Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configura una CRL para AWS Private CA
Antes de poder configurar una lista de revocación de certificados (CRL) como parte del [proceso de creación de una entidad de certificación](create-CA.md), es posible que sea necesaria alguna configuración previa. En esta sección se explican los requisitos previos y las opciones que debe conocer antes de crear una CA con una CRL asociada.
Para obtener información sobre el uso del Protocolo de estado de certificados en línea (OCSP) como alternativa o complemento de una CRL, consulte [](create-CA.md#PcaCreateRevocation) y [Personaliza la URL de OCSP para AWS Private CA](ocsp-customize.md).
**Topics**
+ [Tipos de CRL](#crl-type)
+ [Estructura de CRL](#crl-structure)
+ [Políticas de acceso para CRLs Amazon S3](#s3-policies)
+ [Habilite S3 Block Public Access (BPA) con CloudFront](#s3-bpa)
+ [Determinación del URI del punto de distribución (CDP) de la CRL](#crl-url)
+ [](#crl-ipv6)
## Tipos de CRL
+ **Completo**: configuración predeterminada. Autoridad de certificación privada de AWS mantiene un único archivo CRL sin particiones para todos los certificados no vencidos emitidos por una entidad emisora de certificados que hayan sido revocados. [Cada certificado que se Autoridad de certificación privada de AWS emite está vinculado a una CRL específica a través de su extensión de punto de distribución de la CRL (CDP), tal como se define en el RFC 5280.](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.9) Puede tener hasta 1 millón de certificados privados para cada CA con la CRL completa habilitada. Para obtener más información, consulte las [AWS Private CA cuotas](https://docs.aws.amazon.com/general/latest/gr/pca.html#limits_pca).
+ **Particionado**: si lo comparamos con uno completo CRLs, el número de certificados particionados aumenta CRLs considerablemente el número de certificados que su entidad emisora de certificados privada puede emitir y evita tener que rotarlos con frecuencia. CAs
**importante**
Si utiliza particionado CRLs, debe comprobar que el URI del punto de distribución emisor (IDP) asociado a la CRL coincide con el URI del CDP del certificado para asegurarse de que se ha obtenido la CRL correcta. Autoridad de certificación privada de AWS marca la extensión IDP como crítica y su cliente debe poder procesarla.
## Estructura de CRL
Cada CRL es un archivo codificado con DER. Para descargar el archivo y usar [OpenSSL](https://www.openssl.org/) para verlo, use un comando como el siguiente:
```
openssl crl -inform DER -in path-to-crl-file -text -noout
```
CRLs tienen el siguiente formato:
```
Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha256WithRSAEncryption
Issuer: /C=US/ST=WA/L=Seattle/O=Example Company CA/OU=Corporate/CN=www.example.com
Last Update: Feb 26 19:28:25 2018 GMT
Next Update: Feb 26 20:28:25 2019 GMT
CRL extensions:
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 CRL Number:
1519676905984
Revoked Certificates:
Serial Number: E8CBD2BEDB122329F97706BCFEC990F8
Revocation Date: Feb 26 20:00:36 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Serial Number: F7D7A3FD88B82C6776483467BBF0B38C
Revocation Date: Jan 30 21:21:31 2018 GMT
CRL entry extensions:
X509v3 CRL Reason Code:
Key Compromise
Signature Algorithm: sha256WithRSAEncryption
82:9a:40:76:86:a5:f5:4e:1e:43:e2:ea:83:ac:89:07:49:bf:
c2:fd:45:7d:15:d0:76:fe:64:ce:7b:3d:bb:4c:a0:6c:4b:4f:
9e:1d:27:f8:69:5e:d1:93:5b:95:da:78:50:6d:a8:59:bb:6f:
49:9b:04:fa:38:f2:fc:4c:0d:97:ac:02:51:26:7d:3e:fe:a6:
c6:83:34:b4:84:0b:5d:b1:c4:25:2f:66:0a:2e:30:f6:52:88:
e8:d2:05:78:84:09:01:e8:9d:c2:9e:b5:83:bd:8a:3a:e4:94:
62:ed:92:e0:be:ea:d2:59:5b:c7:c3:61:35:dc:a9:98:9d:80:
1c:2a:f7:23:9b:fe:ad:6f:16:7e:22:09:9a:79:8f:44:69:89:
2a:78:ae:92:a4:32:46:8d:76:ee:68:25:63:5c:bd:41:a5:5a:
57:18:d7:71:35:85:5c:cd:20:28:c6:d5:59:88:47:c9:36:44:
53:55:28:4d:6b:f8:6a:00:eb:b4:62:de:15:56:c8:9c:45:d7:
83:83:07:21:84:b4:eb:0b:23:f2:61:dd:95:03:02:df:0d:0f:
97:32:e0:9d:38:de:7c:15:e4:36:66:7a:18:da:ce:a3:34:94:
58:a6:5d:5c:04:90:35:f1:8b:55:a9:3c:dd:72:a2:d7:5f:73:
5a:2c:88:85
```
**nota**
La CRL solo se depositará en Amazon S3 una vez que se haya emitido un certificado que haga referencia a ella. Antes de eso, solo habrá un archivo `acm-pca-permission-test-key` visible en el bucket de Amazon S3.
