Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de sus certificados de entidad de certificación
En esta sección se describen las tareas comunes para administrar sus propios certificados de entidad de certificación.
Puede registrar su entidad emisora de certificados (CA) AWS IoT si utiliza certificados de cliente firmados por una entidad emisora de certificados que AWS IoT no los reconoce.
Si desea que los clientes registren automáticamente sus certificados de cliente AWS IoT cuando se conecten por primera vez, la CA que firmó los certificados de cliente debe estar registrada AWS IoT. De lo contrario, no es necesario registrar el certificado de entidad de certificación que firmó los certificados de cliente.
**nota**
Un certificado de entidad de certificación se puede registrar en modo `DEFAULT` solo mediante una cuenta en una región. Un certificado de entidad de certificación se puede registrar en modo `SNI_ONLY` mediante varias cuentas en una región.
**Topics**
+ [Creación de un certificado de entidad de certificación](#create-your-CA-cert)
+ [Registro del certificado CA](#register-CA-cert)
+ [Desactivar un certificado de entidad de certificación](#deactivate-ca-cert)
## Creación de un certificado de entidad de certificación
Si no dispone de certificado de entidad de certificación, puede crear uno con las herramientas de [OpenSSL v1.1.1i](https://www.openssl.org/).
**nota**
No puede realizar este procedimiento en la AWS IoT consola.
**Para crear un certificado de entidad de certificación con las herramientas de [OpenSSL v1.1.1i](https://www.openssl.org/)**
1. Genere un par de claves.
```
openssl genrsa -out root_CA_key_filename.key 2048
```
1. Utilice la clave privada del par de claves para generar un certificado de entidad de certificación.
```
openssl req -x509 -new -nodes \
-key root_CA_key_filename.key \
-sha256 -days 1024 \
-out root_CA_cert_filename.pem
```
## Registro del certificado CA
Estos procedimientos describen cómo registrar un certificado de una autoridad de certificación (CA) que no es la CA de Amazon. AWS IoT Core utiliza certificados de CA para verificar la propiedad de los certificados. Para usar certificados de dispositivo firmados por una CA que no sea la CA de Amazon, debes registrar el certificado de CA con el AWS IoT Core fin de comprobar la propiedad del certificado del dispositivo.
### Registro de un certificado de entidad de certificación (consola).
**nota**
Para registrar un certificado de entidad de certificación en la consola, comience en la consola en [Registro de un certificado de entidad de certificación](https://console.aws.amazon.com//iot/home#/create/cacertificate). Puede registrar su entidad emisora de certificados en el modo multicuenta y sin necesidad de proporcionar un certificado de verificación ni de acceder a la clave privada. Una entidad emisora de certificados se puede registrar en el modo multicuenta mediante varias Cuentas de AWS en la misma Región de AWS. Puede registrar su entidad emisora de certificados en el modo de cuenta única proporcionando un certificado de verificación y una prueba de propiedad de la clave privada de la entidad emisora de certificados.
### Registro de un certificado de entidad de certificación (CLI)
Puede registrar un certificado de entidad de certificación en el modo `DEFAULT` o el modo `SNI_ONLY`. Una CA se puede registrar en `DEFAULT` modo uno Cuenta de AWS a uno Región de AWS. Una CA se puede registrar en `SNI_ONLY` modo varias veces Cuentas de AWS en la misma modalidad Región de AWS. Para obtener más información acerca del modo de certificados de CA, consulte [certificateMode](https://docs.aws.amazon.com//iot/latest/apireference/API_CACertificateDescription.html#iot-Type-CACertificateDescription-certificateMode).
**nota**
Se recomienda registrar una entidad emisora de certificados en el modo `SNI_ONLY`. No necesita proporcionar un certificado de verificación ni acceder a la clave privada, y puede registrar la CA varias veces Cuentas de AWS en la misma Región de AWS.
#### Registro de un certificado de entidad de certificación en modo SNI\$1ONLY (CLI) - Recomendado
**Requisitos previos**
Asegúrese de que dispone de lo siguiente en el ordenador antes de continuar:
+ El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_cert_filename.pem`).
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versiones posteriores.
**Para registrar un certificado de CA en `SNI_ONLY` modo mediante el AWS CLI**
1. Registre el certificado de CA con AWS IoT. Con el comando **register-ca-certificate**, introduzca el nombre del archivo del certificado de entidad de certificación. Para obtener más información, consulte [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.
```
aws iot register-ca-certificate \
--ca-certificate file://root_CA_cert_filename.pem \
--certificate-mode SNI_ONLY
```
Si se ejecuta correctamente, este comando devuelve el*certificateId*.
