Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Validar la propiedad del dominio para los certificados AWS Certificate Manager públicos
<a name="domain-ownership-validation"></a>

A fin de que la entidad de certificación (CA) de Amazon pueda emitir un certificado para el sitio, AWS Certificate Manager (ACM) debe verificar que usted es el propietario de todos los nombres de dominio que ha especificado en la solicitud, o bien que es quien los controla. Puede optar por demostrar que es propietario con la validación del sistema de nombres de dominio (DNS), con la validación por correo electrónico o HTTP en el momento en que solicita un certificado.

**nota**  
La validación solo se aplica a los certificados de confianza pública emitidos por ACM. ACM no valida la propiedad del dominio para [certificados importados](import-certificate.md) o para certificados firmados por una CA privada. ACM no puede validar los recursos de una [zona alojada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) de Amazon VPC o cualquier otro dominio privado. Para obtener más información, consulte [Solución de problemas de validación de certificados](certificate-validation.md).

Se recomienda utilizar la validación por DNS por sobre la de correo electrónico debido a las siguientes razones:
+ Si utiliza Amazon Route 53 para administrar sus registros de DNS públicos, puede actualizar los registros directamente a través de ACM.
+ ACM renueva automáticamente los certificados validados por DNS, siempre y cuando el certificado esté en uso y el registro de DNS siga existiendo.
+ Los certificados validados por correo electrónico requieren que el propietario del dominio realice una acción para su renovación. ACM comienza a enviar avisos de renovación 45 días antes de su vencimiento. Estos avisos se envían a una o varias de las cinco direcciones de administrador comunes del dominio. Las notificaciones contienen un enlace que el propietario del dominio puede presionar para facilitar la renovación. Una vez validados todos los dominios enumerados, ACM emite un certificado renovado con el mismo ARN.

Si no puede editar la base de datos de DNS del dominio, debe utilizar la [validación por correo electrónico](email-validation.md).

La validación HTTP está disponible para los certificados que se utilizan con CloudFront. Este método utiliza redireccionamientos HTTP para demostrar la propiedad del dominio y ofrece una renovación automática similar a la validación por DNS.

**nota**  
Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS. Para utilizar la validación de DNS, elimine el certificado y luego cree otro nuevo que utilice la validación de DNS.

**Topics**
+ [AWS Certificate Manager Validación de DNS](dns-validation.md)
+ [AWS Certificate Manager validación del correo electrónico](email-validation.md)
+ [AWS Certificate Manager Validación HTTP](http-validation.md)

# AWS Certificate Manager Validación de DNS
<a name="dns-validation"></a>

El sistema de nombres de dominio (DNS) es un servicio de directorio para los recursos conectados a una red. Su proveedor de DNS mantiene una base de datos que contiene registros que definen el dominio. Cuando elige la validación por DNS, ACM proporciona uno o varios registros CNAME que deben agregarse a esta base de datos. Estos registros contienen un par de valor de clave único que sirve como prueba de que usted controla el dominio.

**nota**  
Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS. Para utilizar la validación de DNS, elimine el certificado y luego cree otro nuevo que utilice la validación de DNS.

Por ejemplo, si solicita un certificado para el dominio `example.com` con `www.example.com` como nombre adicional, ACM crea dos registros CNAME. Cada registro, creado específicamente para el dominio y la cuenta, contiene un nombre y un valor. El valor es un alias que apunta a un AWS dominio que ACM utiliza para renovar automáticamente el certificado. Los registros CNAME se deben agregar a la base de datos de DNS una sola vez. ACM renueva automáticamente el certificado, siempre y cuando esté en uso y el registro CNAME siga existiendo. 

**importante**  
Si no utiliza Amazon Route 53 para administrar los registros de DNS públicos, contacte a su proveedor de DNS para saber cómo agregar registros. Si no tiene autoridad para editar la base de datos de DNS del dominio, debe utilizar la [validación por correo electrónico](email-validation.md).

Sin necesidad de repetir la validación, puede solicitar certificados de ACM adicionales para el nombre de dominio completo (FQDN) mientras el registro CNAME siga existiendo. Es decir, puede crear certificados de reemplazo que tengan el mismo nombre de dominio o certificados que cubran diferentes subdominios. Como el token de validación CNAME funciona en cualquier AWS región, puedes volver a crear el mismo certificado en varias regiones. También puede reemplazar un certificado eliminado. 

