セキュリティ

AWS Private Certificate Authority

Autoridad de certificación gestionada que emite y gestiona certificados X.509 privados para uso interno organizacional basados en jerarquía de CA, utilizados para mTLS y autenticación de dispositivos IoT

Unos 3 min de lectura

Descripción general

AWS Private Certificate Authority (Private CA) es un servicio de autoridad de certificación gestionado que emite certificados X.509 privados para uso interno de la organización. A diferencia de ACM que emite certificados públicos de confianza, Private CA permite crear una jerarquía de CA propia para emitir certificados para comunicación interna (mTLS), autenticación de dispositivos IoT, firma de código y VPN. Elimina la complejidad de operar infraestructura PKI on-premises.

Diseño de jerarquía de CA y operación de CA raíz

Private CA soporta jerarquías de CA de múltiples niveles: CA raíz, CA subordinada y opcionalmente CA de emisión. La CA raíz es el ancla de confianza y debe protegerse con los controles más estrictos. La práctica recomendada es mantener la CA raíz offline (deshabilitada después de emitir certificados de CA subordinada) y usar CAs subordinadas para la emisión diaria de certificados. Private CA permite crear CAs con algoritmos RSA 2048/4096 o ECDSA P256/P384. El período de validez de la CA raíz típicamente se configura en 10-20 años, las subordinadas en 5-10 años, y los certificados de entidad final en 1-2 años. La revocación se gestiona mediante CRL (Certificate Revocation Lists) publicadas en S3 o mediante OCSP (Online Certificate Status Protocol) gestionado.

Plantillas de certificados y emisión automatizada

Las plantillas de certificados definen las extensiones y restricciones incluidas en los certificados emitidos. Private CA ofrece plantillas predefinidas para casos comunes: certificados de servidor TLS, certificados de cliente, certificados de firma de código y certificados de CA subordinada. Las plantillas personalizadas permiten definir extensiones específicas como Subject Alternative Names (SAN), Key Usage y Extended Key Usage. La emisión automatizada se logra mediante la integración con ACM: cuando ACM solicita un certificado privado, Private CA lo emite automáticamente. Para IoT, la integración con IoT Core permite emisión automatizada de certificados de dispositivo durante el aprovisionamiento. Lambda puede automatizar flujos de emisión personalizados respondiendo a eventos de registro de dispositivos.

Casos de uso de mTLS y certificados de dispositivos IoT

mTLS (mutual TLS) requiere que tanto el cliente como el servidor presenten certificados, proporcionando autenticación bidireccional. Private CA emite certificados de cliente que las aplicaciones presentan al conectarse a servicios internos, eliminando la dependencia de credenciales estáticas. API Gateway soporta mTLS con certificados de Private CA para APIs internas. Para IoT, cada dispositivo recibe un certificado único durante la fabricación o el primer arranque, usado para autenticarse ante IoT Core. La rotación de certificados de dispositivos se automatiza mediante trabajos de IoT que distribuyen nuevos certificados antes de la expiración. El costo de Private CA incluye una tarifa mensual por CA activa más una tarifa por certificado emitido, siendo significativamente más económico que operar infraestructura PKI propia para organizaciones con miles de certificados.

共有するXB!

Términos relacionados

AWS Certificate ManagerAWS KMSAWS IAMAWS IoT CoreAWS CloudHSM

Servicios relacionados

AWS Certificate ManagerAWS KMSAWS IoT CoreAmazon API Gateway

Artículos relacionados

Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Patrones de diseño de Amazon API Gateway - Criterios de selección entre REST API y HTTP APIClarificamos los criterios de selección entre HTTP API y REST API, y presentamos patrones de autenticación con Cognito y Lambda Authorizer, así como métodos prácticos de diseño de throttling.Diseño visual de aplicaciones serverless con AWS Application Composer - Generación automática de plantillas IaCExplica el diseño visual de arquitecturas serverless con Application Composer, la generación automática de plantillas SAM y la integración con VS Code.El mecanismo de throttling de las API de AWS - El algoritmo Token Bucket y la verdad detrás del error 429Explicamos cómo el rate limiting de las API de AWS se implementa con el algoritmo Token Bucket, el concepto de burst capacity, las diferencias en los límites según el servicio, y las medidas prácticas para evitar el throttling.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.

Términos y artículos similares

PKI privada con AWS Private CA - Emisión automática y rotación de certificadosConstruye una autoridad de certificación privada y emite automáticamente certificados mTLS para comunicación entre servicios internos. Presentamos la gestión del ciclo de vida de certificados y el diseño de CRL.AWS Private Certificate AuthorityServicio de autoridad certificadora gestionado para emitir y gestionar certificados privadosGestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.