Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# X.509 certificados de cliente
X.509 los certificados permiten AWS IoT autenticar las conexiones de clientes y dispositivos. Los certificados de los clientes deben estar registrados AWS IoT antes de que un cliente pueda comunicarse con AWS IoT ellos. Un certificado de cliente se puede registrar en varios Cuenta de AWS s de la misma región Región de AWS para facilitar el traslado de dispositivos entre Cuenta de AWS los de la misma región. Para obtener más información, consulte [Uso de certificados de X.509 cliente en varios Cuenta de AWS s con el registro de varias cuentas](#multiple-account-cert).
Se recomienda que cada dispositivo o cliente reciba un certificado único para permitir acciones de administración de clientes precisas, incluida la revocación de certificados. Los dispositivos y los clientes deben ser compatibles con la rotación y la sustitución de certificados para garantizar un buen funcionamiento cuando los certificados caduquen.
Para obtener información sobre el uso de X.509 certificados para admitir varios dispositivos, consulte [Aprovisionamiento de dispositivos](iot-provision.md) para revisar las diferentes opciones de administración y aprovisionamiento de certificados AWS IoT compatibles.
**AWS IoT admite los siguientes tipos de certificados de X.509 cliente:**
+ X.509 certificados generados por AWS IoT
+ X.509 certificados firmados por una entidad emisora de certificados registrada en AWS IoT.
+ X.509 certificados firmados por una CA en la que no está registrada AWS IoT.
En esta sección se describe cómo administrar X.509 los certificados en AWS IoT. Puede usar la AWS IoT consola o AWS CLI realizar estas operaciones de certificación:
+ [Crear AWS IoT certificados de cliente](device-certs-create.md)
+ [Creación de sus propios certificados de cliente](device-certs-your-own.md)
+ [Registrar un certificado de cliente](register-device-cert.md)
+ [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md)
+ [Revocar un certificado de cliente](revoke-ca-cert.md)
Para obtener más información sobre los AWS CLI comandos que realizan estas operaciones, consulte la [referencia de AWS IoT CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iot/index.html).
## Uso de certificados de X.509 cliente
X.509 los certificados autentican las conexiones del cliente y del dispositivo. AWS IoT X.509los certificados ofrecen varias ventajas en comparación con otros mecanismos de identificación y autenticación. X.509 los certificados permiten utilizar claves asimétricas con los dispositivos. Por ejemplo, puede grabar las claves privadas en un almacenamiento seguro de un dispositivo para que el material criptográfico confidencial nunca salga del dispositivo. X.509Los certificados proporcionan una autenticación de cliente más sólida que otros esquemas, como el nombre de usuario y la contraseña o los identificadores portadores, ya que la clave privada nunca sale del dispositivo.
AWS IoT autentica los certificados de cliente mediante el modo de autenticación de cliente del protocolo TLS. La compatibilidad con TLS está disponible en numerosos lenguajes de programación y sistemas operativos, y se utiliza generalmente para cifrar datos. En la autenticación de clientes TLS, AWS IoT solicita un certificado de X.509 cliente y valida su estado y lo Cuenta de AWS compara con un registro de certificados. A continuación, pide al cliente que demuestre que es propietario de la clave privada que corresponde a la clave pública contenida en el certificado. AWS IoT exige que los clientes envíen la [extensión de indicación del nombre del servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocolo Transport Layer Security (TLS). Para obtener más información sobre la configuración de la extensión SNI, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md).
Para facilitar una conexión segura y coherente del cliente con el AWS IoT núcleo, el certificado de X.509 cliente debe tener lo siguiente:
+ Registrado en AWS IoT Core. Para obtener más información, consulte [Registrar un certificado de cliente](register-device-cert.md).
+ Tener un estado `ACTIVE`. Para obtener más información, consulte [Activar o desactivar un certificado de cliente](activate-or-deactivate-device-cert.md).
+ No haber alcanzado aún la fecha de caducidad del certificado.
Puede crear certificados de cliente que utilicen la entidad de certificación Amazon Root y puede utilizar sus propios certificados de cliente firmados por otra entidad de certificación (CA). Para obtener más información sobre el uso de la AWS IoT consola para crear certificados que usen la CA raíz de Amazon, consulte[Crear AWS IoT certificados de cliente](device-certs-create.md). Para obtener más información sobre el uso de sus propios X.509 certificados, consulte[Creación de sus propios certificados de cliente](device-certs-your-own.md).
La fecha y la hora en que caducan los certificados firmados por un certificado de CA se establecen al crear el certificado. X.509 los certificados generados antes AWS IoT caducan a medianoche (UTC) del 31 de diciembre de 2049 (T23:59:59Z2049-12-31).
AWS IoT Device Defender puede realizar auditorías en sus dispositivos Cuenta de AWS y en sus dispositivos, de acuerdo con las mejores prácticas comunes de seguridad de IoT. Esto incluye la gestión de las fechas de caducidad de X.509 los certificados firmados por su CA o la CA raíz de Amazon. Para obtener más información sobre la administración de la fecha de vencimiento de un certificado, consulte [El certificado de dispositivo está caducando](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-approaching-expiration.html) y [El certificado de entidad de certificación está caducando](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-ca-cert-approaching-expiration.html).
En el AWS IoT blog oficial, se profundiza en la gestión de la rotación de certificados de dispositivos y las mejores prácticas de seguridad en [Cómo gestionar la rotación de certificados de dispositivos de IoT mediante el uso AWS IoT](https://aws.amazon.com/blogs/iot/how-to-manage-iot-device-certificate-rotation-using-aws-iot/).
