Texto de la plantilla de correo electrónico:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

Una vez que reciba un nuevo mensaje de validación AWS, le recomendamos que lo utilice como la plantilla más up-to-date fiable para su analizador. Los clientes con analizadores de mensajes diseñados antes de noviembre de 2020 deben tener en cuenta los siguientes cambios que pueden haberse realizado en la plantilla:
+ La línea de asunto del correo electrónico ahora dice “`Certificate request for domain name`” en lugar de decir “`"Certificate approval for domain name`”.
+ El `AWS account ID` ahora se presenta sin rayas ni guiones. 
+ El `Certificate Identifier` ahora presenta todo el ARN del certificado en lugar de una forma abreviada, por ejemplo, `arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` en lugar de `3b4d78e1-0882-4f51-954a-298ee44ff369`.
+ La URL de aprobación del certificado contiene ahora `acm-certificates.amazon.com` en lugar de `certificates.amazon.com`.
+ El formulario de aprobación que se abre al hacer clic en la dirección URL de aprobación del certificado ahora contiene el botón de aprobación. El nombre del botón de aprobación div es ahora `approve-button` en lugar de `approval_button`.
+ Los mensajes de validación para los certificados recién solicitados y los certificados de renovación tienen el mismo formato de correo electrónico.

## Flujo de trabajo de validación
<a name="validation-workflow"></a>

En esta sección se proporciona información sobre el flujo de trabajo de renovación de certificados validados por correo electrónico. 
+ Cuando la consola de ACM procesa una solicitud de certificado de varios dominios, envía mensajes de correo electrónico de validación al nombre de dominio o al dominio de validación que especifique cuando solicite un certificado público. El propietario del dominio debe validar un mensaje de correo electrónico para cada dominio antes de que ACM pueda emitir el certificado. A fin de obtener más información, consulte [Uso del correo electrónico para validar la propiedad del dominio](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html). 
+ La validación por correo electrónico para solicitudes de certificados de varios dominios mediante la API de ACM o la CLI genera el envío de un mensaje de correo electrónico por parte de cada dominio solicitado, incluso si la solicitud incluye subdominios de otros dominios de la solicitud. El propietario del dominio debe validar un mensaje de correo electrónico para cada uno de estos dominios antes de que ACM pueda emitir el certificado.

  Si vuelve a enviar los correos electrónicos de un certificado existente a través de la consola ACM, esos correos electrónicos se enviarán al dominio de validación especificado en la solicitud del certificado original, o bien al dominio exacto, si no se especificó ningún dominio de validación. Para recibir los correos electrónicos de validación en un dominio diferente, puede solicitar un nuevo certificado y especificar el dominio de validación que desea usar para la validación. Como alternativa, puede llamar [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)con el `ValidationDomain` parámetro mediante la API, el SDK o la CLI. No obstante, el dominio de validación especificado en la solicitud de `ResendValidationEmail` solo se utilizar para esa llamada y no se guarda en el nombre de recurso de Amazon (ARN) del certificado para futuros correos electrónicos de validación. Debe llamar a `ResendValidationEmail` cada vez que desee recibir un correo electrónico de validación en un nombre de dominio que no se haya especificado en la solicitud del certificado original.
**nota**  
Antes de noviembre de 2020, los clientes solo debían validar el dominio ápex y ACM emitía un certificado que también cubría cualquier subdominio. Los clientes con analizadores de mensajes diseñados antes de esa fecha deben tener en cuenta el cambio en el flujo de trabajo de validación por correo electrónico.
+ Con la API o CLI de ACM, puede forzar que todos los mensajes de correo electrónico de validación para una solicitud de certificado de varios dominios se envíen al dominio ápex. En la API, utilice el parámetro `DomainValidationOptions` de la acción [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) para especificar un valor de `ValidationDomain`, que es miembro del tipo [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html). En la CLI, utilice el parámetro **--domain-validation-options** del comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para especificar un valor de `ValidationDomain`.

