in

Automatice la emisión de certificados TLS públicos con soporte ACME en AWS Certificate Manager | Servicios web de Amazon

Si administra certificados TLS para sus aplicaciones, conoce el desafío: los certificados caducan y, cuando lo hacen, sus clientes ven errores o su servicio deja de funcionar. A medida que los períodos de validez de los certificados se acortan (el Autoridad de certificación (CA)/foro de navegadores (los mandatos redujeron la validez máxima a 100 días a partir de marzo de 2027 y a 47 días para 2029), los procesos de renovación manual se vuelven insostenibles. Necesitas automatización.

Entorno de gestión automática de certificados (ACME) es un protocolo abierto para solicitar, renovar y revocar certificados TLS sin intervención humana. Es el mismo protocolo detrás de Let’s Encrypt y es compatible con docenas de clientes en todas las plataformas.

Hoy anunciamos la compatibilidad de ACME con certificados públicos en AWS Certificate Manager (ACM). ACM ahora proporciona un punto final de servidor ACME totalmente administrado que funciona con cualquier cliente compatible con ACMEv2, como Certbot, administrador de certificados para Kubernetes, acme.sho cualquier otro cliente que ya utilices. Puede emitir certificados TLS públicos desde Servicios de confianza de Amazon a través del protocolo estándar ACME.

Antes de hoy, si deseaba una gestión automatizada de certificados mediante el protocolo ACME, dependía de autoridades de certificación externas junto con ACM, lo que generaba una experiencia de visibilidad fragmentada. Algunos certificados vivían en ACM, otros se administraban externamente sin un panel central. Los administradores de PKI tenían una capacidad limitada para controlar quién podía solicitar certificados o qué dominios estaban permitidos.

Con la compatibilidad con ACME en ACM, ahora puede configurar uno o más puntos finales ACME administrados que le permitan administrar y monitorear de manera centralizada el uso de certificados ACME en toda su organización.

Como administrador de PKI, obtiene controles centralizados que van más allá de la emisión básica de certificados. Puede vincular funciones de IAM a cuentas ACME para obtener un control de acceso detallado sobre qué dominios puede solicitar cada cliente. Puede definir ámbitos de dominio a nivel de punto final para aplicar políticas en toda la organización. Y obtiene monitoreo y visibilidad centralizados en el mismo lugar: AWS CloudTrail registra cada solicitud de certificado para su auditabilidad, Amazon CloudWatch rastrea las métricas operativas y ACM envía notificaciones de vencimiento cuando los certificados se acercan a la renovación. Con ACM, su equipo de PKI puede buscar todos los certificados, ya sea emitidos a través de la consola de ACM, una llamada API o ACME.

como funciona

Para comenzar, primero configure un punto final ACME dedicado, configure los controles de autorización mediante el enlace de cuenta externa (EAB), valide para qué dominios el punto final puede emitir certificados y apunte a sus clientes ACME existentes al nuevo punto final.

El paso de validación del dominio es importante: separa quién puede configurar la emisión de certificados y quién puede solicitarlos. El administrador de PKI valida los dominios una vez a nivel de punto final, utilizando credenciales DNS que permanecen con el administrador. Los propietarios de aplicaciones que necesitan certificados nunca tocan DNS. Se registran con una credencial EAB y el punto final impone qué dominios y alcances pueden solicitar. Esto significa que puede distribuir la automatización de certificados ampliamente en toda su organización sin distribuir claves DNS junto con ella.

Empiezo esta demostración desde el Certificados ACME en la consola de AWS Certificate Manager.

Consola ACME

Ya tengo algunos puntos finales y certificados en esta cuenta. Le guiaré en la creación de uno nuevo desde cero. Primero selecciono Crear punto final ACME.

ACME - Ceeate punto final 1

Le doy un nombre a mi punto final. El Tipo de punto final es Público. Los clientes de ACME se conectarán a través de la Internet pública. El Tipo de certificado es Público. El certificado será emitido por Amazon Trust Services y los navegadores y sistemas operativos confiarán en él de forma predeterminada. Para el tipo de clave de certificado, mantengo la predeterminada ECDSA P-256. RSA 2048 y ECDSA P-384 también están disponibles si sus clientes los requieren.

ACME - Punto final 2 de Ceeate

Desplazándome hacia abajo, configuro el dominio. Ingreso mi nombre de dominio y selecciono el alcance del dominio. El alcance controla exactamente qué patrones de certificado sus clientes ACME pueden solicitar para este dominio. Si solo reviso Dominio exactolos clientes sólo pueden solicitar certificados para ese nombre de dominio específico. Añadiendo Subdominios permite certificados para cualquier subdominio (por ejemplo, api.example.com o dev.example.com). Añadiendo comodines permite certificados comodín (*.example.com). Al dejar un alcance sin marcar, evita que cualquier cliente que utilice este punto final solicite ese tipo de certificado, incluso si su solicitud ACME es válida. Para un punto final de producción, puede habilitar solo Dominio exacto y Subdominios mientras salía comodines sin control para imponer una postura de seguridad más estricta.

