Los clientes ACME son herramientas de software que automatizan la gestión de certificados SSL comunicándose con los servidores ACME mediante el protocolo Automated Certificate Management Environment (ACME).
Estos clientes gestionan todo el ciclo de vida de los certificados SSL, desde la emisión inicial hasta la renovación automática.
Los clientes ACME eliminan los procesos manuales de los certificados SSL validando automáticamente la propiedad del dominio, solicitando certificados SSL e instalándolos en sus servidores. Funcionan a la perfección con Trustico® Certificate as a Service (CaaS) utilizando sus credenciales EAB.
Piense en los clientes ACME como sus asistentes automatizados de certificados SSL que trabajan 24 horas al día, 7 días a la semana, para mantener sus dominios protegidos sin necesidad de intervención manual.
Cómo funcionan los clientes ACME
Los clientes ACME siguen un proceso estandarizado para obtener y gestionar certificados SSL. En primer lugar, se registran en el servidor ACME utilizando sus credenciales EAB para autenticar su Certificate as a Service (CaaS) de Trustico® de pago.
Al solicitar un certificado SSL, el cliente demuestra automáticamente la propiedad del dominio a través de varios métodos de validación, como desafíos HTTP, desafíos DNS o desafíos TLS-ALPN. Esta validación se produce automáticamente sin procesos de aprobación manuales.
Una vez completada la validación del dominio, el servidor ACME emite su certificado SSL, que el cliente puede instalar automáticamente en su servidor web o guardar en ubicaciones específicas para su instalación manual.
Los clientes ACME también supervisan las fechas de caducidad de los certificados SSL y los renuevan automáticamente antes de que caduquen, normalmente con 30 días de antelación, lo que garantiza una protección continua para sus sitios web y aplicaciones.
Clientes ACME más populares
El ecosistema ACME ofrece numerosas opciones de cliente, cada una diseñada para diferentes casos de uso y entornos.
Aunque todos los clientes ACME siguen los mismos estándares de protocolo y funcionan con Trustico® Certificate as a Service (CaaS), difieren en características, métodos de instalación y público objetivo.
Certbot - La opción más popular
Certbot es el cliente ACME más utilizado, desarrollado por la Electronic Frontier Foundation. Muchas autoridades de certificación lo recomiendan oficialmente y ofrece una documentación y un soporte de la comunidad excelentes.
Certbot funciona en Linux, macOS y Windows, con soporte integrado para servidores web populares como Apache y Nginx. Puede configurar automáticamente su servidor web con nuevos certificados SSL o guardar certificados para su instalación manual.
Descarga Certbot desde el sitio web oficial : https://certbot.eff.org 🔗
Certbot soporta credenciales EAB a través de parámetros de línea de comandos, por lo que es perfecto para su uso con Trustico® Certificate as a Service (CaaS).
acme.sh - Ligero y versátil
acme.sh es un cliente ACME ligero escrito en shell script que funciona prácticamente en cualquier sistema de tipo Unix. Es especialmente popular entre los administradores de sistemas que prefieren dependencias mínimas y máxima compatibilidad.
Este cliente es compatible con numerosos proveedores de DNS para la validación automatizada de DNS y puede implementar certificados SSL en varios servicios y aplicaciones de forma automática.
Descargar acme.sh desde GitHub : https://github.com/acmesh-official/acme.sh 🔗
acme.sh ofrece un excelente soporte EAB y se integra sin problemas con Trustico® Certificate as a Service (CaaS) a través de variables de entorno.
Lego - Cliente ACME basado en Go
Lego es un cliente ACME moderno escrito en Go que se compila en un único archivo binario, lo que facilita su despliegue en diferentes sistemas. Es compatible con numerosos proveedores de DNS y plataformas en la nube.
Lego es especialmente adecuado para entornos en contenedores y despliegues en la nube en los que se necesita un cliente ACME autónomo sin dependencias externas.
Descarga Lego desde GitHub : https://github.com/go-acme/lego 🔗
Lego proporciona una sólida compatibilidad con EAB y funciona de forma excelente con Trustico® Certificate as a Service (CaaS) en escenarios de despliegue automatizado.
win-acme - Solución centrada en Windows
win-acme (antes conocido como letsencrypt-win-simple) está diseñado específicamente para entornos Windows y servidores web IIS, y proporciona una interfaz de usuario fácil de usar para los administradores de Windows.
Este cliente ofrece modos interactivos y automatizados, por lo que es adecuado tanto para la configuración inicial como para la gestión automatizada de certificados SSL en servidores Windows.
