Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Certificados privados en AWS Certificate Manager
<a name="private-certificates.title"></a>

Si tiene acceso a una CA privada existente creada por AWS Certificate Manager (ACM) Autoridad de certificación privada de AWS, puede solicitar un certificado adecuado para su uso en su infraestructura de clave privada (PKI). La CA puede residir en su cuenta o compartirse con usted desde otra cuenta. Para obtener información sobre la creación de una CA privada, consulte el artículo [Crear Private Certificate Authority](https://docs.aws.amazon.com/privateca/latest/userguide/create-CA.html). 

De manera predeterminada, no se confía en los certificados firmados por una CA privada, y ACM no admite ningún tipo de validación para ellos. En consecuencia, un administrador debe tomar medidas para instalarlos en los almacenes de confianza de los clientes de su organización.

Los certificados de ACM privados siguen el estándar X.509 y están sujetos a las siguientes restricciones: 
+ **Nombres:** se deben utilizar nombres de asunto que cumplan con el DNS. Para obtener más información, consulte [Nombres de dominio](acm-concepts.md#concept-dn).
+ **Algoritmo:** para el cifrado, el algoritmo de clave privada del certificado debe ser RSA de 2048 bits, ECDSA de 256 bits o ECDSA de 384 bits.
**nota**  
La familia de algoritmos de firma especificada (RSA o ECDSA) debe coincidir con la familia de algoritmos de la clave secreta de la entidad de certificación. 
+ **Vencimiento:** cada certificado privado tiene una validez de 13 meses (395 días). La fecha de finalización del certificado de la CA de firma debe ser posterior a la fecha de finalización del certificado solicitado, ya que, de lo contrario, la solicitud del certificado producirá un error.
**nota**  
Los certificados privados tienen un período de validez más largo que los certificados públicos. Los certificados ACM públicos tienen una validez de 198 días. Para obtener más información sobre los certificados públicos, consulte[Solicita un certificado público en AWS Certificate Manager](acm-public-certificates.md).
+ **Renovación:** ACM intenta renovar un certificado privado automáticamente después de 11 meses. 

La CA privada utilizada para firmar los certificados de entidad final está sujeta a sus propias restricciones:
+ La CA debe tener el estado de Activa.

**nota**  
A diferencia de los certificados de confianza pública, los certificados firmados por una CA privada no requieren validación.

**Topics**
+ [Condiciones de uso AWS Private CA para firmar certificados privados de ACM](ca-access.md)
+ [Solicite un certificado privado en AWS Certificate Manager](gs-acm-request-private.md)
+ [Exporte un certificado privado AWS Certificate Manager](export-private.md)

# Condiciones de uso AWS Private CA para firmar certificados privados de ACM
<a name="ca-access"></a>

Puede utilizarlos Autoridad de certificación privada de AWS para firmar sus certificados ACM en cualquiera de estos dos casos:
+ **Cuenta única**: la CA firmante y el certificado de AWS Certificate Manager (ACM) que se emite residen en la misma cuenta de AWS .

  Para permitir la emisión y las renovaciones de una única cuenta, el administrador de Autoridad de certificación privada de AWS debe conceder permiso a la entidad principal del servicio de ACM para crear, recuperar y enumerar certificados. Esto se hace mediante la acción de la Autoridad de certificación privada de AWS API [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)o el AWS CLI comando [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html). El propietario de la cuenta asigna estos permisos a un usuario, grupo o rol de IAM responsable de emitir certificados.
+ **Cuenta cruzada**: la CA firmante y el certificado ACM que se emite residen en AWS cuentas diferentes, y el acceso a la CA se ha concedido a la cuenta en la que reside el certificado.

  [Para permitir la emisión y renovación entre cuentas, el Autoridad de certificación privada de AWS administrador debe adjuntar a la CA una política basada en recursos mediante la acción de la Autoridad de certificación privada de AWS API o el comando put-policy. [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) La política especifica las entidades principales de otras cuentas a las que se permite el acceso limitado a la CA. Para obtener más información, consulte [Utilización de una política con base en recursos con ACM Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html). 

  El escenario entre cuentas también requiere que ACM configure un rol vinculado a servicios (SLR) para interactuar como entidad principal con la política de PCA. ACM crea el SLR automáticamente mientras emite el primer certificado. 