Para detener la renovación automática, puede eliminar el certificado del servicio de AWS con el que está asociado o eliminar el registro CNAME. Si Route 53 no es su proveedor de DNS, contacte a su proveedor para saber cómo eliminar un registro. Si Route 53 es su proveedor, consulte [Eliminación de conjuntos de registro de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-deleting.html) en la *Guía del desarrollador de Route 53*. Para obtener más información sobre la renovación de certificados administrados, consulte [Renovación de certificados gestionada en AWS Certificate Manager](managed-renewal.md). 

**nota**  
La resolución de CNAME fallará si hay más de cinco CNAMEs encadenados en tu configuración de DNS. Si necesita un encadenamiento más largo, recomendamos utilizar la [validación por correo electrónico](email-validation.md).

## Cómo funcionan los registros CNAME de ACM
<a name="cnames-overview"></a>

**nota**  
Esta sección es para los clientes que no utilizan Route 53 como su proveedor de DNS.

Si no utiliza Route 53 como proveedor de DNS, debe introducir de forma manual los registros CNAME proporcionados por ACM en la base de datos del proveedor, normalmente a través de un sitio web. Los registros CNAME se utilizan para una serie de propósitos, incluidos los mecanismos de redirección y contenedores para metadatos específicos del proveedor. En el caso de ACM, estos registros permiten la validación inicial de la propiedad del dominio y la renovación automática de certificados en curso. 

En la siguiente tabla, se muestran ejemplos de registros CNAME para seis nombres de dominio. Cada par de **Nombre**-**Valor** del registro sirve para autenticar la propiedad del nombre de dominio. 

En la tabla, tenga en cuenta que los dos primeros pares de **Nombre**-**Valor del registro** son iguales. Esto ilustra que, para un dominio comodín, como `*.example.com`, las cadenas creadas por ACM son las mismas que las creadas para su dominio base, `example.com`. De lo contrario, el par de **Nombre** y **Valor** difiere para cada nombre de dominio.


**Registros CNAME de ejemplo**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/acm/latest/userguide/dns-validation.html)

Los *xN* valores que siguen al guión bajo (\$1) son cadenas largas generadas por ACM. Por ejemplo: 

```
_3639ac514e785e898d2646601fa951d5.example.com.
```

es representativo de un **Nombre de registro** generado. El **Valor de registro** asociado podría ser

```
_98d2646601fa951d53639ac514e785e8.acm-validation.aws.
```

para el mismo registro.

**nota**  
Si su proveedor de DNS no admite valores de CNAME con caracteres de guion bajo iniciales, consulte [Solución de problemas de validación con DNS](troubleshooting-DNS-validation.md).

Cuando solicita un certificado y especifica la validación por DNS, ACM proporciona información CNAME en el siguiente formato:


****  

| Nombre del dominio | Nombre del registro | Tipo del registro | Valor del registro | 
| --- | --- | --- | --- | 
| example.com | \$1a79865eb4cd1a6ab990a45779b4e0b96.example.com. | CNAME |  \$1424c7224e9b0146f9a8808af955727d0.acm-validations.aws.  | 

El *Nombre del dominio* es el FQDN asociado al certificado. El *Nombre del registro* identifica el registro de forma única y sirve como la clave del par de valor de clave. El *Valor del registro* sirve como el valor del par de valor de clave. 

Estos tres valores (*Nombre de dominio*, *Nombre de registro* y *Valor de registro*) deben ingresarse en los campos apropiados de la interfaz web del proveedor de DNS para agregar registros de DNS. Los proveedores no manejan del mismo modo el campo de nombre de registro (o simplemente “nombre”). En algunos casos, se espera que proporcione toda la cadena como se muestra arriba. Otros proveedores agregan automáticamente el nombre de dominio a cualquier cadena que ingrese, lo que significa (en este ejemplo) que solo debe ingresar

```
_a79865eb4cd1a6ab990a45779b4e0b96
```

en el campo de nombre. Si la entrada es incorrecta e ingresa un nombre de registro que contiene un nombre de dominio (como *`.example.com`*), es posible que el resultado sea el siguiente:

```
_a79865eb4cd1a6ab990a45779b4e0b96.example.com.example.com.
```

La validación fallará en este caso. Por eso, debe intentar determinar de antemano qué tipo de entrada espera su proveedor.