1. En este momento, el certificado de CA se ha registrado AWS IoT pero está inactivo. El certificado de entidad de certificación debe estar activo antes de poder registrar los certificados de cliente firmados por él.
Este paso activa el certificado de entidad de certificación.
Para activar el certificado de entidad de certificación, utilice el comando **update-certificate** del modo siguiente. Para obtener más información, consulte [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) en la *Referencia de comandos de la AWS CLI *.
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Utilice el comando **describe-ca-certificate** para ver el estado del certificado de entidad de certificación. Para obtener más información, consulte [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.
#### Registro de un certificado de entidad de certificación en modo `DEFAULT` (CLI)
**Requisitos previos**
Asegúrese de que dispone de lo siguiente en el ordenador antes de continuar:
+ El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_cert_filename.pem`).
+ El archivo de clave privada del certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_key_filename.key`).
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versiones posteriores.
**Para registrar un certificado de CA en `DEFAULT` modo mediante el AWS CLI**
1. Para obtener un código de registro AWS IoT, utilice**get-registration-code**. Guarde el `registrationCode` devuelto para usarlo como `Common Name` del certificado de verificación de clave privada. Para obtener más información, consulte [get-registration-code](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/get-registration-code.html) en la *Referencia de comandos de la AWS CLI *.
```
aws iot get-registration-code
```
1. Genere un par de claves para el certificado de verificación de clave privada:
```
openssl genrsa -out verification_cert_key_filename.key 2048
```
1. Cree una solicitud de firma de certificado (CSR) para el certificado de verificación de clave privada. Establezca el campo `Common Name` del certificado en el `registrationCode` devuelto por **get-registration-code**.
```
openssl req -new \
-key verification_cert_key_filename.key \
-out verification_cert_csr_filename.csr
```
Se le solicita información, incluido el `Common Name` del certificado.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
1. Utilice la CSR para crear un certificado de verificación de la clave privada:
```
openssl x509 -req \
-in verification_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out verification_cert_filename.pem \
-days 500 -sha256
```
1. Registre el certificado de CA con AWS IoT. Pase el nombre de archivo del certificado de entidad de certificación y el nombre de archivo del certificado de verificación de clave privada al comando **register-ca-certificate**, tal como sigue: Para obtener más información, consulte [register-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/register-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.
```
aws iot register-ca-certificate \
--ca-certificate file://root_CA_cert_filename.pem \
--verification-cert file://verification_cert_filename.pem
```
Este comando devuelve el*certificateId*, si tiene éxito.
1. En este momento, el certificado de CA se ha registrado AWS IoT pero no está activo. El certificado de entidad de certificación debe estar activo antes de poder registrar los certificados de cliente firmados por él.
Este paso activa el certificado de entidad de certificación.
Para activar el certificado de entidad de certificación, utilice el comando **update-certificate** del modo siguiente. Para obtener más información, consulte [update-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) en la *Referencia de comandos de la AWS CLI *.
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status ACTIVE
```
Utilice el comando **describe-ca-certificate** para ver el estado del certificado de entidad de certificación. Para obtener más información, consulte [describe-ca-certificate](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) en la *Referencia de comandos de la AWS CLI *.
### Creación un certificado de verificación de CA para registrarlo en la consola
**nota**
Este procedimiento solo se utiliza si va a registrar un certificado de CA desde la AWS IoT consola.
Si no ha realizado este procedimiento desde la AWS IoT consola, inicie el proceso de registro del certificado de CA en la consola en [Registrar el certificado de CA](https://console.aws.amazon.com//iot/home#/create/cacertificate).
Asegúrese de que dispone de lo siguiente en el mismo ordenador antes de continuar:
+ El archivo de certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_cert_filename.pem`).
+ El archivo de clave privada del certificado de entidad de certificación raíz (al que se hace referencia en el siguiente ejemplo como `root_CA_key_filename.key`).
+ [OpenSSL v1.1.1i](https://www.openssl.org/) o versiones posteriores.
**Para usar la interfaz de línea de comandos con el fin de crear un certificado de verificación de CA para registrar su certificado de entidad de certificación en la consola:**
1. Reemplace `verification_cert_key_filename.key` por el nombre del archivo de clave del certificado de verificación que quiera crear (por ejemplo, **verification\$1cert.key**). Luego ejecute este comando para generar un par de claves para el certificado de verificación de clave privada:
```
openssl genrsa -out verification_cert_key_filename.key 2048
```
1. Reemplace `verification_cert_key_filename.key` por el nombre del archivo de clave que creó en el paso 1.
Reemplace `verification_cert_csr_filename.csr` por el nombre del archivo de solicitud de firma de certificado (CSR) que quiera crear. Por ejemplo, **verification\$1cert.csr**.