  ACM podría avisarle que no puede determinar si existe un SLR en su cuenta. Si ya se ha concedido el permiso `iam:GetRole` necesario al SLR de ACM para su cuenta, el aviso no se repetirá después de crearse el SLR. Si se repite, es posible que usted o el administrador de su cuenta tengan que conceder el permiso `iam:GetRole` a ACM o asociar la cuenta a la política `AWSCertificateManagerFullAccess` administrada por ACM.

  Para obtener más información, consulte [Utilización de un rol vinculado a servicios con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html). 

**importante**  
Su certificado ACM debe estar asociado activamente a un AWS servicio compatible para que pueda renovarse automáticamente. Para obtener información sobre los recursos que admite ACM, consulte [Servicios integrados con ACM](acm-services.md). 

# Solicite un certificado privado en AWS Certificate Manager
<a name="gs-acm-request-private"></a>

## Solicitud de un certificado privado (consola)
<a name="request-private-console"></a>

1. [Inicie sesión en la consola AWS de administración y abra la consola ACM en casa. https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/home)

   Elija **Request a certificate (Solicitar un certificado)**.

1. En la página **Request certificate (Solicitar certificado)**, elija **Request a private certificate (Solicitar un certificado privado)** y **Next (Siguiente)** para continuar.

1. En la sección de **detalles de la autoridad de certificación**, seleccione el menú de la **autoridad de certificación** y elija una de las opciones privadas CAs disponibles. Si la CA se comparte desde otra cuenta, el ARN aparece precedido por la información de propiedad.

   Se muestran detalles sobre la CA para ayudarlo a verificar que haya elegido la correcta:
   + **Propietario**
   + **Tipo**
   + **Nombre común (NC)**
   + **Organización (O)**
   + **Unidad organizativa (UO)**
   + **Nombre del país (C)**
   + **Estado o provincia**
   + **Nombre de la localidad**

1. En la sección **Domain names (Nombres de dominio)** escriba el nombre de dominio. Puede utilizar un nombre de dominio completo (FQDN), tal como **www.example.com**, o un nombre de dominio desnudo o ápex, tal como **example.com**. También puede utilizar un asterisco (**\$1**) como comodín en la posición más a la izquierda para proteger varios nombres de sitio del mismo dominio. Por ejemplo, **\$1.example.com** protege a **corp.example.com** y a **images.example.com**. El nombre comodín aparecerá en el campo **Subject (Sujeto)** y en la extensión **Subject Alternative Name (Nombre alternativo de sujeto)** del certificado de ACM. 
**nota**  
Cuando solicita un certificado de comodín, el asterisco (**\$1**) debe encontrarse en la posición más a la izquierda del nombre de dominio y solo puede proteger un nivel de subdominio. Por ejemplo, **\$1.example.com** puede proteger a **login.example.com** y a **test.example.com**, pero no puede proteger a **test.login.example.com**. Tenga en cuenta también que **\$1.example.com** *solo* protege los subdominios de **example.com**. No protege el dominio desnudo o ápex (**example.com**). Para proteger ambos, consulte el siguiente paso

   De manera opcional, elija **Add another name to this certificate** (Agregar otro nombre a este certificado) y escriba el nombre en el cuadro de texto. Esto resulta útil para autenticar tanto los dominios desnudos como los ápex (por ejemplo, **example.com**) y sus subdominios (por ejemplo, **\$1.example.com**).

1. En la sección **Key algorithm** (Algoritmo de clave), seleccione un algoritmo.

   Para obtener información que le ayude a elegir un algoritmo, consulte la entrada del AWS blog [Cómo evaluar y utilizar los certificados ECDSA en](https://aws.amazon.com/blogs/security/how-to-evaluate-and-use-ecdsa-certificates-in-aws-certificate-manager/). AWS Certificate Manager

1. En la sección **Tags (Etiquetas)**, puede etiquetar el certificado si así lo desea. Las etiquetas son pares clave-valor que sirven como metadatos para identificar y organizar los recursos. AWS Para obtener una lista de los parámetros de etiquetas de ACM e instrucciones sobre cómo agregar etiquetas a los certificados después de su creación, consulte [Etiquetar AWS Certificate Manager recursos](tags.md).

1. En la sección **Certificate renewal permissions (Permisos de renovación de certificados)**, confirme el aviso sobre los permisos de renovación de certificados. Estos permisos permiten la renovación automática de los certificados PKI privados que firma con la CA seleccionada. Para obtener más información, consulte [Utilización de un rol vinculado a servicios con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html). 

