Seguridad

Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotación

Explicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.

約 4 分で読めます

Descripción general de ACM

ACM es un servicio que automatiza la emisión, gestión y despliegue de certificados SSL/TLS. Los certificados públicos se emiten de forma gratuita y pueden desplegarse en ALB, NLB, CloudFront, API Gateway y Elastic Beanstalk con unos pocos clics. A diferencia de Let's Encrypt, la renovación de certificados está completamente automatizada, eliminando la necesidad de gestionar trabajos cron o certbot. No es posible instalar certificados directamente en instancias EC2, por lo que si se necesita terminar HTTPS en EC2, se debe colocar un ALB delante o utilizar Let's Encrypt.

Validación DNS y renovación automática

Existen dos métodos de validación de certificados: validación DNS y validación por correo electrónico. En la validación DNS, se agrega un registro CNAME especificado por ACM en Route 53 (o DNS externo). Si se utiliza Route 53, se puede agregar con un solo clic desde la consola. La validación por correo electrónico envía un correo de confirmación a la dirección del administrador del dominio, pero como requiere aprobación manual en cada renovación, se recomienda encarecidamente la validación DNS. El registro de validación DNS permanece válido mientras no se elimine y se utiliza continuamente para la renovación automática del certificado. La renovación automática comienza 60 días antes de la fecha de vencimiento del certificado y se renueva automáticamente mientras exista el registro de validación DNS y el certificado esté asociado a un recurso de AWS. El período de validez del certificado es de 13 meses, y el certificado renovado se refleja automáticamente en ALB y CloudFront.

Certificados privados y transparencia de certificados

Al integrarse con ACM Private CA, se pueden emitir certificados privados para la comunicación entre servicios internos de la organización. Los certificados públicos se registran en los registros de Certificate Transparency (CT), por lo que si no se desea exponer los nombres de host de servicios internos, se deben utilizar certificados privados. También es posible gestionar certificados emitidos por CA externas mediante la función de importación de ACM, pero la renovación automática solo es compatible con certificados emitidos por ACM. Cuando se acerca la fecha de vencimiento del certificado, se notifica mediante métricas de CloudWatch y eventos de EventBridge para prevenir renovaciones olvidadas. Es necesario emitir certificados por cada región, por lo que en configuraciones multirregión se gestionan certificados en cada región. Para aprender exhaustivamente las mejores prácticas de ACM, consulte libros técnicos (Amazon).

Precios de ACM

Los certificados públicos de ACM se emiten y renuevan de forma gratuita. No se generan cargos adicionales por el despliegue en ALB, CloudFront o API Gateway. ACM Private CA tiene un costo mensual de aproximadamente 400 dólares por CA, con cargos adicionales según el número de certificados emitidos (0.75 dólares por certificado para los primeros 1,000). En el modo de certificados de corta duración (período de validez de 7 días o menos), el cargo mensual de la CA se reduce a aproximadamente 50 dólares. Para casos de uso que pueden cubrirse con certificados públicos, se aprovechan los certificados gratuitos de ACM, limitando Private CA a casos necesarios como mTLS o autenticación de servicios internos para gestionar los costos.

Resumen

ACM es un servicio que automatiza de forma gratuita desde la emisión hasta la renovación de certificados SSL/TLS públicos. Una vez configurada la validación DNS, los certificados se mantienen sin intervención manual, y el despliegue en ALB y CloudFront se realiza de forma transparente. Con la integración de Private CA, también se admite la autenticación mTLS para servicios internos, centralizando la gestión de certificados de toda la organización.

Servicios relacionados

AWS Certificate ManagerUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAmazon CloudFrontUn servicio CDN que distribuye contenido a alta velocidad desde ubicaciones de borde en todo el mundoAmazon Route 53Servicio de Sistema de Nombres de Dominio (DNS) y registro de dominios de alta disponibilidad

Artículos relacionados

PKI privada con AWS Private CA - Emisión automática y rotación de certificadosConstruye una autoridad de certificación privada y emite automáticamente certificados mTLS para comunicación entre servicios internos. Presentamos la gestión del ciclo de vida de certificados y el diseño de CRL.Monitoreo del rendimiento de Internet con Amazon CloudWatch Internet Monitor - Visualización de disponibilidad y latenciaExplicamos el monitoreo del rendimiento de aplicaciones a través de Internet con Internet Monitor, el análisis de disponibilidad por ISP y la detección de eventos de salud.Diseño DNS con Amazon Route 53 - Políticas de enrutamiento y health checks en la prácticaLogre un control avanzado del tráfico con registros alias y siete políticas de enrutamiento. Este artículo cubre el diseño de failover multi-región con health checks.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.

Artículos y servicios similares

Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.AWS Certificate ManagerServicio que aprovisiona, gestiona y renueva automáticamente certificados SSL/TLS, permitiendo habilitar HTTPS en CloudFront y ALB con certificados gratuitosAWS Private Certificate AuthorityServicio de autoridad certificadora gestionado para emitir y gestionar certificados privadosPKI privada con AWS Private CA - Emisión automática y rotación de certificadosConstruye una autoridad de certificación privada y emite automáticamente certificados mTLS para comunicación entre servicios internos. Presentamos la gestión del ciclo de vida de certificados y el diseño de CRL.