Ejecute el comando para crear el archivo CSR.
```
openssl req -new \
-key verification_cert_key_filename.key \
-out verification_cert_csr_filename.csr
```
El comando le solicita información adicional que se explica más adelante.
1. En la AWS IoT consola, en el contenedor del **certificado de verificación**, copie el código de registro.
1. La información que le solicita el comando **openssl** se muestra en el siguiente ejemplo. A excepción del campo `Common Name`, puede introducir sus propios valores o mantenerlos vacíos.
En el campo `Common Name`, pegue el código de registro que copió en el paso anterior.
```
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) []:
Locality Name (for example, city) []:
Organization Name (for example, company) []:
Organizational Unit Name (for example, section) []:
Common Name (e.g. server FQDN or YOUR name) []:your_registration_code
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
```
Al terminar, el comando crea el archivo CSR.
1. Reemplace `verification_cert_csr_filename.csr` por el `verification_cert_csr_filename.csr` que utilizó en el paso anterior.
Reemplace `root_CA_cert_filename.pem` por el nombre del archivo de del certificado de entidad de certificación que quiera registrar.
Reemplace `root_CA_key_filename.key` por el nombre del archivo de clave privada del certificado de entidad de certificación.
Reemplace `verification_cert_filename.pem` por el nombre del archivo de clave del certificado de verificación que quiera crear. Por ejemplo, **verification\$1cert.pem**.
```
openssl x509 -req \
-in verification_cert_csr_filename.csr \
-CA root_CA_cert_filename.pem \
-CAkey root_CA_key_filename.key \
-CAcreateserial \
-out verification_cert_filename.pem \
-days 500 -sha256
```
1. Cuando se complete el comando OpenSSL, debería tener estos archivos listos para usarlos cuando regrese a la consola.
+ Su archivo de certificado de entidad de certificación (`root_CA_cert_filename.pem` utilizado en el comando anterior).
+ El certificado de verificación que creó en el paso anterior (*verification\$1cert\$1filename.pem*utilizado en el comando anterior)
## Desactivar un certificado de entidad de certificación
Cuando un certificado de una entidad emisora de certificados (CA) está habilitado para el registro automático de certificados de cliente, AWS IoT comprueba el certificado de la CA para asegurarse de que la CA lo está`ACTIVE`. Si el certificado de CA lo está`INACTIVE`, AWS IoT no permite registrar el certificado de cliente.
Al establecer el certificado de entidad de certificación como `INACTIVE`, impide que los certificados de cliente nuevos emitidos por la entidad de certificación se registren automáticamente.
**nota**
Todos los certificados de dispositivo registrados que haya firmado el certificado de entidad de certificación en riesgo siguen funcionando hasta que revoque explícitamente cada uno de ellos.
### Desactivar un certificado de entidad de certificación (consola)
**Para desactivar un certificado de CA mediante la consola AWS IoT**
1. Inicie sesión en la [AWS IoT consola Consola de administración de AWS](https://console.aws.amazon.com/iot/home) y ábrala.
1. En el panel de navegación izquierdo, selecciona **Seguro** y elige **CAs**.
1. En la lista de autoridades de certificación, busque la que desea desactivar y elija el icono de los puntos suspensivos para abrir el menú de opciones.
1. En el menú de opciones, elija **Deactivate (Desactivar)**.
La entidad de certificación debe mostrarse como **Inactive (Inactiva)** en la lista.
**nota**
La AWS IoT consola no proporciona una forma de enumerar los certificados firmados por la entidad emisora de certificados que ha desactivado. Para obtener una opción de AWS CLI para enumerar esos certificados, consulte [Desactivar un certificado de entidad de certificación (CLI)](#deactivate-ca-cert-cli).
### Desactivar un certificado de entidad de certificación (CLI)
AWS CLI Proporciona el [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-ca-certificate.html)comando para desactivar un certificado de CA.
```
aws iot update-ca-certificate \
--certificate-id certificateId \
--new-status INACTIVE
```
Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/list-certificates-by-ca.html) para obtener una lista de todos los certificados de cliente registrados firmados por la entidad de certificación especificada. Por cada certificado de cliente firmado por el certificado de entidad de certificación especificado, puede utilizar el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/update-certificate.html) para revocar el certificado de cliente y evitar que este se use.
Utilice el comando [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/describe-ca-certificate.html) para ver el estado del certificado de entidad de certificación.