Descargar win-acme desde GitHub : https://github.com/win-acme/win-acme 🔗
win-acme admite credenciales EAB y se integra bien con las implantaciones de Certificate as a Service (CaaS) de Trustico® basadas en Windows.
Elección del cliente ACME adecuado
La elección del cliente ACME depende de su sistema operativo, servidor web, conocimientos técnicos y requisitos específicos. Tenga en cuenta estos factores a la hora de seleccionar un cliente ACME para su Certificate as a Service (CaaS) de Trustico®.
Para principiantes, Certbot ofrece la mejor documentación, asistencia de la comunidad y opciones de configuración automática del servidor web.
Para los administradores de sistemas, acme.sh ofrece la máxima flexibilidad y unos requisitos mínimos del sistema, al tiempo que admite escenarios de implantación avanzados.
Para implantaciones en la nube, el diseño de binario único de Lego y la amplia compatibilidad con proveedores de la nube lo hacen ideal para aplicaciones en contenedores y nativas de la nube.
Para entornos Windows, win-acme proporciona integración nativa de Windows y compatibilidad con IIS para infraestructuras basadas en Microsoft.
Configuración del cliente ACME con credenciales EAB
Todos los clientes ACME modernos admiten las credenciales EAB necesarias para Certificate as a Service (CaaS) de Trustico®. El proceso de configuración implica configurar el cliente con el ID de clave EAB, la clave MAC EAB y la URL del servidor ACME.
La mayoría de los clientes ACME requieren la configuración de EAB durante el proceso inicial de registro de la cuenta. Una vez configurado, su cliente puede solicitar y renovar certificados SSL automáticamente para sus dominios autorizados.
A continuación se muestran ejemplos de configuración básica para clientes ACME populares :
Configuración de EAB para Certbot
Registra tu cuenta de Certbot con credenciales EAB usando esta estructura de comandos :
certbot register --server YOUR_ACME_SERVER_URL --eab-kid YOUR_EAB_KEY_ID --eab-hmac-key YOUR_EAB_MAC_KEY --email your@email.com
Tras el registro, solicita certificados SSL normalmente utilizando los comandos certbot certonly o certbot run.
acme.sh Configuración de EAB
Configure las variables de entorno para sus credenciales EAB :
export ACME_EAB_KID="YOUR_EAB_KEY_ID"
export ACME_EAB_HMAC_KEY="YOUR_EAB_MAC_KEY"
A continuación, regístrese y solicite certificados SSL con la URL de su servidor ACME :
acme.sh --register-account --server YOUR_ACME_SERVER_URL
Configuración EAB de Lego
Utilice parámetros de línea de comandos para especificar sus credenciales EAB :
lego --server YOUR_ACME_SERVER_URL --eab --kid YOUR_EAB_KEY_ID --hmac YOUR_EAB_MAC_KEY --email your@email.com --domains example.com run
Los clientes ACME pueden instalarse mediante varios métodos en función de su sistema operativo y sus preferencias. La mayoría de los clientes ofrecen varias opciones de instalación para adaptarse a distintos entornos.
Gestores depaquetes : Muchos clientes ACME están disponibles a través de gestores de paquetes del sistema como apt, yum, brew o chocolatey para facilitar la instalación y las actualizaciones.
Descargas de binarios : Hay disponibles binarios precompilados para clientes como Lego y win-acme, que permiten una instalación sencilla sin necesidad de compilación.
Instalación de código fuente : Los usuarios avanzados pueden compilar los clientes ACME a partir del código fuente para obtener la máxima personalización y las últimas funciones.
Imágenes de contenedor: Los contenedores Docker están disponibles para la mayoría de los clientes ACME, lo que permite una fácil implementación en entornos de contenedores.
Automatización de la emisión de certificados SSL
Una de las principales ventajas de los clientes ACME es que gestionan la validación automática de dominios y la emisión de certificados SSL sin problemas mientras su producto Trustico® Certificate as a Service (CaaS) está activo.
Los clientes ACME suelen intentar la instalación 30 días antes de que caduque el certificado SSL, lo que proporciona tiempo suficiente para resolver cualquier problema antes de que caduquen los certificados SSL.
Configure la renovación automática mediante el programador del sistema para ejecutar el comando de renovación del cliente ACME diaria o semanalmente. El cliente sólo renovará los certificados SSL que estén a punto de caducar.
Pruebe su proceso de renovación con regularidad para asegurarse de que funciona correctamente con su Certificate as a Service (CaaS) de Trustico® y de que no encuentra ningún problema de configuración.
