Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de su propio token de autenticación (BYODKIM) de DKIM en Amazon SES
En lugar de usar [Easy DKIM](send-email-authentication-dkim-easy.md), puede configurar la autenticación de DKIM con su propio par de claves públicas-privadas. Este proceso se conoce como *Utilice su propio DKIM* (*BYODKIM*).
Con BYODKIM, puede utilizar un solo registro DNS para configurar la autenticación de DKIM de sus dominios, a diferencia de Easy DKIM, que requiere que publique tres registros DNS independientes. Además, con BYODKIM, podrá rotar las claves DKIM de sus dominios tantas veces como desee.
**Topics**
+ [Paso 1: Crear el par de claves](#send-email-authentication-dkim-bring-your-own-create-key-pair)
+ [Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio](#send-email-authentication-dkim-bring-your-own-update-dns)
+ [Paso 3: Configurar y verificar un dominio para usar BYODKIM](#send-email-authentication-dkim-bring-your-own-configure-identity)
**aviso**
Si actualmente tiene Easy DKIM habilitado y está haciendo la transición a BYODKIM, tenga en cuenta que Amazon SES no utilizará Easy DKIM para firmar los correos electrónicos mientras se está configurando BYODKIM y el estado de DKIM está pendiente. Desde el momento en que realiza la llamada para habilitar BYODKIM (ya sea a través de la API o la consola) y el momento en que SES puede confirmar la configuración de DNS, SES puede enviar los correos electrónicos sin firma de DKIM. Por lo tanto, se recomienda utilizar un paso intermedio para migrar de un método de firma de DKIM a otro (por ejemplo, utilizar un subdominio del dominio con Easy DKIM habilitado y luego eliminarlo una vez que se haya superado la verificación de BYODKIM) o realizar esta actividad durante el tiempo de inactividad de la aplicación, si lo hubiera.
## Paso 1: Crear el par de claves
Para utilizar la característica de uso de DKIM propio, primero debe crear un par de claves RSA.
La clave privada que genere tiene que estar en formato PKCS \$11 o PKCS \$18, debe utilizar al menos un cifrado RSA de 1024 bits y hasta 2048 bits y debe estar codificada con base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail). Consulte [Longitud de clave de firma de DKIM](send-email-authentication-dkim.md#send-email-authentication-dkim-1024-2048) para obtener más información acerca de las longitudes de clave de firma DKIM y cómo cambiarlas.
**nota**
Puede usar aplicaciones y herramientas de terceros para generar pares de claves RSA siempre que la clave privada se genere con al menos un cifrado RSA de 1024 bits y de hasta 2048 bits, y esté codificada con base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
En el siguiente procedimiento, el código de ejemplo que utiliza el comando `openssl genrsa` integrado en la mayoría de los sistemas operativos Linux, macOS o Unix para crear el par de claves utilizará automáticamente codificación base64 [(PEM)](https://en.wikipedia.org/wiki/Privacy-Enhanced_Mail).
**Para crear el par de claves desde la línea de comandos de Linux, macOS o Unix**
1. En la línea de comandos, introduzca el siguiente comando para generar la clave privada que se *nnnn* sustituya por una longitud de 1024 bits como mínimo y hasta 2048:
```
openssl genrsa -f4 -out private.key nnnn
```
1. En la línea de comandos, escriba el comando siguiente para generar la clave pública:
```
openssl rsa -in private.key -outform PEM -pubout -out public.key
```
## Paso 2: Agregar la clave pública y el selector a la configuración de DNS del dominio
Ahora que ha creado un par de claves, debe agregar la clave pública como registro TXT a la configuración de DNS de su dominio.
**Para añadir la clave pública a la configuración de DNS de su dominio**
1. Inicie sesión en la consola de administración del proveedor de DNS o de alojamiento.
1. Añada un nuevo registro de texto a la configuración de DNS de su dominio. El registro debe usar el siguiente formato:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
En el ejemplo anterior, realice los siguientes cambios:
+ *selector*Sustitúyala por un nombre único que identifique la clave.
**nota**
Un pequeño número de proveedores de DNS no le permiten incluir guiones bajos (\$1) en los nombres de registro. Sin embargo, el guion bajo el nombre de registro de DKIM es obligatorio. Si su proveedor de DNS no le permite introducir un guion bajo en el nombre del registro, póngase en contacto con el equipo de atención al cliente del proveedor para obtener ayuda.