## Configuración de la validación por DNS
<a name="setting-up-dns-validation"></a>

En esta sección se describe cómo configurar un certificado público para usar la validación de DNS.<a name="dns-validation-console"></a>

**Para configurar la validación por DNS en la consola**
**nota**  
Este procedimiento supone que ya ha creado al menos un certificado y que trabaja en la AWS región en la que lo creó. Si intenta abrir la consola y ve la pantalla de primer uso, o si logra abrir la consola y no ve el certificado en la lista, compruebe que ha especificado la región correcta.

1. Abra la consola ACM en [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. En la lista de certificados, elija la **ID de certificado** de un certificado con estado **Pending validation (Pendiente de validación)** que desea configurar. Se abre una página de detalles del certificado.

1. En la sección **Domains (Dominios)**, realice uno de los dos procedimientos siguientes:

   1. (Opcional) Validar con Route 53.

      Aparece el botón **Create records in Route 53 (Crear registros en Route 53)** si se cumplen las siguientes condiciones:
      + Utiliza Route 53 como el proveedor de DNS.
      + Tiene permiso para escribir en la zona alojada por Route 53.
      + Su FQDN aún *no* se ha validado.
**nota**  
Si utiliza Route 53, pero no se encuentra la opción **Create records in Route 53** (Crear registro en Route 53) o está desactivado, consulte [La consola de ACM no muestra el botón “Crear registro en Route 53”](troubleshooting-DNS-validation.md#troubleshooting-route53-1). 

      Seleccione **Create records in Route 53** (Crear registros en Route 53) y, a continuación, elija **Create records** (Crear registros). La página **Certificate status (Estado del certificado)** debería abrirse con un informe de banner de estado **Successfully created DNS records (Registros DNS creados correctamente)**.

      El nuevo certificado podría continuar mostrando un estado de **Pending validation (Validación pendiente)** durante un máximo de 30 minutos.
**sugerencia**  
No puede solicitar mediante programación que ACM cree automáticamente su registro en Route 53. Sin embargo, puede realizar una AWS CLI llamada a la API de Route 53 para crear el registro en la base de datos DNS de Route 53. Para obtener más información sobre los conjuntos de registros de Route 53, consulte [Trabajar con conjuntos de registros de recursos](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html).

   1. (Opcional) Si no utiliza Route 53 como proveedor de DNS, debe recuperar la información CNAME y agregarla a la base de datos de DNS. En la página de detalles del nuevo certificado, puede hacer esto de una de estas dos formas:
      + Copie los componentes CNAME que se muestran en la sección **Domains (Dominios)**. Esta información aún debe agregarse manualmente a la base de datos de DNS.
      + También puede elegir **Export to CSV (Exportar a CSV**. La información del archivo resultante se debe agregar manualmente a la base de datos de DNS.
**importante**  
Para evitar problemas de validación, revise [Cómo funcionan los registros CNAME de ACM](#cnames-overview) antes de agregar información a la base de datos de su proveedor de DNS. Si surgen problemas, consulte [Solución de problemas en la validación por DNS](troubleshooting-DNS-validation.md). 

Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momento en que genera un valor de CNAME por usted, ACM cambia el estado del certificado a **Validation timed out (Tiempo de espera de validación agotado)**. La razón más probable de este resultado es que no actualizó con éxito la configuración de DNS con el valor que ACM generó. Para solucionar este problema, debe solicitar un certificado nuevo después de revisar las instrucciones CNAME.

# AWS Certificate Manager validación del correo electrónico
<a name="email-validation"></a>

Para que la entidad de certificación (CA) de Amazon pueda emitir un certificado para su sitio, AWS Certificate Manager (ACM) debe verificar que usted es el propietario o controla todos los dominios que ha especificado en la solicitud. Puede realizar la verificación mediante el correo electrónico o DNS. En este tema, se explica la validación por correo electrónico.

Si tiene problemas al utilizar la validación por correo electrónico, consulte [Solución de problemas de validación por correo electrónico](troubleshooting-email-validation.md).