Métodos de validación de dominios
Los clientes ACME admiten varios métodos de validación de dominios para demostrar que usted controla los dominios para los que solicita certificados SSL. Elija el método que mejor se adapte a su infraestructura y a sus requisitos de seguridad.
HTTP-01 Challenge : Coloca un archivo en su servidor web que el servidor ACME recupera para verificar el control del dominio. Este método requiere que el puerto 80 sea accesible.
DNS-01 Challenge : Crea un registro DNS TXT para demostrar la propiedad del dominio. Este método funciona para dominios detrás de cortafuegos y permite la emisión de certificados SSL comodín.
DesafíoTLS-ALPN-01 : Utiliza un certificado TLS especial en el puerto 443 para la validación. Este método es útil cuando el puerto 80 no está disponible.
Su cliente ACME gestionará automáticamente el método de validación elegido cuando solicite certificados SSL a su cuenta Trustico® Certificate as a Service (CaaS).
Resolución de problemas comunes del cliente ACME
La mayoría de los problemas de los clientes ACME están relacionados con la conectividad de la red, la validación de dominios o problemas de configuración. Comprender los problemas comunes ayuda a resolverlos rápidamente.
Fallos de autenticación de EAB: Compruebe que sus credenciales de EAB son correctas y que su Certificate as a Service (CaaS) de Trustico® está activo. Asegúrese de que está utilizando la URL de servidor ACME correcta.
Fallos de validación de dominio: Compruebe que su dominio apunta al servidor correcto y que los cortafuegos permiten los puertos necesarios para el método de validación elegido.
Limitación de velocidad: Los servidores ACME implementan límites de velocidad para evitar abusos. Espacie sus solicitudes de certificados SSL y evite solicitudes duplicadas innecesarias.
Problemas de permisos: asegúrese de que su cliente ACME tiene los permisos de sistema de archivos adecuados para escribir certificados SSL y archivos de desafío en las ubicaciones necesarias.
Funciones avanzadas del cliente ACME
Los clientes ACME modernos ofrecen funciones avanzadas que van más allá de la emisión y renovación básicas de certificados SSL. Estas funciones ayudan a integrar los clientes ACME en entornos de infraestructura complejos.
Ganchos y secuencias de comandos : Ejecute secuencias de comandos personalizadas antes y después de las operaciones de certificados SSL para la integración con canalizaciones de implementación y sistemas de notificación.
Soporte de múltiples dominios : Solicite certificados SSL que cubran múltiples dominios o subdominios en un único certificado para simplificar la gestión.
Integración con proveedores de DNS: gestione automáticamente los registros DNS para la validación DNS-01 a través de API con los principales proveedores de DNS y plataformas en la nube.
Despliegue de certificados: despliegue automáticamente certificados SSL en balanceadores de carga, CDN y otros servicios tras su emisión o renovación.
Obtención de soporte para clientes ACME
Cada cliente ACME tiene sus propios canales de soporte y recursos de documentación. La mayoría de los clientes ofrecen documentación completa, foros comunitarios y sistemas de seguimiento de problemas.
Para problemas específicos de Trustico® Certificate as a Service (CaaS), nuestro equipo de soporte puede ayudar a solucionar problemas de autenticación y configuración de EAB; sin embargo, es importante revisar la documentación del cliente ACME elegido y su infraestructura.
Cuando solicite asistencia, incluya la versión de su cliente ACME, el sistema operativo y cualquier mensaje de error. No comparta nunca su clave MAC de EAB en las comunicaciones de asistencia.
Continuidad y renovación del servicio
La instalación y gestión automatizada de certificados SSL a través de Trustico® Certificate as a Service (CaaS) funciona sin problemas sólo mientras su servicio de pago permanezca activo.
Su cliente ACME seguirá renovando automáticamente los certificados SSL y manteniendo una protección continua mientras su suscripción al servicio esté vigente.
Para garantizar una gestión de los certificados SSL realmente fluida y sin interrupciones, es esencial que renueve su Certificate as a Service (CaaS) de Trustico® antes de que caduque o que considere la posibilidad de configurar la facturación automática para una continuidad ininterrumpida del servicio.
Si su servicio caduca, su cliente ACME no podrá renovar los certificados SSL, lo que podría provocar la caducidad del certificado SSL y la inactividad del sitio web hasta que se restablezca el servicio.
Por debajo del PVP CaaS
Por debajo del PVP CaaS