+ *example.com*Sustitúyalo por tu dominio.
+ *yourPublicKey*Sustitúyala por la clave pública que creaste anteriormente e incluye el `p=` prefijo tal y como se muestra en la columna *Valor* de arriba.
**nota**
Cuando publica (agrega) su clave pública a su proveedor de DNS, debe tener el siguiente formato:
Debe eliminar la primera y la última línea (`-----BEGIN PUBLIC KEY-----` y `-----END PUBLIC KEY-----`, respectivamente) de la clave pública generada. Además, debe eliminar los saltos de línea en la clave pública generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
Debe incluir en prefijo `p=` tal y como se muestra en la columna *Value* (Valor) de la tabla anterior.
Cada proveedor tiene diferentes procedimientos para actualizar los registros de DNS. La tabla que sigue incluye enlaces a la documentación de unos pocos proveedores de DNS muy utilizados. Esta lista no es exhaustiva y no implica aprobación; del mismo modo, si su proveedor de DNS no aparece en la lista, no implica que no pueda usar el dominio con Amazon SES.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/ses/latest/dg/send-email-authentication-dkim-bring-your-own.html)
## Paso 3: Configurar y verificar un dominio para usar BYODKIM
Puede configurar BYODKIM tanto para los dominios nuevos (es decir, los dominios que no utiliza actualmente para enviar correo electrónico a través Amazon SES) como para los dominios existentes (es decir, los dominios que ya ha configurado para utilizar con Amazon SES) mediante la consola o la AWS CLI. Antes de utilizar los AWS CLI procedimientos de esta sección, primero debe instalar y configurar el AWS CLI. Para obtener más información, consulte la [Guía AWS Command Line Interface del usuario](https://docs.aws.amazon.com/cli/latest/userguide/).
### Opción 1: Crear una nueva identidad de dominio que utiliza BYODKIM
Esta sección contiene procedimientos para crear una nueva identidad de dominio que utiliza BYODKIM. Una nueva identidad de dominio es un dominio que no ha configurado previamente para enviar correo electrónico mediante Amazon SES.
Si desea configurar un dominio existente para utilizar BYODKIM, complete el procedimiento de [Opción 2: Configuración de una identidad de dominio existente](#send-email-authentication-dkim-bring-your-own-configure-identity-existing-domain) en su lugar.
**Para crear una identidad mediante BYODKIM desde la consola**
+ Siga los procedimientos indicados en [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure), y cuando llegue al paso 8, siga las instrucciones específicas para BYODKIM.
**Para crear una identidad mediante BYODKIM desde AWS CLI**
Para configurar un nuevo dominio, utilice la operación `CreateEmailIdentity` de la API de Amazon SES.
1. En el editor de texto, pegue el siguiente código:
```
{
"EmailIdentity":"example.com",
"DkimSigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
}
}
```
En el ejemplo anterior, realice los siguientes cambios:
+ *example.com*Sustitúyala por el dominio que deseas crear.
+ *privateKey*Sustitúyala por tu clave privada.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
+ *selector*Sustitúyalo por el selector único que especificaste al crear el registro TXT en la configuración de DNS de tu dominio.
Cuando haya terminado, guarde el archivo como `create-identity.json`.
1. En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 create-email-identity --cli-input-json file://path/to/create-identity.json
```
En el comando anterior, *path/to/create-identity.json* reemplácelo por la ruta completa del archivo que creó en el paso anterior.
### Opción 2: Configuración de una identidad de dominio existente
Esta sección contiene procedimientos para actualizar una identidad de dominio existente para utilizar BYODKIM. Una identidad de dominio existente es un dominio que ya ha configurado para enviar correo electrónico mediante Amazon SES.
**Para actualizar una identidad de dominio mediante BYODKIM desde la consola**
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration (Configuración)**, elija **Verified identities (Identidades verificadas)**.
1. En la lista de identidades, elija una identidad en la que el **Identity type (Tipo de identidad)**sea *Domain (Dominio)*.
**nota**
Si necesita crear o verificar un dominio, consulte [Creación de una identidad de dominio](creating-identities.md#verify-domain-procedure).