## Cómo funciona la validación por correo electrónico
<a name="how-email-validation-works"></a>

ACM envía mensajes de correo electrónico de validación a los siguientes cinco correos electrónicos del sistema comunes para cada dominio. Como opción alternativa, puede especificar un superdominio como dominio de validación si prefiere recibir estos correos electrónicos en ese dominio. Cualquier subdominio hasta la dirección mínima del sitio web es válido, y se utiliza como dominio de la dirección de correo electrónico como sufijo después de `@`. Por ejemplo, puede recibir un correo electrónico dirigido a admin@example.com si especifica example.com como dominio de validación de subdominio.example.com.
+ administrator@su\$1nombre\$1de\$1dominio
+ hostmaster@su\$1nombre\$1de\$1dominio
+ postmaster@su\$1nombre\$1de\$1dominio
+ webmaster@su\$1nombre\$1de\$1dominio
+ admin@su\$1nombre\$1de\$1dominio

Para demostrar que es el propietario del dominio, debe seleccionar el enlace de validación incluido en estos correos electrónicos. ACM también envía correos electrónicos de validación a estas mismas direcciones para renovar el certificado cuando faltan 45 días para que caduque.

La validación por correo electrónico para solicitudes de certificados de varios dominios mediante la API de ACM o la CLI genera el envío de un mensaje de correo electrónico por parte de cada dominio solicitado, incluso si la solicitud incluye subdominios de otros dominios de la solicitud. El propietario del dominio debe validar un mensaje de correo electrónico para cada uno de estos dominios antes de que ACM pueda emitir el certificado.

**Excepción a este proceso**  
Si solicita un certificado de ACM para un nombre de dominio que empiece con **www** o un asterisco de comodín (**\$1**), ACM eliminará **www** o el asterisco inicial y envíará un correo electrónico a las direcciones administrativas. Para formar estas direcciones, se agrega el prefijo admin@, administrator@, hostmaster@, postmaster@ y webmaster@ a la parte restante del nombre de dominio. Por ejemplo, si solicita un certificado de ACM para www.example.com, se envía un correo electrónico a admin@example.com en vez de a admin@www.example.com. Del mismo modo, si solicita un certificado de ACM para \$1.test.example.com, se envía un correo electrónico a admin@test.example.com. El resto de las direcciones administrativas comunes se forman de manera similar.

**importante**  
ACM ya no es compatible con la validación por correo electrónico de WHOIS para nuevos certificados o renovaciones. Pero sí lo sigue siendo con las direcciones comunes del sistema. Para obtener más información, consulte la [entrada del blog](https://aws.amazon.com/blogs/security/aws-certificate-manager-will-discontinue-whois-lookup-for-email-validated-certificates/).

## Consideraciones
<a name="certificate-considerations"></a>

Tenga en cuenta lo siguiente acerca de la validación por correo electrónico.
+ Para poder utilizar la validación por correo electrónico, necesita una dirección de correo electrónico que funcione registrada en su dominio. Los procedimientos para configurar una dirección de correo electrónico quedan fuera del alcance de esta guía.
+ La validación solo se aplica a los certificados de confianza pública emitidos por ACM. ACM no valida la propiedad del dominio para [certificados importados](import-certificate.md) o para certificados firmados por una CA privada. ACM no puede validar los recursos de una [zona alojada privada](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-private-hosted-zones) de Amazon VPC o cualquier otro dominio privado. Para obtener más información, consulte [Solución de problemas de validación de certificados](certificate-validation.md).
+ Después de crear un certificado con validación por correo electrónico, no puede cambiar a la validación mediante DNS. Para utilizar la validación de DNS, elimine el certificado y luego cree otro nuevo que utilice la validación de DNS.

## Vencimiento y renovación de certificados
<a name="renewal"></a>

Los certificados ACM son válidos durante 198 días. Renovar un certificado requiere acción por parte del propietario del dominio. ACM comienza a enviar avisos de renovación a las direcciones de correo electrónico asociadas al dominio 45 días antes de que caduque. Las notificaciones contienen un enlace donde el propietario del dominio puede hacer clic para realizar la renovación. Una vez validados todos los dominios enumerados, ACM emite un certificado renovado con el mismo ARN.

## (Opcional) Volver a enviar el correo electrónico de validación
<a name="gs-acm-resend"></a>

Cada correo electrónico de validación contiene un token que puede utilizar para aprobar una solicitud de certificado. No obstante, puesto que el correo electrónico de validación necesario para el proceso de aprobación puede bloquearse por filtros de spam o perderse en el camino, el token vence automáticamente después de 72 horas. Si no recibe el correo electrónico original o si el token ha vencido, puede solicitar que se vuelva a enviar el correo electrónico. Para obtener información sobre cómo volver a enviar un correo electrónico de validación, consulte [Volver a enviar el correo electrónico de validación](email-renewal-validation.md#request-domain-validation-email-for-renewal) 

Para problemas persistentes con la validación por correo electrónico, consulte la sección [Solución de problemas de validación por correo electrónico](troubleshooting-email-validation.md) de [Solucionar problemas con AWS Certificate Manager](troubleshooting.md).