## Uso de certificados de X.509 cliente en varios Cuenta de AWS s con el registro de varias cuentas
Multi-account el registro permite mover dispositivos entre tus Cuenta de AWS dispositivos en la misma región o en regiones diferentes. Puede registrar, probar y configurar un dispositivo en una cuenta de preproducción y, a continuación, registrar y utilizar el mismo dispositivo y certificado de dispositivo en una cuenta de producción. También puede registrar el certificado de cliente en el dispositivo o los certificados del dispositivo sin una CA en la que esté registrada AWS IoT. Para obtener más información, consulte [Registrar un certificado de cliente firmado por una entidad de certificación no registrada (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli).
**nota**
Los certificados utilizados para el registro de varias cuentas son compatibles con los tipos de puntos de conexión `iot:Data-ATS`, `iot:Data` (heredados), `iot:Jobs` y `iot:CredentialProvider`. Para obtener más información sobre los puntos finales de los AWS IoT dispositivos, consulte[AWS IoT datos del dispositivo y puntos finales de servicio](iot-connect-devices.md#iot-connect-device-endpoints).
Los dispositivos que utilizan el registro de varias cuentas deben enviar la [extensión de indicación del nombre del servidor (SNI)](https://tools.ietf.org/html/rfc3546#section-3.1) al protocolo Transport Layer Security (TLS) y proporcionar la dirección completa del punto final en el `host_name` campo cuando se conecten a. AWS IoT AWS IoT utiliza la dirección del punto final `host_name` para enrutar la conexión a la cuenta correcta. AWS IoT Los dispositivos existentes que no envíen una dirección de punto de conexión válida en `host_name` seguirán funcionando, pero no podrán utilizar las características que requiere esta información. Para obtener más información acerca de la extensión SNI y para aprender a identificar la dirección del punto de conexión del campo `host_name`, consulte [Seguridad del transporte en AWS IoT Core](transport-security.md).
**Para utilizar el registro de varias cuentas**
1. Puede registrar los certificados de dispositivo con una entidad de certificación. Puede registrar la CA emisora de certificados en varias cuentas en modo `SNI_ONLY` y utilizar esa entidad de certificación para registrar el mismo certificado de cliente en varias cuentas. Para obtener más información, consulte [Registro de un certificado de entidad de certificación en modo SNI\_ONLY (CLI) - Recomendado](manage-your-CA-certs.md#register-CA-cert-SNI-cli).
1. Puede registrar los certificados de dispositivo sin una entidad de certificación. Consulte [Registro de un certificado de cliente firmado por una entidad de certificación no registrada (CLI)](manual-cert-registration.md#manual-cert-registration-noca-cli). El registro de una entidad de certificación es opcional. No es necesario que registre la CA con la que firmó los certificados del dispositivo AWS IoT.
## Los algoritmos de firma de certificados son compatibles con AWS IoT
AWS IoT admite los siguientes algoritmos de firma de certificados:
+ SHA256WITHRSA
+ SHA384WITHRSA
+ SHA512WITHRSA
+ SHA256 CON RSA Y MGF1 () RSASSA-PSS
+ SHA384 CON RSA Y MGF1 () RSASSA-PSS
+ SHA512 CON RSA Y MGF1 () RSASSA-PSS
+ DSA\_WITH\_SHA256
+ ECDSA-WITH-SHA256
+ ECDSA-WITH-SHA384
+ ECDSA-WITH-SHA512
Para obtener más información acerca de la autenticación y la seguridad de los certificados, consulte [Calidad de la clave del certificado del dispositivoy](https://docs.aws.amazon.com/iot-device-defender/latest/devguide/audit-chk-device-cert-key-quality.html).
**nota**
La solicitud de firma de certificado (CSR) debe incluir una clave pública. La clave puede ser una clave RSA con una longitud de al menos 2048 bits o una clave ECC de las curvas NIST, NIST o NIST. P-256 P-384 P-521 Para obtener más información, consulte [CreateCertificateFromCsr](https://docs.aws.amazon.com/iot/latest/apireference/API_CreateCertificateFromCsr.html) en la *Guía de referencia de la API de AWS IoT *.
## Algoritmos clave compatibles con AWS IoT
En la siguiente tabla se muestra cómo se admiten los algoritmos de clave:
****
| Algoritmo clave | Algoritmo de firma de certificados | Versión de TLS | ¿Se admite? Yes o No |
| --- | --- | --- | --- |
| RSA con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.2 y TLS 1.3 | Sí |
| ECC NIST P-256/P-384/P-521 | Todos | TLS 1.2 y TLS 1.3 | Sí |
| RSA-PSS con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.2 | No |
| RSA-PSS con un tamaño de clave de al menos 2048 bits | Todos | TLS 1.3 | Sí |
Para crear un certificado mediante [CreateCertificateFromCSR](https://docs.aws.amazon.com//iot/latest/apireference/API_CreateCertificateFromCsr.html), puede utilizar un algoritmo de clave compatible para generar una clave pública para su CSR. Para registrar su propio certificado mediante [RegisterCertificate](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificate.html)o [RegisterCertificateWithoutCA](https://docs.aws.amazon.com//iot/latest/apireference/API_RegisterCertificateWithoutCA.html), puede utilizar un algoritmo de clave compatible para generar una clave pública para el certificado.
Para obtener más información, consulte [Security policies](https://docs.aws.amazon.com//iot/latest/developerguide/transport-security.html#tls-policy-table).