1. En la pestaña **Autenticación**, en el panel **Correo DomainKeys identificado (DKIM)**, selecciona **Editar**.
1. En el panel **Advanced DKIM settings** (Configuración avanzada de DKIM), elija el botón **Provide DKIM authentication token (BYODKIM)** [Proporcionar token de autenticación DKIM (BYODKIM)] en el campo **Identity type** (Tipo de identidad).
1. Pegue en **Private key** (Clave privada) la clave privada que generó anteriormente.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
1. En **Selector name (Nombre del selector)**, ingrese el nombre del selector que especificó en la configuración de DNS de su dominio.
1. En el campo **DKIM signatures (Firmas DKIM)**, active la casilla **Enabled (Habilitada)**.
1. Seleccione **Save changes (Guardar cambios)**.
**Para actualizar la identidad de un dominio mediante BYODKIM desde AWS CLI**
Para configurar un dominio existente, utilice la operación `PutEmailIdentityDkimSigningAttributes` de la API de Amazon SES.
1. En el editor de texto, pegue el siguiente código:
```
{
"SigningAttributes":{
"DomainSigningPrivateKey":"privateKey",
"DomainSigningSelector":"selector"
},
"SigningAttributesOrigin":"EXTERNAL"
}
```
En el ejemplo anterior, realice los siguientes cambios:
+ *privateKey*Sustitúyala por tu clave privada.
**nota**
Debe eliminar la primera y la última línea (`-----BEGIN PRIVATE KEY-----` y `-----END PRIVATE KEY-----`, respectivamente) de la clave privada generada. Además, debe eliminar los saltos de línea en la clave privada generada. El valor resultante es una cadena de caracteres sin espacios ni saltos de línea.
+ *selector*Sustitúyalo por el selector único que especificaste al crear el registro TXT en la configuración de DNS de tu dominio.
Cuando haya terminado, guarde el archivo como `update-identity.json`.
1. En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 put-email-identity-dkim-signing-attributes --email-identity example.com --cli-input-json file://path/to/update-identity.json
```
En el comando anterior, realice los siguientes cambios:
+ *path/to/update-identity.json*Sustitúyalo por la ruta completa del archivo que creaste en el paso anterior.
+ *example.com*Sustitúyalo por el dominio que deseas actualizar.
### Verificación del estado de DKIM de un dominio que utiliza BYODKIM
**Para verificar el estado de DKIM de un dominio desde la consola**
Después de configurar un dominio para utilizar BYODKIM, puede utilizar la consola SES para verificar que DKIM se haya configurado correctamente.
1. Inicie sesión en la consola Amazon SES Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/ses/](https://console.aws.amazon.com/ses/).
1. En el panel de navegación, en **Configuration** (Configuración), elija **Verified identities** (Identidades verificadas).
1. En la lista de identidades, elija la identidad cuyo estado de DKIM desee verificar.
1. Los cambios en la configuración del DNS pueden tardar hasta 72 horas en propagarse. Tan pronto como Amazon SES detecte todos los registros DKIM requeridos en la configuración DNS de su dominio, el proceso de verificación quedará completado. Si todo se ha configurado correctamente, el campo de **configuración de DKIM** de su dominio aparece **correctamente** en el panel **Correo DomainKeys identificado (DKIM)** y el campo de **estado de identidad** muestra **Verificado** en el panel de **resumen**.
**Para comprobar el estado del DKIM de un dominio mediante el AWS CLI**
Tras configurar un dominio para que utilice BYODKIM, puede utilizar la GetEmailIdentity operación para comprobar que el DKIM está configurado correctamente.
+ En la línea de comandos, introduzca el comando siguiente:
```
aws sesv2 get-email-identity --email-identity example.com
```
En el comando anterior, *example.com* sustitúyalo por tu dominio.
Este comando devuelve un objeto JSON que contiene una sección similar al siguiente ejemplo.
```
{
...
"DkimAttributes": {
"SigningAttributesOrigin": "EXTERNAL",
"SigningEnabled": true,
"Status": "SUCCESS",
"Tokens": [ ]
},
...
}
```
Si todo lo que se describe a continuación es verdadero, BYODKIM se ha configurado correctamente para el dominio:
+ El valor de la propiedad `SigningAttributesOrigin` es `EXTERNAL`.
+ El valor de `SigningEnabled` es `true`.
+ El valor de `Status` es `SUCCESS`.