# Automatice la validación del AWS Certificate Manager correo
<a name="email-automation"></a>

Por lo general, los certificados de ACM validados por correo electrónico requieren la acción manual del propietario del dominio. Las organizaciones que se ocupan de un gran número de certificados validados por correo electrónico pueden preferir crear un analizador que pueda automatizar las respuestas necesarias. A fin de ayudar a los clientes a utilizar la validación por correo electrónico, la información en esta sección describe las plantillas utilizadas para los mensajes de correo electrónico de validación de dominio y el flujo de trabajo utilizado para completar el proceso de validación. 

## Plantillas de correo electrónico de validación
<a name="validation-email-template"></a>

Los mensajes de correo electrónico de validación tienen uno de los dos formatos siguientes, en función de si se solicita un certificado nuevo o se renueva un certificado existente. El contenido de las cadenas resaltadas debe reemplazarse por valores específicos del dominio que se valida.

### Validación de un nuevo certificado
<a name="new-template"></a>

Texto de la plantilla de correo electrónico:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain.

Verify that the following domain, AWS account ID, and certificate identifier correspond 
to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals 
(https://region_name.acm-certificates.amazon.com/approvals?code=validation_code&context=validation_context) 
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. To express any concerns
about this email or if this email has reached you in error, forward it along with a brief 
explanation of your concern to validation-questions@amazon.com.

Sincerely,
Amazon Web Services
```

### Validación de un certificado para su renovación
<a name="renewal-template"></a>

Texto de la plantilla de correo electrónico:

```
Greetings from Amazon Web Services,

We received a request to issue an SSL/TLS certificate for requested_domain. 
This email is a request to validate ownership of the domain in order to renew
the existing, currently in use, certificate. Certificates have defined 
validity periods and email validated certificates, like this one, require you 
to re-validate for the certificate to renew.

Verify that the following domain, AWS account ID, and certificate identifier 
correspond to a request from you or someone in your organization.

Domain: fqdn
AWS account ID: account_id
AWS Region name: region_name
Certificate Identifier: certificate_identifier

To approve this request, go to Amazon Certificate Approvals at
https://region_name.acm-certificates.amazon.com/approvals?code=$validation_code&context=$validation_context
and follow the instructions on the page.

This email is intended solely for authorized individuals for fqdn. You can see
more about how AWS Certificate Manager validation works here - 
https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html.
To express any concerns about this email or if this email has reached you in 
error, forward it along with a brief explanation of your concern to 
validation-questions@amazon.com.

Sincerely,
Amazon Web Services

--
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a
registered trademark of Amazon.com, Inc.

This message produced and distributed by Amazon Web Services, Inc.,
410 Terry Ave. North, Seattle, WA 98109-5210.