## Políticas de acceso para CRLs Amazon S3
Si planea crear una CRL, debe preparar un bucket de Amazon S3 para almacenarla. Autoridad de certificación privada de AWS deposita automáticamente la CRL en el bucket de Amazon S3 que designe y la actualiza periódicamente. Para obtener más información, consulte [Creación de un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket.html).
Su bucket de S3 debe estar protegido por una política de permisos de IAM asociada. Los usuarios autorizados y los directores de servicio necesitan `Put` permiso Autoridad de certificación privada de AWS para poder colocar objetos en el depósito y `Get` para recuperarlos.
**nota**
La configuración de la política de IAM depende de la Regiones de AWS persona implicada. Las regiones se dividen en dos categorías:
**Regiones habilitadas de forma predeterminada**: regiones que están *habilitadas de forma predeterminada para* todos. Cuentas de AWS
**Regiones deshabilitadas de forma predeterminada**: regiones que están *deshabilitadas* de forma predeterminada, pero que el cliente puede habilitarlas manualmente.
[Para obtener más información y una lista de las regiones deshabilitadas de forma predeterminada, consulte Administración de Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html). Para obtener más información sobre los principios de servicio en el contexto de la IAM, consulte los [principios de servicio de AWS en las regiones en las que se ha optado por participar](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services-in-opt-in-regions).
Cuando se configura CRLs como método de revocación de certificados, Autoridad de certificación privada de AWS crea una CRL y la publica en un bucket de S3. El bucket de S3 requiere una política de IAM que permita al director del Autoridad de certificación privada de AWS servicio escribir en el bucket. El nombre de la entidad principal del servicio varía según las regiones utilizadas y no se admiten todas las posibilidades.
****
| PCA | S3 | Entidad principal de servicio |
| --- | --- | --- |
| Ambos en la misma región | `acm-pca.amazonaws.com` |
| Habilitado | Habilitado | `acm-pca.amazonaws.com` |
| Deshabilitado | Habilitado | `acm-pca.Region.amazonaws.com` |
| Habilitado | Deshabilitado | No compatible |
La política predeterminada no aplica ninguna restricción de `SourceArn` a la CA. Le recomendamos que aplique una política menos permisiva, como la siguiente, que restrinja el acceso tanto a una AWS cuenta específica como a una CA privada específica. Como alternativa, puede usar la clave de condición [aws: SourceOrg ID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) para restringir el acceso a una organización específica. AWS Organizations Para obtener más información sobre las políticas de depósitos, consulte [Políticas de depósitos de Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).
Si decide permitir la política predeterminada, siempre podrá [modificarla](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) más adelante.
## Habilite S3 Block Public Access (BPA) con CloudFront
Los nuevos buckets de Amazon S3 se configuran de forma predeterminada con la característica Bloquear acceso público (BPA) activada. Incluido en las [mejores prácticas de seguridad](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html) de Amazon S3, el BPA es un conjunto de controles de acceso que los clientes pueden usar para ajustar el acceso a los objetos de sus buckets de S3 y a los buckets en su conjunto. Cuando el BPA está activo y correctamente configurado, solo AWS los usuarios autorizados y autenticados tienen acceso a un depósito y a su contenido.
AWS recomienda el uso de BPA en todos los depósitos de S3 para evitar que la información confidencial quede expuesta a posibles adversarios. Sin embargo, si sus clientes de PKI obtienen información a CRLs través de la Internet pública (es decir, sin haber iniciado sesión en una cuenta), es necesario planificar más a fondo la información. AWS En esta sección se describe cómo configurar una solución de PKI privada mediante Amazon CloudFront, una red de entrega de contenido (CDN), para que sirva CRLs sin requerir el acceso de un cliente autenticado a un bucket de S3.
**nota**
Su uso CloudFront conlleva costes adicionales en su cuenta. AWS Para obtener más información, consulta los [ CloudFront precios de Amazon](https://aws.amazon.com/cloudfront/pricing/).
