Quiero importar un certificado TLS o SSL emitido por un tercero a AWS Certificate Manager (ACM).
Resolución
Para importar un certificado TLS/SSL emitido por un tercero a ACM, debe proporcionar el certificado, clave privada y cadena del certificado. El certificado también debe incluir los requisitos previos para la importación de certificados.
Necesita los siguientes archivos para importar en formato codificado PEM similar al siguiente:
Certificado codificado en PEM:
-----BEGIN CERTIFICATE-----
Base64–encoded certificate
-----END CERTIFICATE-----
Cadena de certificados codificada en PEM: (Este ejemplo muestra una cadena en la que hay dos CA subordinadas/intermedias. El orden dado aquí es para mantener la CA Raíz como la última entrada):
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of SubordinateCA1
----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Base64–encoded certificate of Root CA
-----END CERTIFICATE-----
Claves privadas codificadas en PEM:
-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----
Para más información y ejemplos, consulte Formato de certificado y clave para la importación.
Convierta el paquete de certificados de PKCS#12 (PFX) a PEM mediante OpenSSL
1. Copie el archivo PFX o P12 en la misma ubicación que la herramienta OpenSSL o especifique la ubicación en la línea de comandos.
2. Ingrese el siguiente comando de OpenSSL y reemplace PKCS12file por el archivo de certificado:
$openssl pkcs12 -in PKCS12file -out Cert_Chain_Key.txt
Recibirá indicaciones similares a las siguientes:
Enter Import Password:(this is the password that was used when the PKCS12 file was created)
Enter PEM pass phrase:(this is the private key password)
Verifying - Enter PEM pass phrase: (confirm the private key password)
3. Ingrese la contraseña y la frase de contraseña solicitadas. El certificado, clave privada y cadena de certificados (raíz o intermedia) se analizan y se colocan en el archivo Cert_Chain_Key.txt.
Nota: La clave privada se sigue cifrando en el siguiente formato:
-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64–encoded private key
-----END ENCRYPTED PRIVATE KEY-----
Descifrar la clave privada
1. Copie la clave privada del archivo Cert_Chain_Key.txt en el directorio de OpenSSL, o especifique la ubicación en la línea de comandos.
2. Ingrese el siguiente comando de OpenSSL y reemplace Encrypted.key por el archivo de su clave privada encriptada:
$openssl rsa -in Encrypted.key -out UnEncrypted.key
3. Ingrese la frase de contraseña. El archivo UnEncrypted.key ahora es la clave privada descifrada. Para comprobarlo, abra el archivo UnEncrypted.key con un editor de texto y vea los encabezados con un formato similar al siguiente:
-----BEGIN RSA PRIVATE KEY-----
Base64–encoded private key
-----END RSA PRIVATE KEY-----
Ahora puede importar el certificado correctamente en ACM. Para obtener instrucciones, consulte Importar un certificado.
Información relacionada
¿Por qué no puedo importar un certificado SSL/TLS público de terceros a AWS Certificate Manager (ACM)?
¿Cómo puedo usar el mismo certificado de SSL para mi instancia de Amazon EC2 y equilibrador de carga?
Cómo importar certificados con formato PFX a AWS Certificate Manager mediante OpenSSL