(c)2015-2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Our privacy policy is posted at https://aws.amazon.com/privacy
```

Una vez que reciba un nuevo mensaje de validación AWS, le recomendamos que lo utilice como la plantilla más up-to-date fiable para su analizador. Los clientes con analizadores de mensajes diseñados antes de noviembre de 2020 deben tener en cuenta los siguientes cambios que pueden haberse realizado en la plantilla:
+ La línea de asunto del correo electrónico ahora dice “`Certificate request for domain name`” en lugar de decir “`"Certificate approval for domain name`”.
+ El `AWS account ID` ahora se presenta sin rayas ni guiones. 
+ El `Certificate Identifier` ahora presenta todo el ARN del certificado en lugar de una forma abreviada, por ejemplo, `arn:aws:acm:us-east-1:000000000000:certificate/3b4d78e1-0882-4f51-954a-298ee44ff369` en lugar de `3b4d78e1-0882-4f51-954a-298ee44ff369`.
+ La URL de aprobación del certificado contiene ahora `acm-certificates.amazon.com` en lugar de `certificates.amazon.com`.
+ El formulario de aprobación que se abre al hacer clic en la dirección URL de aprobación del certificado ahora contiene el botón de aprobación. El nombre del botón de aprobación div es ahora `approve-button` en lugar de `approval_button`.
+ Los mensajes de validación para los certificados recién solicitados y los certificados de renovación tienen el mismo formato de correo electrónico.

## Flujo de trabajo de validación
<a name="validation-workflow"></a>

En esta sección se proporciona información sobre el flujo de trabajo de renovación de certificados validados por correo electrónico. 
+ Cuando la consola de ACM procesa una solicitud de certificado de varios dominios, envía mensajes de correo electrónico de validación al nombre de dominio o al dominio de validación que especifique cuando solicite un certificado público. El propietario del dominio debe validar un mensaje de correo electrónico para cada dominio antes de que ACM pueda emitir el certificado. A fin de obtener más información, consulte [Uso del correo electrónico para validar la propiedad del dominio](https://docs.aws.amazon.com/acm/latest/userguide/email-validation.html). 
+ La validación por correo electrónico para solicitudes de certificados de varios dominios mediante la API de ACM o la CLI genera el envío de un mensaje de correo electrónico por parte de cada dominio solicitado, incluso si la solicitud incluye subdominios de otros dominios de la solicitud. El propietario del dominio debe validar un mensaje de correo electrónico para cada uno de estos dominios antes de que ACM pueda emitir el certificado.

  Si vuelve a enviar los correos electrónicos de un certificado existente a través de la consola ACM, esos correos electrónicos se enviarán al dominio de validación especificado en la solicitud del certificado original, o bien al dominio exacto, si no se especificó ningún dominio de validación. Para recibir los correos electrónicos de validación en un dominio diferente, puede solicitar un nuevo certificado y especificar el dominio de validación que desea usar para la validación. Como alternativa, puede llamar [ResendValidationEmail](https://docs.aws.amazon.com/acm/latest/APIReference/API_ResendValidationEmail.html)con el `ValidationDomain` parámetro mediante la API, el SDK o la CLI. No obstante, el dominio de validación especificado en la solicitud de `ResendValidationEmail` solo se utilizar para esa llamada y no se guarda en el nombre de recurso de Amazon (ARN) del certificado para futuros correos electrónicos de validación. Debe llamar a `ResendValidationEmail` cada vez que desee recibir un correo electrónico de validación en un nombre de dominio que no se haya especificado en la solicitud del certificado original.
**nota**  
Antes de noviembre de 2020, los clientes solo debían validar el dominio ápex y ACM emitía un certificado que también cubría cualquier subdominio. Los clientes con analizadores de mensajes diseñados antes de esa fecha deben tener en cuenta el cambio en el flujo de trabajo de validación por correo electrónico.
+ Con la API o CLI de ACM, puede forzar que todos los mensajes de correo electrónico de validación para una solicitud de certificado de varios dominios se envíen al dominio ápex. En la API, utilice el parámetro `DomainValidationOptions` de la acción [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) para especificar un valor de `ValidationDomain`, que es miembro del tipo [DomainValidationOption](https://docs.aws.amazon.com/acm/latest/APIReference/API_DomainValidationOption.html). En la CLI, utilice el parámetro **--domain-validation-options** del comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para especificar un valor de `ValidationDomain`.

# AWS Certificate Manager Validación HTTP
<a name="http-validation"></a>

El protocolo de transferencia de hipertexto (HTTP) es un protocolo fundamental para la comunicación de datos en la World Wide Web (la Web). Al elegir la validación HTTP para los certificados utilizados con ellos CloudFront, ACM aprovecha este protocolo para verificar la propiedad del dominio. ACM trabaja en conjunto CloudFront para proporcionarte una URL específica y un token único a los que debes poder acceder en esa URL de tu dominio. Este token sirve como prueba de que usted controla el dominio. Al configurar una redirección desde tu dominio a una ubicación controlada por ACM dentro de la CloudFront infraestructura, demuestras tu capacidad para modificar el contenido del dominio y, por lo tanto, validas tu propiedad. Esta perfecta integración entre ACM CloudFront simplifica el proceso de emisión de certificados, especialmente en el caso de las distribuciones. CloudFront 