1. Después de proporcionar toda la información requerida, elija **Request (Solicitar)**. La consola regresa a la lista de certificados, donde puede ver el nuevo certificado.
**nota**  
Según cómo haya ordenado la lista, es posible que un certificado que esté buscando no esté visible de inmediato. Puede hacer clic en el triángulo negro de la derecha para cambiar el orden. También puede explorar diferentes páginas de certificados utilizando los números de página de la parte superior derecha.

## Solicitud de un certificado privado (CLI)
<a name="request-private-cli"></a>

Utilice el comando [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) para solicitar un certificado privado en ACM. 

**nota**  
Al solicitar un certificado de PKI privado firmado por una CA AWS Private CA, la familia de algoritmos de firma especificada (RSA o ECDSA) debe coincidir con la familia de algoritmos de la clave secreta de la CA.

```
aws acm request-certificate \
--domain-name www.example.com \
--idempotency-token 12563 \
--certificate-authority-arn arn:aws:acm-pca:Region:444455556666:\
certificate-authority/CA_ID
```

Este comando devuelve el nombre de recurso de Amazon (ARN) del certificado privado nuevo.

```
{
    "CertificateArn": "arn:aws:acm:Region:444455556666:certificate/certificate_ID"
}
```

En la mayoría de los casos, ACM adjunta automáticamente un rol vinculado a servicios (SLR) a la cuenta la primera vez que utiliza una CA compartida. El SLR habilita la renovación automática de los certificados de la entidad final emitida. Para comprobar si el SLR está presente, puede consultar IAM con el siguiente comando:

```
aws iam get-role --role-name AWSServiceRoleForCertificateManager
```

Si el SLR está presente, el resultado del comando debe tener el siguiente aspecto:

```
{
   "Role":{
      "Path":"/aws-service-role/acm.amazonaws.com/",
      "RoleName":"AWSServiceRoleForCertificateManager",
      "RoleId":"AAAAAAA0000000BBBBBBB",
      "Arn":"arn:aws:iam::{account_no}:role/aws-service-role/acm.amazonaws.com/AWSServiceRoleForCertificateManager",
      "CreateDate":"2020-08-01T23:10:41Z",
      "AssumeRolePolicyDocument":{
         "Version":"2012-10-17",		 	 	 
         "Statement":[
            {
               "Effect":"Allow",
               "Principal":{
                  "Service":"acm.amazonaws.com"
               },
               "Action":"sts:AssumeRole"
            }
         ]
      },
      "Description":"SLR for ACM Service for accessing cross-account Private CA",
      "MaxSessionDuration":3600,
      "RoleLastUsed":{
         "LastUsedDate":"2020-08-01T23:11:04Z",
         "Region":"ap-southeast-1"
      }
   }
}
```

Si falta el SLR, consulte [Utilización de un rol vinculado a servicios con ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html).

# Exporte un certificado privado AWS Certificate Manager
<a name="export-private"></a>

Puede exportar un certificado emitido por Autoridad de certificación privada de AWS para usarlo en cualquier lugar de su entorno de PKI privado. El archivo exportado contiene el certificado, la cadena de certificados y la clave privada cifrada. Este archivo debe almacenarse de forma segura. Para obtener más información al respecto Autoridad de certificación privada de AWS, consulte la [Guía AWS Private Certificate Authority del usuario](https://docs.aws.amazon.com/privateca/latest/userguide/).

**nota**  
Si desea exportar certificados públicos emitidos a través de ACM, consulte Certificados públicos [exportables de ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-exportable-certificates.html).

**Topics**
+ [Exportación de un certificado privado (consola)](#export-console)
+ [Exportación de un certificado privado (CLI)](#export-cli)

## Exportación de un certificado privado (consola)
<a name="export-console"></a>

1. [Inicie sesión en la consola AWS de administración y abra la consola ACM en casa. https://console.aws.amazon.com/acm/](https://console.aws.amazon.com/acm/home)

1. Elija **Certificate Manager**

1. Elija el enlace del certificado que desea exportar.

1. Seleccione **Exportar**.

1. Escriba y confirme una frase de contraseña para la clave privada.
**nota**  
Al crear la frase de contraseña, puede utilizar cualquier carácter ASCII excepto \$1, \$1 o%.

1. Elija **Generate PEM Encoding** (Generar codificación PEM).

1. Puede copiar el certificado, la cadena de certificados y la clave cifrada en la memoria o elegir **Export to a file** (Exportar a un archivo) para cada uno de ellos.

