Descripción rápida
El protocolo del Entorno de gestión de certificados automatizado (ACME) es una forma estandarizada de automatizar el proceso de obtención y renovación de certificados SSL/TLS Certificados. Permite a los servidores web demostrar la propiedad de los dominios y recibir certificados sin intervención manual. ACME automatiza la emisión y renovación de certificados, mejora la seguridad de los sitios web, reduce los errores humanos en la gestión de certificados y cuenta con un amplio respaldo de las autoridades de certificación y los servidores web.
Entendiendo ACME
El protocolo ACME, un estándar abierto diseñado para automatizar el proceso de emisión y renovación de certificados digitales, ha revolucionado la gestión de certificados. Desarrollado para agilizar todo el proceso, ACME ha sido ampliamente adoptado por muchas autoridades de certificación (CA) y se ha convertido en un estándar de Internet.RFC 8555).
Antes de ACME, la obtención y gestión de SSL/TLS Los certificados solían ser un proceso manual y que requería mucho tiempo. Los administradores de sitios web tenían que:
- Generar una solicitud de firma de certificado (CSR)
- Demuestre la propiedad del dominio a través de varios métodos
- Completa y envía tu CSR a una autoridad de certificación
- Esperar la aprobación y emisión del certificado
- Instalar manualmente el certificado en su servidor web
- Recuerde renovar el certificado antes de que caduque
Este proceso era propenso a errores humanos y a menudo daba lugar a certificados vencidos, lo que generaba advertencias de seguridad para los visitantes del sitio web.
ACME automatiza todo este proceso definiendo un protocolo estándar para la comunicación entre servidores web y autoridades de certificación. El servidor web (cliente ACME) envía una solicitud a la autoridad de certificación (servidor ACME) para obtener un certificado para un dominio específico. Luego, la autoridad de certificación desafía al cliente a demostrar la propiedad del dominio, generalmente colocando un archivo específico en el servidor web. Una vez que la autoridad de certificación verifica que se ha completado el desafío, emite el certificado al cliente, que lo instala automáticamente. Este proceso se puede automatizar por completo, lo que permite una configuración inicial sencilla y renovaciones sin inconvenientes.
Beneficios de utilizar ACME
El protocolo ACME ofrece numerosas ventajas para los propietarios y administradores de sitios web:
- Automatización :Reduce significativamente la intervención manual en la gestión de certificados.
- Mejora de la seguridad:Las renovaciones regulares y automáticas garantizan que los certificados estén siempre actualizados.
- Rentabilidad:Muchas CA compatibles con ACME ofrecen certificados gratuitos o de bajo costo.
- Errores reducidos:La automatización minimiza el riesgo de errores humanos en el proceso de certificación.
- Escalabilidad:Permite una fácil gestión de certificados para múltiples dominios o subdominios.
- Normalización:Como estándar abierto, ACME promueve la interoperabilidad entre diferentes sistemas.
Implementación de ACME
Para comenzar a utilizar ACME en sus sitios web, siga estos pasos:
- Elija un cliente ACME:Seleccione un cliente que tenga un mantenimiento activo, esté bien documentado, sea compatible con su sistema operativo y servidor web y ofrezca las características que necesita (por ejemplo, certificados comodín, compatibilidad con múltiples dominios).
- Instalar el cliente ACME:El proceso de instalación varía según el cliente y el sistema elegidos. Puede utilizar un administrador de paquetes, descargar el cliente directamente desde el sitio web del desarrollador o clonar un repositorio y compilar el cliente desde el código fuente. Consulte siempre la documentación oficial del cliente ACME elegido para obtener instrucciones de instalación específicas.
- Configurar el cliente:Configure su cliente ACME con los detalles de su dominio y la configuración preferida. Esto generalmente implica especificar los dominios que desea proteger, el servidor web que está utilizando (por ejemplo, Apache, Nginx) y dónde almacenar los certificados.
- Solicite un certificado: Ejecute el cliente ACME para iniciar el proceso de solicitud de certificado. El cliente generará una solicitud de firma de certificado, demostrará la propiedad del dominio a la CA y recibirá e instalará el certificado.