# AWS Certificate Manager Validación HTTP
<a name="http-validation"></a>

El protocolo de transferencia de hipertexto (HTTP) es un protocolo fundamental para la comunicación de datos en la World Wide Web (la Web). Al elegir la validación HTTP para los certificados utilizados con ellos CloudFront, ACM aprovecha este protocolo para verificar la propiedad del dominio. ACM trabaja en conjunto CloudFront para proporcionarte una URL específica y un token único a los que debes poder acceder en esa URL de tu dominio. Este token sirve como prueba de que usted controla el dominio. Al configurar una redirección desde tu dominio a una ubicación controlada por ACM dentro de la CloudFront infraestructura, demuestras tu capacidad para modificar el contenido del dominio y, por lo tanto, validas tu propiedad. Esta perfecta integración entre ACM CloudFront simplifica el proceso de emisión de certificados, especialmente en el caso de las distribuciones. CloudFront 

**importante**  
La validación HTTP no es compatible con los certificados de dominio comodín (como \$1.example.com). En el caso de los certificados comodín, debe utilizar la validación por DNS o correo electrónico.

Por ejemplo, si solicita un certificado para el `example.com` dominio con `www.example.com` un nombre adicional CloudFront, ACM le proporciona dos conjuntos para la URLs validación HTTP. Cada conjunto contiene una URL `redirectFrom` y una URL `redirectTo`, creadas específicamente para su dominio y cuenta de AWS . La URL `redirectFrom` es una ruta de su dominio (por ejemplo, `http://example.com/.well-known/pki-validation/example.txt`) que se debe configurar. La `redirectTo` URL apunta a una ubicación controlada por ACM dentro de la CloudFront infraestructura donde se almacena un token de validación único. Estas redirecciones se deben configurar solo una vez. Cuando una autoridad de certificación intente validar la propiedad de su dominio, solicitará el archivo desde la `redirectFrom` URL, que CloudFront redireccionará a la `redirectTo` URL y permitirá el acceso al token de validación. ACM renueva automáticamente el certificado siempre y cuando el certificado esté en uso CloudFront y la redirección siga vigente.

Una vez que haya configurado la validación HTTP de un nombre de dominio completo (FQDN) con él CloudFront, podrá solicitar certificados ACM adicionales para ese FQDN sin tener que repetir el proceso de validación, siempre y cuando la redirección HTTP siga activa. Esto significa que puede crear certificados de reemplazo con el mismo nombre de dominio. También puede reemplazar un certificado eliminado sin tener que volver a pasar por el proceso de validación, siempre que la redirección siga activa.

Si desea detener la renovación automática de su certificado validado por HTTP, tiene dos opciones. Puede eliminar el certificado de la CloudFront distribución a la que está asociado o eliminar la redirección HTTP que configuró para la validación. Si utilizas una red de entrega de contenido (CDN) o un servidor web que no sea CloudFront para gestionar tus redireccionamientos, consulta su documentación para saber cómo eliminar un redireccionamiento. Si utilizas CloudFront para gestionar tus redireccionamientos, puedes eliminarlos actualizando la configuración de tu distribución. Para obtener más información sobre la renovación de certificados administrados, consulte [Renovación de certificados gestionada en AWS Certificate Manager](managed-renewal.md). Recuerde que si detiene la renovación automática, es posible que se provoque la caducidad del certificado, lo que podría interrumpir el tráfico HTTPS.

## Cómo funcionan las redirecciones HTTP para ACM
<a name="http-redirects-overview"></a>

**nota**  
Esta sección está destinada a los clientes que utilizan ACM CloudFront para la entrega de contenido y para la administración de SSL/TLS certificados.

Si utilizas la validación HTTP con ACM CloudFront, necesitas configurar los redireccionamientos HTTP. Estas redirecciones permiten a ACM verificar la propiedad del dominio para la emisión inicial del certificado y la renovación automática continua. El mecanismo de redireccionamiento funciona apuntando una URL específica de tu dominio a una ubicación controlada por ACM dentro de la CloudFront infraestructura donde se almacena un token de validación único.

En la siguiente tabla se muestran ejemplos de configuraciones de redirecciones para los nombres de dominio. Es importante considerar que la validación HTTP no es compatible con los dominios comodín (como \$1.example.com). Cada configuración del par **Redirect From**-**Redirect To** sirve para autenticar la propiedad del nombre de dominio.