1. Seleccione **Listo**.

## Exportación de un certificado privado (CLI)
<a name="export-cli"></a>

Utilice el comando [export-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) para exportar un certificado privado y la clave privada. Debe asignar una frase de contraseña cuando ejecuta el comando. Para una mayor seguridad, utilice un editor de archivos para almacenar su frase de contraseña en un archivo y, a continuación, proporcione la frase de contraseña suministrando el archivo. Esto impide que la frase de contraseña se almacene en el historial de comandos y que otras personas la vean mientras la escribe. 

**nota**  
El archivo que contiene la frase de contraseña no debe concluir con un terminador de línea. Puede verificar su archivo de contraseña de esta manera:   

```
$ file -k passphrase.txt
passphrase.txt: ASCII text, with no line terminators
```

Los siguientes ejemplos canalizan la salida del comando en `jq` para aplicar el formato PEM.

```
[Windows/Linux]
$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file  \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"'
```

Genera un certificado en formato PEM codificado en Base64 que también contiene una cadena de certificados y una clave privada cifrada, como se muestra en el siguiente ejemplo abreviado.

```
-----BEGIN CERTIFICATE-----
MIIDTDCCAjSgAwIBAgIRANWuFpqA16g3IwStE3vVpTwwDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNzE5MTYxNTU1WhcNMjAwODE5MTcx
NTU1WjAXMRUwEwYDVQQDDAx3d3cuc3B1ZHMuaW8wggEiMA0GCSqGSIb3DQEBAQUA
...
8UNFQvNoo1VtICL4cwWOdLOkxpwkkKWtcEkQuHE1v5Vn6HpbfFmxkdPEasoDhthH
FFWIf4/+VOlbDLgjU4HgtmV4IJDtqM9rGOZ42eFYmmc3eQO0GmigBBwwXp3j6hoi
74YM+igvtILnbYkPYhY9qz8h7lHUmannS8j6YxmtpPY=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIC8zCCAdugAwIBAgIRAM/jQ/6h2/MI1NYWX3dDaZswDQYJKoZIhvcNAQELBQAw
EzERMA8GA1UECgwIdHJvbG9sb2wwHhcNMTkwNjE5MTk0NTE2WhcNMjkwNjE5MjA0
NTE2WjATMREwDwYDVQQKDAh0cm9sb2xvbDCCASIwDQYJKoZIhvcNAQEBBQADggEP
...
j2PAOviqIXjwr08Zo/rTy/8m6LAsmm3LVVYKLyPdl+KB6M/+H93Z1/Bs8ERqqga/
6lfM6iw2JHtkW+q4WexvQSoqRXFhCZWbWPZTUpBS0d4/Y5q92S3iJLRa/JQ0d4U1
tWZyqJ2rj2RL+h7CE71XIAM//oHGcDDPaQBFD2DTisB/+ppGeDuB
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIFKzBVBgkqhkiG9w0BBQ0wSDAnBgkqhkiG9w0BBQwwGgQUMrZb7kZJ8nTZg7aB
1zmaQh4vwloCAggAMB0GCWCGSAFlAwQBKgQQDViroIHStQgNOjR6nTUnuwSCBNAN
JM4SG202YPUiddWeWmX/RKGg3lIdE+A0WLTPskNCdCAHqdhOSqBwt65qUTZe3gBt
...
ZGipF/DobHDMkpwiaRR5sz6nG4wcki0ryYjAQrdGsR6EVvUUXADkrnrrxuHTWjFl
wEuqyd8X/ApkQsYFX/nhepOEIGWf8Xu0nrjQo77/evhG0sHXborGzgCJwKuimPVy
Fs5kw5mvEoe5DAe3rSKsSUJ1tM4RagJj2WH+BC04SZWNH8kxfOC1E/GSLBCixv3v
+Lwq38CEJRQJLdpta8NcLKnFBwmmVs9OV/VXzNuHYg==
-----END ENCRYPTED PRIVATE KEY-----
```

Para generar todo en un archivo, añada la redirección `>` al ejemplo anterior para producir lo siguiente. 

```
$ aws acm export-certificate \
     --certificate-arn arn:aws:acm:Region:444455556666:certificate/certificate_ID \
     --passphrase fileb://path-to-passphrase-file \
     | jq -r '"\(.Certificate)\(.CertificateChain)\(.PrivateKey)"' \
     > /tmp/export.txt
```