- Configurar su servidor web:Si bien la mayoría de los clientes de ACME configurarán automáticamente su servidor web para usar el nuevo certificado, es posible que deba realizar algunos ajustes manuales según su configuración. Para Apache, asegúrese de que la configuración de su host virtual incluya las rutas a los nuevos archivos de certificado. Para Nginx, actualice su bloque de servidor con las rutas al nuevo certificado y los archivos de clave.
- Configurar la renovación automática:Los certificados ACME suelen tener una vida útil corta (a menudo, 90 días) para fomentar las renovaciones frecuentes y mejorar la seguridad. Configure renovaciones automáticas para garantizar que sus certificados se mantengan actualizados. La mayoría de los clientes ACME ofrecen mecanismos de renovación integrados y, por lo general, puede configurar un trabajo cron o una tarea programada para ejecutar el proceso de renovación periódicamente.
Funciones avanzadas de ACME
ACME admite la emisión de certificados comodín, que protegen un dominio y todos sus subdominios. Para solicitar un certificado comodín, normalmente es necesario utilizar desafíos de DNS para la validación del dominio. Además, ACME ofrece una forma estandarizada de revocar certificados si están en peligro o ya no son necesarios.
Solución de problemas comunes de ACME
Al implementar ACME, es posible que surjan algunos problemas comunes:
- Limitación de la velocidad:Tenga en cuenta los límites de velocidad impuestos por la mayoría de las CA de ACME para evitar abusos.
- Problemas de conectividad:Asegúrese de que su servidor pueda comunicarse con los servidores de ACME CA; verifique las reglas del firewall si encuentra problemas de conexión.
- Errores de validación de dominioLos servidores web mal configurados pueden impedir una validación de dominio exitosa, así que asegúrese de que su servidor esté entregando correctamente las respuestas de desafío.
- Desafíos del DNS:Para los desafíos basados en DNS, asegúrese de que sus registros DNS estén configurados y propagados correctamente.
- Errores de permisos:Los clientes de ACME a menudo necesitan permisos elevados para escribir certificados y configurar servidores web; utilice la elevación de privilegios adecuada cuando sea necesario.
¿Puedo usar ACME para solicitar SSL /TLS certificados de SSL.com?
¡Si! Por favor lee SSL /TLS Emisión y revocación de certificados con ACME y ACME SSL /TLS Automatización con Apache y Nginx para obtener más información.
¿Cuál es la vida útil de SSL?TLS certificados comprados en SSL.com a través de ACME?
Todos los certificados emitidos por SSL.com a través del protocolo ACME tienen una vida útil de un año.
¿Qué tipos de certificados puedo solicitar a SSL.com con ACME?
El siguiente SSL /TLS Cualquier cliente de SSL.com puede solicitar productos certificados a través del protocolo ACME:
• Básico SSL • SSL comodín • SSL Premium • Multi-Dominio UCC / SAN SSL
Para obtener más información, consulte la sección sobre Tipos de certificados y facturación de nuestra guía ACME.
¿Se aplican los descuentos para revendedores y compras por volumen de SSL.com a los certificados solicitados con ACME?
Si. Participantes en SSL.com's Programa de revendedores y compras por volumen recibirá los descuentos mayoristas asociados a su revendedor y nivel de compras por volumen cuando soliciten certificados con el protocolo ACME. Los revendedores también pueden generar credenciales ACME para sus clientes.
Conclusión
El protocolo ACME ha revolucionado SSL/TLS Gestión de certificados, lo que facilita más que nunca la protección de sitios web y el mantenimiento de certificados válidos. Al automatizar el ciclo de vida de los certificados, ACME ayuda a mejorar la seguridad de Internet, reduce los gastos administrativos y garantiza una experiencia más fluida tanto para los operadores de sitios web como para los visitantes.
Al implementar ACME en sus propios sitios web, recuerde:
- Elija un cliente ACME confiable y compatible con su entorno
- Supervise periódicamente el estado de su certificado y los procesos de renovación
- Mantenga actualizado el software de su cliente ACME y de su servidor web
- Siga las mejores prácticas de seguridad para almacenar y administrar sus certificados