Seguridad

Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate Manager

Aprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.

約 7 分で読めます

Desafíos de la gestión de certificados TLS y el rol de ACM

Los certificados TLS/SSL son esenciales para HTTPS en sitios web y APIs, pero la gestión tradicional de certificados implica una carga operativa significativa. Solicitar a una Autoridad de Certificación (CA), verificar la propiedad del dominio, instalar certificados y, lo más problemático, renovar antes del vencimiento. Las interrupciones de servicio causadas por renovaciones de certificados olvidadas son incidentes que realmente ocurren en muchas organizaciones. AWS Certificate Manager (ACM) resuelve fundamentalmente estos desafíos. Emite certificados TLS públicos de forma gratuita, y cuando se configura la validación DNS, la renovación es completamente automática. Los certificados emitidos por ACM tienen un período de validez de 13 meses, y los intentos de renovación automática comienzan 60 días antes del vencimiento. Mientras el registro CNAME de validación DNS esté correctamente configurado, los certificados continúan renovándose sin intervención humana. ACM es ampliamente compatible con los principales servicios de borde y balanceadores de carga de AWS, incluyendo CloudFront, ALB, NLB, API Gateway y App Runner.

Emisión de certificados y métodos de validación

Emitir un certificado con ACM requiere solo especificar el nombre de dominio y elegir un método de validación. Hay dos métodos de validación - validación DNS y validación por correo electrónico - siendo la validación DNS la recomendada. Con la validación DNS, demuestra la propiedad del dominio agregando un registro CNAME especificado por ACM a su DNS. Al usar Route 53, puede crear el registro CNAME con un solo clic desde la consola de administración. ```yaml # ACM certificate definition in a SAM template Resources: Certificate: Type: AWS::CertificateManager::Certificate Properties: DomainName: example.com SubjectAlternativeNames: - '*.example.com' ValidationMethod: DNS DomainValidationOptions: - DomainName: example.com HostedZoneId: !Ref HostedZone ``` Al emitir un certificado comodín (*.example.com), puede cubrir cualquier subdominio como api.example.com, www.example.com y app.example.com con un solo certificado. También puede incluir múltiples nombres de dominio en un solo certificado usando Subject Alternative Names (SAN). Tenga en cuenta que los certificados usados con CloudFront deben emitirse en la región us-east-1. Los certificados para ALB o API Gateway deben emitirse en la misma región que el recurso.

Integración con servicios AWS

Los certificados ACM se utilizan asociándolos directamente con servicios AWS. Para distribuciones CloudFront, especifica un certificado ACM para HTTPS en dominios personalizados. Para ALB (Application Load Balancer), configura un certificado ACM en el listener HTTPS, con la terminación TLS manejada en el balanceador de carga. SNI (Server Name Indication) permite que un solo ALB use diferentes certificados para múltiples dominios. Los dominios personalizados de API Gateway también usan certificados ACM, permitiendo exponer APIs en dominios personalizados como api.example.com. App Runner también soporta HTTPS en dominios personalizados usando certificados ACM. En todos estos servicios, la clave privada del certificado nunca se expone a los usuarios y es gestionada de forma segura por AWS. Cuando los certificados se renuevan automáticamente, los cambios se reflejan automáticamente en los servicios asociados sin tiempo de inactividad. Para una comprensión sistemática de la gestión de certificados, libros relacionados en Amazon también pueden ser una referencia útil.

Private CA y casos de uso avanzados

ACM Private CA (Private Certificate Authority) es un servicio de CA administrado para emitir certificados privados utilizados dentro de una organización. Se usa para autenticación mTLS (TLS mutuo) entre sistemas internos, gestión de certificados de dispositivos IoT y autenticación de conexiones VPN. Private CA cuesta $400 USD por mes, lo cual es costoso, pero es razonable comparado con el costo de construir y operar su propia CA (HSM, personal de operaciones, cumplimiento de auditoría). El modo de certificados de corta duración permite emitir certificados con un período de validez de 7 días o menos, eliminando la tarifa mensual (solo se aplican cargos por uso por certificado). El registro en Certificate Transparency log también está disponible como opción, asegurando el mismo nivel de auditabilidad que los certificados públicos. ACM también soporta certificados importados, permitiendo importar certificados emitidos por otras CAs (Let's Encrypt, DigiCert, etc.) en ACM para uso con ALB o CloudFront. Sin embargo, los certificados importados no son elegibles para renovación automática, por lo que emitir directamente a través de ACM resulta en menor carga operativa.

Precios de ACM

Los certificados públicos de ACM son gratuitos para emitir y renovar. No hay cargos adicionales por desplegar en ALB, CloudFront o API Gateway. ACM Private CA cuesta aproximadamente $400 por mes por CA, con cargos adicionales basados en el número de certificados emitidos (aproximadamente $0.75 por certificado para los primeros 1,000). Para casos de uso que pueden abordarse con certificados públicos, aproveche los certificados gratuitos de ACM y limite Private CA a mTLS y autenticación de servicios internos para gestionar costos.

Resumen - Directrices de uso de ACM

AWS Certificate Manager es un servicio que automatiza completamente la emisión, renovación y despliegue de certificados TLS. Los certificados públicos son gratuitos para emitir, y la renovación automática mediante validación DNS elimina el riesgo de vencimiento de certificados. La integración con servicios principales incluyendo CloudFront, ALB, API Gateway y App Runner reduce significativamente la barrera para la adopción de HTTPS. Los certificados comodín y SAN permiten la gestión eficiente de múltiples dominios. Private CA aborda la gestión de certificados para sistemas internos y dispositivos IoT, cumpliendo requisitos de seguridad empresarial. Al publicar sitios web o APIs, se recomienda adoptar ACM para la gestión de certificados como práctica estándar.

Servicios relacionados

AWS Certificate ManagerUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAmazon CloudFrontUn servicio CDN que distribuye contenido a alta velocidad desde ubicaciones de borde en todo el mundoElastic Load BalancingUn servicio que distribuye automáticamente el tráfico entre múltiples servidores para alta disponibilidad y tolerancia a fallos

Artículos relacionados

Construcción de un sitio WordPress con Amazon Lightsail - Desde la configuración SSL hasta la distribución CDNConstruye un sitio WordPress con Lightsail, configura SSL con Let's Encrypt y publícalo globalmente con distribución CDN. También se presenta la estrategia de copias de seguridad.Diseño DNS con Amazon Route 53 - Políticas de enrutamiento y health checks en la prácticaLogre un control avanzado del tráfico con registros alias y siete políticas de enrutamiento. Este artículo cubre el diseño de failover multi-región con health checks.Registro de dominios y migración DNS con Amazon Route 53 - Transferencias de registrador y configuración de zonasUna guía completa que cubre el registro de dominios, transferencias desde otros registradores, diseño de zonas alojadas públicas y privadas, y habilitación de DNSSEC.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.

Artículos y servicios similares

AWS Certificate ManagerServicio que aprovisiona, gestiona y renueva automáticamente certificados SSL/TLS, permitiendo habilitar HTTPS en CloudFront y ALB con certificados gratuitosAutomatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.AWS Private Certificate AuthorityServicio de autoridad certificadora gestionado para emitir y gestionar certificados privadosPKI privada con AWS Private CA - Emisión automática y rotación de certificadosConstruye una autoridad de certificación privada y emite automáticamente certificados mTLS para comunicación entre servicios internos. Presentamos la gestión del ciclo de vida de certificados y el diseño de CRL.