Si decide almacenar su CRL en un bucket de S3 con el BPA activado y no lo utiliza CloudFront, debe crear otra solución de CDN para garantizar que su cliente de PKI tenga acceso a su CRL.
### Configúrelo para el BPA CloudFront
Cree una CloudFront distribución que tenga acceso a su bucket privado de S3 y que pueda servir CRLs a clientes no autenticados.
**Para configurar una CloudFront distribución para la CRL**
1. Cree una CloudFront distribución nueva mediante el procedimiento descrito en [Creación de una distribución](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html) en la *Guía para CloudFront desarrolladores de Amazon*.
Mientras completa el procedimiento, aplique la siguiente configuración:
+ En **Nombre de dominio de origen**, elija su bucket de S3.
+ En **Restringir acceso al bucket**, elija **Sí**.
+ Elija **Create a New Identity** (Crear una nueva identidad) para **Origin Access Identity** (Identidad de acceso de origen).
+ Selecciona **Yes, Update Bucket Policy** (Sí, actualizar la política del bucket) en **Grant Read Permissions on Bucket** (Otorgar permisos de lectura en el bucket).
**nota**
En este procedimiento, CloudFront modifica la política de su bucket para permitirle acceder a los objetos del bucket. Considere la posibilidad de [editar](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) esta política para permitir el acceso únicamente a los objetos de la carpeta `crl`.
1. Una vez inicializada la distribución, busque su nombre de dominio en la CloudFront consola y guárdelo para el siguiente procedimiento.
**nota**
Si tu bucket de S3 se creó recientemente en una región distinta de us-east-1, es posible que recibas un error de redireccionamiento temporal HTTP 307 al acceder a la aplicación publicada a través de ella. CloudFront Es posible que la dirección del bucket tarde varias horas en propagarse.
### Configuración de CA para el BPA
Al configurar su nueva CA, incluya el alias en su CloudFront distribución.
**Para configurar su CA con un CNAME para CloudFront**
+ Cree su CA mediante [Cree una CA privada en AWS Private CA](create-CA.md).
Al realizar el procedimiento, el archivo de revocación `revoke_config.txt` debe incluir las siguientes líneas para especificar un objeto de CRL no público y proporcionar una URL al punto de conexión de distribución en el que: CloudFront
```
"S3ObjectAcl":"BUCKET_OWNER_FULL_CONTROL",
"CustomCname":"abcdef012345.cloudfront.net"
```
Posteriormente, cuando emita certificados con esta CA, estos contendrán un bloque como el siguiente:
```
X509v3 CRL Distribution Points:
Full Name:
URI:http://abcdef012345.cloudfront.net/crl/01234567-89ab-cdef-0123-456789abcdef.crl
```
**nota**
Si tiene certificados antiguos emitidos por esta CA, no podrán acceder a la CRL.
## Determinación del URI del punto de distribución (CDP) de la CRL
Si necesita utilizar el URI del punto de distribución de CRL (CDP) en su flujo de trabajo, puede emitir un certificado utilizando el URI de CRL de ese certificado o utilizar el siguiente método. Esto solo funciona si está completo. CRLs CRLs Las particiones tienen un GUID aleatorio adjunto.
Si usa el bucket S3 como punto de distribución de CRL (CDP) para su CA, el URI del CDP puede tener uno de los siguientes formatos.
+ `http://amzn-s3-demo-bucket.s3.region-code.amazonaws.com/crl/CA-ID.crl`
+ `http://s3.region-code.amazonaws.com/amzn-s3-demo-bucket/crl/CA-ID.crl`
Si ha configurado la CA con un CNAME personalizado, el URI del CDP incluirá el CNAME, por ejemplo, `http://alternative.example.com/crl/CA-ID.crl`
##
De forma predeterminada, Autoridad de certificación privada de AWS escribe las extensiones de CDP utilizando puntos finales solo regionales. IPv4 `amazonaws.com` Para usar CRLs over IPv6, lleve a cabo uno de los siguientes pasos para que CDPs se escriba con URLs ese punto en los puntos finales de doble pila [de S3](https://docs.aws.amazon.com/AmazonS3/latest/API/dual-stack-endpoints.html):
+ Defina el [nombre personalizado de su CRL para el dominio del punto final de doble pila](create-CA.md#PcaCreateRevocation) de S3. Por ejemplo, `bucketname.s3.dualstack.region-code.amazonaws.com`
+ Configura tu propio registro DNS CNAME que apunte al punto final de doble pila de S3 correspondiente y úsalo como nombre personalizado de tu CRL