**Ejemplos de configuraciones de redirecciones HTTP**  

| Nombre del dominio | Redirect From | Redirect To | Comment | 
| --- | --- | --- | --- | 
| example.com |  `http://example.com/.well-known/pki-validation/x2.txt`  |  `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt`  |  Unique  | 
| www.example.com |  `http://www.example.com/.well-known/pki-validation/x3.txt`  | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt`  |  Único  | 
| host.example.com |  `http://host.example.com/.well-known/pki-validation/x4.txt`  |  `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt`  |  Unique  | 
| subdomain.example.com |  `http://subdomain.example.com/.well-known/pki-validation/x5.txt`  |  `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt`  |  Unique  | 
| host.subdomain.example.com |  `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt`  |  `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt`  |  Unique  | 

Los *xN* valores de los nombres de los archivos y los *yN* valores de los dominios controlados por ACM son identificadores únicos generados por ACM. Por ejemplo:

```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

es representativo de una URL **Redirect From** generada como resultado. Es posible que la URL asociada **Redirect To** sea

```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

para el mismo registro de validación.

**nota**  
Si su servidor web o red de entrega de contenido no admiten la configuración de redirecciones en la ruta especificada, consulte la [Solución de problemas de validación HTTP](troubleshooting-HTTP-validation.md).

Cuando solicita un certificado y especifica la validación por HTTP, ACM proporciona información de redirección en el siguiente formato:


****  

| Nombre del dominio | Redirect From | Redirect To | 
| --- | --- | --- | 
| example.com | http://example.com/.well - 79865eb4cd1a6ab990a45779b4e0b96.txt known/pki-validation/a | https://validation. region.acm-validations.aws/ /.well-known/pki-validation/ a424c7224e9b .txt a79865eb4cd1a6ab990a45779b4e0b96 | 

El *Nombre del dominio* es el FQDN asociado al certificado. *Redirect From* (Redirigir desde) es la URL del dominio en la que ACM buscará el archivo de validación. *Redirect To* (Redirigir a) es la URL controlada por ACM en la que se aloja el archivo de validación.

**Debe configurar su servidor web o su distribución para redirigir las solicitudes de la URL de origen a la URL de redirección a. CloudFront ** El método exacto para configurar esta redirección depende del software o la CloudFront configuración del servidor web. Verifique que la redirección esté configurada correctamente para permitir que ACM valide la propiedad de su dominio y emita o renueve su certificado.

## Configuración de la validación por HTTP
<a name="setting-up-http-validation"></a>

ACM utiliza la validación HTTP para verificar la propiedad de su dominio al emitir SSL/TLS certificados públicos para su uso con CloudFront. En esta sección se describe cómo configurar un certificado público para usar la validación por HTTP.<a name="http-validation-console"></a>

**Cómo configurar la validación por HTTP en la consola**
**nota**  
En este procedimiento se presupone que ya ha solicitado un certificado CloudFront y que trabaja en la AWS región en la que lo creó. La validación HTTP solo está disponible a través de la función CloudFront Distribution Tenants.

1. Abra la consola ACM en [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. En la lista de certificados, elija la **ID de certificado** de un certificado con estado **Pending validation (Pendiente de validación)** que desea configurar. Se abre una página de detalles del certificado.

1. En la sección **Domains** (Dominios), puede ver los valores **Redirect From** y **Redirect To** para cada dominio de su solicitud de certificado.

1. Para cada dominio, configure una redirección HTTP desde la URL **Redirect From** a la URL **Redirect To**. Puede hacerlo a través de su configuración CloudFront de distribución.

1. Configura tu CloudFront distribución para redirigir las solicitudes de la URL **de** origen a la URL de **redireccionamiento**. El método para configurar esta redirección depende de tu CloudFront configuración.

1. Tras configurar las redirecciones, ACM intentará validar automáticamente la propiedad del dominio. Este proceso puede tardar hasta 30 minutos.

Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momento en que genera valores de redirección por usted, ACM cambia el estado del certificado a **Validation timed out** (Tiempo de espera de validación agotado). La razón más probable de este resultado es que no se configuraron correctamente las redirecciones de HTTP. Para solucionar este problema, debe solicitar un certificado nuevo después de revisar las instrucciones de redirección.

**importante**  
Para evitar problemas de validación, compruebe que el contenido de la ubicación de **Redirect From** coincida con el contenido de la ubicación de **Redirect To**. Si surgen problemas, consulte [Solución de problemas de validación HTTP](troubleshooting-HTTP-validation.md).

**nota**  
A diferencia de la validación por DNS, no puede solicitar mediante programación que ACM cree automáticamente sus redirecciones HTTP. Debe configurar estos redireccionamientos a través de sus ajustes CloudFront de distribución.

Para obtener más información sobre cómo funciona la validación por HTTP, consulte [Cómo funcionan las redirecciones HTTP para ACM](#http-redirects-overview).