PKI privada con AWS Private CA - Emisión automática y rotación de certificados
Construye una autoridad de certificación privada y emite automáticamente certificados mTLS para comunicación entre servicios internos. Presentamos la gestión del ciclo de vida de certificados y el diseño de CRL.
Descripción general de Private CA
Private CA es un servicio de autoridad de certificación gestionado que automatiza la emisión y gestión de certificados privados. Mientras que ACM (AWS Certificate Manager) emite certificados públicos de forma gratuita, Private CA emite certificados privados para uso interno de la organización. Se utiliza para casos de uso que no pueden cubrirse con certificados públicos, como mTLS entre microservicios, autenticación de clientes VPN y autenticación de dispositivos IoT. Private CA soporta algoritmos de clave RSA 2048/4096 y ECDSA P256/P384, emitiendo certificados con extensiones X.509 v3. Todas las operaciones desde la creación de la CA hasta la emisión de certificados están disponibles via API, eliminando errores operativos manuales y registrando automáticamente pistas de auditoría en CloudTrail.
Emisión de certificados y mTLS
Al usar certificados emitidos por Private CA para mTLS entre servicios, se logra no solo el cifrado de la comunicación sino también la autenticación del cliente. El uso de certificados de corta duración (período de validez de horas a días) elimina la necesidad de gestionar listas de revocación de certificados (CRL). Como el período de validez del certificado es corto, la ventana de tiempo para que un certificado filtrado sea explotado es extremadamente pequeña. La integración con ACM permite desplegar automáticamente certificados privados en ALB, logrando HTTPS en ALB internos. En entornos EKS, es común combinar cert-manager con el plugin Private CA Issuer para emitir y rotar certificados automáticamente por Pod. Para diseños que distribuyen automáticamente certificados mTLS a proxies sidecar en App Mesh o Service Connect, se recomienda establecer la validez del certificado en 24 horas o menos, eliminando completamente la necesidad de gestión de CRL.
Plantillas de certificados y automatización
Private CA emite certificados por propósito mediante plantillas de certificados: certificados de servidor, certificados de cliente, certificados de firma de código, etc. La integración con ACM permite desplegar automáticamente certificados emitidos por Private CA en ALB y API Gateway, automatizando también la renovación. Los certificados de corta duración (período de validez de 7 días o menos) simplifican la gestión de CRL (Lista de Revocación de Certificados), eliminando la necesidad de procesamiento de revocación. También es posible una configuración con respondedor OCSP (Online Certificate Status Protocol) para verificar la validez de certificados en tiempo real. Se automatiza la creación de CA y la emisión de certificados con CloudFormation o Terraform, gestionando la infraestructura PKI como IaC. Desde los fundamentos hasta la aplicación de la gestión de certificados, puede aprender sistemáticamente con libros (Amazon).
Patrones de diseño por caso de uso
Para mTLS entre microservicios, se emiten certificados de corta duración por servicio y se incluye el nombre del servicio en el SAN (Subject Alternative Name) del certificado para integrarse con el descubrimiento de servicios. Para autenticación de dispositivos IoT, se pre-emiten certificados desde Private CA durante la fabricación del dispositivo y se integra con el registro Just-in-Time (JITR) de AWS IoT Core para el aprovisionamiento automático en la primera conexión. Para autenticación de clientes VPN, se emiten tanto certificados de servidor como de cliente desde Private CA para AWS Client VPN configurando autenticación mutua. Para firma de código, se integran certificados de Private CA en pipelines CI/CD para firmar artefactos de compilación (como paquetes de despliegue de funciones Lambda) y detectar manipulaciones.
Mejores prácticas de diseño y errores comunes
Configure la jerarquía de CA con 2 niveles (CA raíz + CA intermedia) o 3 niveles (CA raíz + CA de políticas + CA emisora), estableciendo el período de validez de la CA raíz en 10 años o más. Deshabilite la CA raíz inmediatamente después de la emisión de certificados y opere solo la CA intermedia para reducir el riesgo de uso indebido de la clave raíz. La distribución de CRL se configura típicamente para publicarse automáticamente en un bucket S3, pero políticas de acceso al bucket mal configuradas pueden causar fallos en la validación de certificados a nivel de todo el servicio, por lo que las políticas del bucket S3 deben gestionarse con cuidado. Habilitar el respondedor OCSP elimina las descargas de CRL y mejora la velocidad de validación, pero la disponibilidad del endpoint OCSP afecta a todo el servicio, requiriendo un diseño de alta disponibilidad. Un patrón de fallo común es la caída de servicios porque la expiración de la CA pasa desapercibida. Diseñe alarmas de CloudWatch para monitorear la validez restante de la CA y alertar 6 meses antes de la expiración.
Precios de Private CA
Private CA cuesta aproximadamente 400 dólares mensuales por CA, con cargos adicionales según el número de certificados emitidos. Los primeros 1,000 certificados cuestan 0.75 dólares cada uno, hasta 10,000 cuestan 0.35 dólares. En modo de certificados de corta duración, la tarifa mensual de CA se reduce a aproximadamente 50 dólares, mejorando la eficiencia de costos en entornos de microservicios que emiten grandes cantidades de certificados de corta duración. La estructura jerárquica de CA (CA raíz → CA intermedia), donde la CA raíz se mantiene offline y solo se opera la CA intermedia, es la mejor práctica de seguridad.
Resumen
Private CA es un servicio que emite y gestiona de forma gestionada certificados privados internos de la organización. Simplifica la gestión de CRL con certificados de corta duración (7 días o menos) y automatiza el despliegue y renovación de certificados con la integración de ACM. Logra la autenticación mutua entre servicios con mTLS y construye una PKI conforme a las mejores prácticas de seguridad con la estructura jerárquica de CA (CA raíz + CA intermedia).