**importante**  
La validación HTTP no es compatible con los certificados de dominio comodín (como \$1.example.com). En el caso de los certificados comodín, debe utilizar la validación por DNS o correo electrónico.

Por ejemplo, si solicita un certificado para el `example.com` dominio con `www.example.com` un nombre adicional CloudFront, ACM le proporciona dos conjuntos para la URLs validación HTTP. Cada conjunto contiene una URL `redirectFrom` y una URL `redirectTo`, creadas específicamente para su dominio y cuenta de AWS . La URL `redirectFrom` es una ruta de su dominio (por ejemplo, `http://example.com/.well-known/pki-validation/example.txt`) que se debe configurar. La `redirectTo` URL apunta a una ubicación controlada por ACM dentro de la CloudFront infraestructura donde se almacena un token de validación único. Estas redirecciones se deben configurar solo una vez. Cuando una autoridad de certificación intente validar la propiedad de su dominio, solicitará el archivo desde la `redirectFrom` URL, que CloudFront redireccionará a la `redirectTo` URL y permitirá el acceso al token de validación. ACM renueva automáticamente el certificado siempre y cuando el certificado esté en uso CloudFront y la redirección siga vigente.

Una vez que haya configurado la validación HTTP de un nombre de dominio completo (FQDN) con él CloudFront, podrá solicitar certificados ACM adicionales para ese FQDN sin tener que repetir el proceso de validación, siempre y cuando la redirección HTTP siga activa. Esto significa que puede crear certificados de reemplazo con el mismo nombre de dominio. También puede reemplazar un certificado eliminado sin tener que volver a pasar por el proceso de validación, siempre que la redirección siga activa.

Si desea detener la renovación automática de su certificado validado por HTTP, tiene dos opciones. Puede eliminar el certificado de la CloudFront distribución a la que está asociado o eliminar la redirección HTTP que configuró para la validación. Si utilizas una red de entrega de contenido (CDN) o un servidor web que no sea CloudFront para gestionar tus redireccionamientos, consulta su documentación para saber cómo eliminar un redireccionamiento. Si utilizas CloudFront para gestionar tus redireccionamientos, puedes eliminarlos actualizando la configuración de tu distribución. Para obtener más información sobre la renovación de certificados administrados, consulte [Renovación de certificados gestionada en AWS Certificate Manager](managed-renewal.md). Recuerde que si detiene la renovación automática, es posible que se provoque la caducidad del certificado, lo que podría interrumpir el tráfico HTTPS.

## Cómo funcionan las redirecciones HTTP para ACM
<a name="http-redirects-overview"></a>

**nota**  
Esta sección está destinada a los clientes que utilizan ACM CloudFront para la entrega de contenido y para la administración de SSL/TLS certificados.

Si utilizas la validación HTTP con ACM CloudFront, necesitas configurar los redireccionamientos HTTP. Estas redirecciones permiten a ACM verificar la propiedad del dominio para la emisión inicial del certificado y la renovación automática continua. El mecanismo de redireccionamiento funciona apuntando una URL específica de tu dominio a una ubicación controlada por ACM dentro de la CloudFront infraestructura donde se almacena un token de validación único.

En la siguiente tabla se muestran ejemplos de configuraciones de redirecciones para los nombres de dominio. Es importante considerar que la validación HTTP no es compatible con los dominios comodín (como \$1.example.com). Cada configuración del par **Redirect From**-**Redirect To** sirve para autenticar la propiedad del nombre de dominio.


**Ejemplos de configuraciones de redirecciones HTTP**  

| Nombre del dominio | Redirect From | Redirect To | Comment | 
| --- | --- | --- | --- | 
| example.com |  `http://example.com/.well-known/pki-validation/x2.txt`  |  `https://validation.region.acm-validations.aws/y2/.well-known/pki-validation/x2.txt`  |  Unique  | 
| www.example.com |  `http://www.example.com/.well-known/pki-validation/x3.txt`  | `https://validation.region.acm-validations.aws/y3/.well-known/pki-validation/x3.txt`  |  Único  | 
| host.example.com |  `http://host.example.com/.well-known/pki-validation/x4.txt`  |  `https://validation.region.acm-validations.aws/y4/.well-known/pki-validation/x4.txt`  |  Unique  | 
| subdomain.example.com |  `http://subdomain.example.com/.well-known/pki-validation/x5.txt`  |  `https://validation.region.acm-validations.aws/y5/.well-known/pki-validation/x5.txt`  |  Unique  | 
| host.subdomain.example.com |  `http://host.subdomain.example.com/.well-known/pki-validation/x6.txt`  |  `https://validation.region.acm-validations.aws/y6/.well-known/pki-validation/x6.txt`  |  Unique  | 

Los *xN* valores de los nombres de los archivos y los *yN* valores de los dominios controlados por ACM son identificadores únicos generados por ACM. Por ejemplo:

