En esta guía Paso a Paso vamos a aprender a crear un certificado SSL público con Amazon Certificate Manager para utilizar con algunos servicios de Amazon Web Services.
IMPORTANTE: Cabe aclarar que este certificado no puede exportarse ya que AWS controla la clave privada, por lo que sólo servirá para proporcionar SSL a algunos servicios internos como CloudFront o configuraciones con load balancing.
El resumen |
|
---|---|
Dificultad | Baja |
Precio | Gratuito |
De baja dificultad dado que el proceso se realiza a través de un asistente en su mayor parte.
El costo es gratuito para los certificados públicos de uso exclusivo con AWS. Se paga únicamente por los servicios que lo utilicen, pero la emisión y utilización del certificado no se factura.
Generando el certificado
Una vez que hayamos ingresado a AWS, iremos al servicio Certificate Manager desde el menú o mediante esta url.
Es importante entender que siempre debemos elegir la zona de disponibilidad en la que queremos que funcione nuestro servicio, sea cual sea. La zona de disponibilidad es el datacenter donde se encontrarán físicamente los datos que almacenemos. Sin embargo, hay algunos servicios que funcionan a nivel global.
1 Aprovisionamiento y Elección del nombre
Ya dentro del servicio Certificate Manager y habiendo elegido la zona de disponibilidad adecuada, debemos empezar por aprovisionar un certificado público y elegir el nombre del dominio a utilizar para dicho certificado. Las URLs que usemos para apuntar a los recursos tendrán este dominio/subdominio. Por ejemplo, si elegimos cdn.dominio.com
, las URLs a los recursos serán como cdn.dominio.com/imagen.jpg
.
2 Validación del dominio
Luego de elegir el nombre del dominio, será el momento de validarlo. AWS necesita validar que dicho dominio/subdominio nos pertenece para poder utilizarlo, por lo que nos ofrece 2 métodos: DNS o email. Si elegimos la validación por email, intentará enviarnos un email a varias direcciones estándar como: [email protected], [email protected], [email protected], etc. Para ello, tendremos que contar con alguno de estos emails ya creados o como alias. Sin embargo, en esta guía vamos a abordar el método de validación por DNS, ya que es el más conveniente y utilizado para las validaciones en la mayoría de los servicios. Una vez elegido el método de «Validación de DNS«, iremos a agregar el registro CNAME que nos indica Certificate Manager mediante el panel de control de nuestro domain/hosting provider. En mi caso, Cloudflare. Si lo hicimos correctamente, será sólo cuestión de esperar algunos minutos para que la validación se concrete y el certificado se emita.
Luego de agregar el registro CNAME, debemos esperar algunos minutos (u horas) para que los cambios en el DNS se propaguen. Podemos utilizar herramientas online como Google G Suite Dig para comprobar si el registro ya existe (se propagó) en el DNS del dominio, o simplemente ejecutando un comando en la terminal del sistema (Linux):
$ dig 123.cdn.dominio.com | grep -i cname
123.cdn.dominio.com. 3369 IN CNAME 123.acm-validations.aws.