Hoy en día son muy pocas las páginas web que no funcionan con TLS para encriptar la conexión entre nosotros y el servidor. La aparición de Let’s Encrypt, que nos permite tener un certificado SSL gratuito, y la importancia que Google le da a usar https para el SEO, han facilitado su difusión.
Los servicios web de Amazon (AWS) también nos permiten disponer de certificados seguros gratuitos para usar en su infraestructura, mediante el servicio AWS Certificate Manager o acm. En esta entrada os mostramos como crear un certificado gratuito para usar con los servicios de Amazon.
Los certificados de ACM
Con AWS Certificate Manager podemos crear certificados gratuitos, válidos para cualquier navegador, teniendo en cuenta que:
- Los certificados funcionan para todos los navegadores modernos.
- Si generamos un certificado público no vamos a poder descargarlo a nuestro ordenador (solo podremos hacerlo si importamos nosotros el certificado)
- Solo podremos usar el certificado generado en los servicios de AWS (por ejemplo CloudFront o ELB)
- Para generar el certificado debemos validar que somos propietarios del dominio, bien mediante correo o DNS.
Además, es importante tener en cuenta que los certificados se generan por región de AWS, así que si tenemos servicios en más de una región, deberemos generar un certificado en cada una de ellas.
Por último, si queremos usar el servicio CloudFront, es imprescindible que el certificado que vamos a usar con CloudFront esté en la zona us-east-1, o no nos permitirá hacer la configuración.
Generar un nuevo certificado
Para generar un nuevo certificado, debemos seguir los siguientes pasos:
Primero, entramos en la página de ACM en la consola de AWS. Debemos seleccionar también la región en el selector de la parte superior derecha. Si es la primera vez que accedemos, veremos la siguiente pantalla, donde pulsaremos en el botón Empezar que hay debajo de «Aprovisionar certificados»
Ahora nos aparecerá una pantalla para indicar el tipo de certificado que queremos crear, donde seleccionaremos «Solicitar un certificado público» y el botón azul «Solicitar un certificado»
En la siguiente pantalla, tenemos que indicar el nombre de los dominios o subdominios que queremos añadir a ese certificado. Hay que tener en cuenta que debemos añadir el dominio principal, y que podemos usar el subdominio * para que entren todos los subdominios de primer nivel del dominio.
Una vez indicados los dominios, debemos decidir como queremos validar el dominio. Para evitar que alguien que no sea el propietario genere un certificado, es necesario que confirmemos que tenemos la gestión del dominio, cosa que podemos hacer de dos formas:
- DNS: Creando los registros CNAME que AWS nos indique. Es necesario tener acceso a la configuración DNS del dominio.
- Email: Pulsando en un enlace enviado a correos de administración del dominio, a los que tendremos que tener acceso.
Elegiremos qué opción deseamos usar, y pulsaremos en Siguiente
Después de indicar la forma, podremos añadir las etiquetas que queramos para este certificado (por ejemplo para desglosar los costes por categoría)
Por último y antes de pasar a la validación, veremos un resumen de los datos que hemos introducido, y deberemos pulsar en el botón azul «Confirmar y solicitar»
Validación por correo electrónico
Si hemos elegido la validación mediante correo electrónico, nos indicará las direcciones a las que ha enviado el correo de confirmación, que son las direcciones de los contactos que aparecen en el dominio, y una serie de direcciones específicas, que son:
- admin
- administrador
- postmaster
- webmaster
- hostmaster
En cada una de estas direcciones, recibiremos un correo de confirmación de Amazón, con un enlace sobre el que debemos pulsar para validar la petición de certificado.
Una vez pulsemos en el enlace la petición se considerará válida.
Validación por DNS
Si elegimos la validación de certificado mediante DNS, nos mostrará una pantalla indicando los registros que debemos crear en nuestro DNS para validar el dominio.
Este sistema puede tardar un tiempo mayor en activarse, ya que los cambios de DNS deben propagarse y AWS debe comprobar que se han propagado y que son correctos, aunque el proceso es transparente para nosotros.
Con esto, ya podréis utilizar vuestro recién creado certificado en los servicios de Amazón que necesitéis.