```
http://example.com/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

es representativo de una URL **Redirect From** generada como resultado. Es posible que la URL asociada **Redirect To** sea

```
https://validation.region.acm-validations.aws/98d2646601fa/.well-known/pki-validation/3639ac514e785e898d2646601fa951d5.txt
```

para el mismo registro de validación.

**nota**  
Si su servidor web o red de entrega de contenido no admiten la configuración de redirecciones en la ruta especificada, consulte la [Solución de problemas de validación HTTP](troubleshooting-HTTP-validation.md).

Cuando solicita un certificado y especifica la validación por HTTP, ACM proporciona información de redirección en el siguiente formato:


****  

| Nombre del dominio | Redirect From | Redirect To | 
| --- | --- | --- | 
| example.com | http://example.com/.well - 79865eb4cd1a6ab990a45779b4e0b96.txt known/pki-validation/a | https://validation. region.acm-validations.aws/ /.well-known/pki-validation/ a424c7224e9b .txt a79865eb4cd1a6ab990a45779b4e0b96 | 

El *Nombre del dominio* es el FQDN asociado al certificado. *Redirect From* (Redirigir desde) es la URL del dominio en la que ACM buscará el archivo de validación. *Redirect To* (Redirigir a) es la URL controlada por ACM en la que se aloja el archivo de validación.

**Debe configurar su servidor web o su distribución para redirigir las solicitudes de la URL de origen a la URL de redirección a. CloudFront ** El método exacto para configurar esta redirección depende del software o la CloudFront configuración del servidor web. Verifique que la redirección esté configurada correctamente para permitir que ACM valide la propiedad de su dominio y emita o renueve su certificado.

## Configuración de la validación por HTTP
<a name="setting-up-http-validation"></a>

ACM utiliza la validación HTTP para verificar la propiedad de su dominio al emitir SSL/TLS certificados públicos para su uso con CloudFront. En esta sección se describe cómo configurar un certificado público para usar la validación por HTTP.<a name="http-validation-console"></a>

**Cómo configurar la validación por HTTP en la consola**
**nota**  
En este procedimiento se presupone que ya ha solicitado un certificado CloudFront y que trabaja en la AWS región en la que lo creó. La validación HTTP solo está disponible a través de la función CloudFront Distribution Tenants.

1. Abra la consola ACM en [https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/).

1. En la lista de certificados, elija la **ID de certificado** de un certificado con estado **Pending validation (Pendiente de validación)** que desea configurar. Se abre una página de detalles del certificado.

1. En la sección **Domains** (Dominios), puede ver los valores **Redirect From** y **Redirect To** para cada dominio de su solicitud de certificado.

1. Para cada dominio, configure una redirección HTTP desde la URL **Redirect From** a la URL **Redirect To**. Puede hacerlo a través de su configuración CloudFront de distribución.

1. Configura tu CloudFront distribución para redirigir las solicitudes de la URL **de** origen a la URL de **redireccionamiento**. El método para configurar esta redirección depende de tu CloudFront configuración.

1. Tras configurar las redirecciones, ACM intentará validar automáticamente la propiedad del dominio. Este proceso puede tardar hasta 30 minutos.

Si ACM no puede validar el nombre de dominio en un plazo de 72 horas desde el momento en que genera valores de redirección por usted, ACM cambia el estado del certificado a **Validation timed out** (Tiempo de espera de validación agotado). La razón más probable de este resultado es que no se configuraron correctamente las redirecciones de HTTP. Para solucionar este problema, debe solicitar un certificado nuevo después de revisar las instrucciones de redirección.

**importante**  
Para evitar problemas de validación, compruebe que el contenido de la ubicación de **Redirect From** coincida con el contenido de la ubicación de **Redirect To**. Si surgen problemas, consulte [Solución de problemas de validación HTTP](troubleshooting-HTTP-validation.md).

**nota**  
A diferencia de la validación por DNS, no puede solicitar mediante programación que ACM cree automáticamente sus redirecciones HTTP. Debe configurar estos redireccionamientos a través de sus ajustes CloudFront de distribución.

Para obtener más información sobre cómo funciona la validación por HTTP, consulte [Cómo funcionan las redirecciones HTTP para ACM](#http-redirects-overview).