También selecciono mi zona alojada de Amazon Route 53 en el menú desplegable. Luego, ACM crea automáticamente los registros DNS CNAME necesarios para la validación del dominio, por lo que no tengo que hacerlo manualmente. Cuando mi dominio está alojado fuera de Route 53, creo manualmente el registro CNAME proporcionado en mi proveedor de DNS. Esta es una diferencia significativa con las configuraciones típicas de ACME donde cada cliente maneja su propia verificación de dominio de forma independiente.

Estos controles centralizados brindan a los administradores de PKI un lugar único para autenticar dominios, restringir qué tipos de certificados (ECDSA o RSA) pueden solicitar los clientes y limitar aún más la emisión de comodines. Tener estas capacidades de gobernanza integradas significa que no necesita comprar un producto de gestión del ciclo de vida de los certificados por separado ni invertir en la creación de una capa de políticas personalizada, lo cual conlleva costos y gastos operativos significativos.

yo selecciono Crear punto final ACME

ACME - configuración DNS

Después de unos segundos, se crea el punto final. La consola muestra un Progreso de la configuración rastreador con los siguientes pasos. Mi dominio muestra el estado «Validando». El método de validación es la validación de DNS, donde ACM verifica que usted controle el dominio buscando un registro CNAME específico. Como seleccioné mi zona alojada de Route 53 durante la creación, selecciono Crear registros en la Ruta 53 para permitir que ACM maneje la validación de DNS automáticamente.

ACME - Éxito del DNSLa validación se completa en unos segundos y el estado cambia a Éxito.

ACME - Vinculación de cuenta externa 1

Ahora necesito crear credenciales de enlace de cuenta externa (EAB). Las credenciales EAB son un identificador de clave y un par de claves HMAC que le permiten a su cliente ACME registrar una cuenta en el servidor ACME. Una vez registrado, el cliente genera su propio par de claves asimétricas, que luego se utiliza para autenticar todas las solicitudes de certificado posteriores. En la página de detalles del punto final, selecciono el Vinculación de cuenta externa pestaña, luego seleccione Crear BEF. Le doy un nombre a la credencial y, opcionalmente, establezco un tiempo de vencimiento, idealmente no mayor al necesario para completar el registro del cliente.

ACME - Vinculación de cuenta externa 2

ACME - fin de la configuración - mostrar clave

Después de seleccionar Crear credencial EABla consola muestra el ID de clave y Clave HMAC. Tomo nota de estos valores porque los necesito para configurar mi cliente ACME. El progreso de la configuración ahora muestra cuatro marcas de verificación verdes.

ACME - fin de la configuración - éxito

Estoy listo para solicitar un certificado. En la página de detalles del punto final, amplío el Referencia CLI sección. La consola proporciona ejemplos de comandos listos para usar para ambos Certbot y acme.sh. Copio el comando Certbot y lo ejecuto dentro de un contenedor usando el certbot/certbot imagen.

certbot certonly --standalone --non-interactive --agree-tos \
    --email  \
    --server https://acm-acme-enroll.us-east-1.api.aws//directory \
    --eab-kid  \
    --eab-hmac-key  \
    --issuance-timeout  \
    -d 

Reemplazo los marcadores de posición con la URL de mi punto final, las credenciales de EAB y el nombre de dominio. El --eab-kid y --eab-hmac-key Los argumentos son cómo Certbot se registra con su punto final ACME utilizando las credenciales de enlace de cuenta externa que generé anteriormente. Cada cliente ACME tiene su propia sintaxis para este paso, así que consulte la documentación de su cliente para conocer las marcas exactas.

Certbot se comunica con el punto final de ACME y devuelve un certificado válido firmado por Amazon Trust Services.

Certbot para obtener un certificado a través de ACME

yo uso openssl para ver el certificado antes de instalarlo.

openssl para ver el certificado

El certificado ahora está visible en la consola de ACM bajo el Certificados ACME pestaña, junto con cualquier certificado emitido a través de la consola o API.

Vista de certificado en la consola ACME

Disponibilidad y precios

El soporte ACME en AWS Certificate Manager está disponible hoy en todas las regiones comerciales de AWS y estará disponible en AWS GovCloud (EE. UU.), las regiones de China y el Nube soberana europea de AWS particiones en una fecha posterior.

El precio es por dominio incluido en cada certificado en el momento de la emisión, con un precio diferente para nombres de dominio completos y comodines. Los niveles de volumen se calculan en función del total de apariciones de dominio en todos los certificados emitidos por mes en su cuenta de AWS. Para obtener más información, consulte la página de precios de ACM.

Para comenzar, visite la sección ACM en la consola de AWS o lea la documentación.

— seb

Fuente

Anthropic lanza Claude Sonnet 5 con un rendimiento cercano al Opus a un precio más bajo