Requisitos previos para la importación de certificados de ACM - AWS Certificate Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos previos para la importación de certificados de ACM

Para importar un SSL/TLS certificado autofirmado a ACM, debe proporcionar tanto el certificado como su clave privada. Para importar un certificado firmado por una entidad de certificación (CA) que no sea de AWS , también deberá incluir las claves públicas y privadas de certificación. El certificado debe cumplir con todos los criterios descritos en este tema.

Para todos los certificados importados, debe especificar un algoritmo criptográfico y un tamaño de clave. ACM admite los siguientes algoritmos (nombre de API entre paréntesis):

  • RSA de 1024 bits (RSA_1024)

  • RSA de 2048 bits (RSA_2048)

  • RSA de 3072 bits (RSA_3072)

  • RSA de 4096 bits (RSA_4096)

  • ECDSA de 256 bits (EC_prime256v1)

  • ECDSA de 384 bits (EC_secp384r1)

  • ECDSA de 521 bits (EC_secp521r1)

Además, tenga en cuenta los siguientes requisitos adicionales:

  • Los servicios integrados de ACM solo permiten asociar a sus recursos los algoritmos y tamaños de clave que admiten. Por ejemplo, CloudFront solo admite claves RSA de 1024 bits, RSA de 2048 bits, RSA de 3072 bits, RSA de 4096 bits y Elliptic Prime Curve de 256 bits, mientras que Application Load Balancer admite todos los algoritmos disponibles en ACM. Para obtener más información, consulte la documentación de los servicios que utiliza.

  • SSL/TLS Un certificado debe ser un certificado X.509 versión 3. Debe contener una clave pública, el nombre de dominio completo (FQDN) o dirección IP del sitio web e información sobre el emisor.

  • Un certificado puede ser autofirmado por una clave privada de su propiedad o firmado por la clave privada de una CA emisora. Debe proporcionar la clave privada, la cual no debe superar los 5 KB (5120 bytes) y debe estar sin cifrar.

  • Si el certificado está firmado por una CA, y elige indicar la cadena de certificados, la cadena debe estar codificada en PEM.

  • Un certificado debe ser válido en el momento de la importación. No puede importar un certificado antes de que comience su periodo de validez o después de que venza. El campo de certificado NotBefore contiene la fecha de comienzo de validez y el campo NotAfter contiene la fecha de finalización.

  • Todos los materiales de certificado necesarios (certificado, clave privada y cadena de certificados) deben tener codificación PEM. La carga de materiales con codificación DER produce un error. Para obtener más información y ejemplos, consulta Formato del certificado y de la clave para la importación.

  • Cuando renueva (vuelve a importar) un certificado, no puede agregar un certificado con extensión KeyUsage o ExtendedKeyUsage, si la extensión no estaba presente en el certificado importado anteriormente

    Excepción: puede volver a importar un certificado en el que no figure la autenticación de cliente en ExtendedKeyUsage comparación con el certificado anterior. Esto se adapta a los cambios del sector, en los que las autoridades de certificación ya no emiten certificados con ClientAuth EKU para cumplir con los requisitos del programa raíz de Chrome.

    importante

    Si necesita la funcionalidad de autenticación de cliente, debe implementar validaciones adicionales por su parte, ya que ACM no admite la reversión a certificados previamente importados.

  • AWS CloudFormation no admite la importación de certificados a ACM.