7 nov 2024

Preguntas frecuentes sobre ACME

Descripción general de ACME 

El protocolo ACME (entorno de gestión automatizada de certificados) está diseñado para automatizar los procesos de aprovisionamiento, renovación y revocación de certificados proporcionando un marco para que las Autoridades Certificadoras se comuniquen con los agentes instalados en los servidores web. 

ACME es un marco extensible para automatizar la emisión de certificados y los procedimientos de validación de dominios. ACME permite a los usuarios solicitar acciones de gestión de certificados utilizando un conjunto de mensajes de notación de objetos JavaScript (JSON) transmitidos a través de HTTPS. La emisión mediante ACME se asemeja al proceso de emisión de una CA tradicional, en el que un usuario crea una cuenta, solicita un certificado y demuestra el control de los dominios en ese certificado para que la CA emita el certificado solicitado.  

La integración de GlobalSign con ACME cumple con el estándar de Internet RFC 8555 . Nuestro servidor ACME está alojado en nuestro motor de gestión de certificados en la nube, Atlas. Una vez que un agente ACME está vinculado a una cuenta de Atlas, los usuarios pueden usar ACME para solicitar y revocar certificados TLS compatibles con CA/Browser Forum de Atlas sin tener que interactuar con el portal de Atlas o las API, y se puede programar para hacerlo automáticamente. 

Este artículo de soporte proporciona preguntas frecuentes sobre nuestro producto ACME. Para obtener más detalles técnicos sobre cómo integrar tu cliente ACME con nuestra solución Atlas, consulta nuestra guía de implementación .  

Preguntas frecuentes 

¿Puedo emitir certificados a subdominios de dominios validados?  

Dependiendo del método de verificación seleccionado, el servicio GlobalSign ACME emitirá certificados para subdominios. Además, si el dominio principal ya se ha verificado con un método de validación aplicable, se omitirá la lógica para validar el subdominio y el certificado se emitirá automáticamente. 
 
Ten en cuenta que www.example.com es un subdominio de example.com y requiere su propia entrada SAN pero no su propia validación si ya se ha verificado example.com. 

¿Cuánto dura la validación del dominio? 

Una vez que valides un dominio, podrá continuar emitiendo certificados con esa SAN por hasta 397 días. Ten en cuenta que este período puede cambiar debido a GlobalSign o cambios en los requisitos de la industria en cualquier momento. 

¿Con qué clientes ACME admite GlobalSign? 

Estamos constantemente comparando a los clientes de ACME con nuestro servicio; ¡Vuelve a consultar con frecuencia para obtener actualizaciones! 

Linux

• Certbot - https://certbot.eff.org/
• acme.sh - https://github.com/acmesh-official/acme.sh

Windows

• win-acme - https://www.win-acme.com/

Perdí mis credenciales API. ¿Qué debo hacer? 

Dado que no almacenamos tus credenciales de API, debes crear nuevas credenciales de API a través del portal Atlas. 

Necesito más información sobre mi clave MAC. 

• La clave MAC es un secreto compartido entre el cliente y el servicio ACME de GlobalSign, que permite a los clientes vincular su clave pública de cliente ACME específica a su cuenta Atlas (más precisamente, a una credencial API dentro de la cuenta del cliente). 

• Cuando solicites una clave MAC, cópiela y péguela en un lugar seguro. Esta será tu única oportunidad de hacer esto. No podrá volver a ver tu clave MAC en el portal Atlas. 

• Para reducir el riesgo de que la clave MAC se vea comprometida o abusada, cada clave MAC se puede utilizar durante un máximo de 30 días y hasta 1000 veces. 

• En caso de que la clave MAC se divulgue o se vea comprometida inadvertidamente, el cliente puede crear una nueva clave MAC que desactive la anterior. 

• Una vez que una clave MAC haya caducado o se haya utilizado 1000 veces, debes obtener una nueva MAC antes de poder vincular más clientes ACME a la cuenta. 

• La validez y los usos restantes de la clave MAC están disponibles en la tarjeta de credencial API en el portal Atlas. 

¿Qué métodos de validación de dominio se admiten? 

Actualmente se admiten el método de validación de dominio HTTP (http-01) y el método de validación DNS (dns-01). 

Recibo un error cuando intento emitir un certificado o validar un dominio. ¿Qué debo hacer? 

Comunícate con el soporte de GlobalSign e incluye cualquier mensaje de error que recibas y el registro de depuración para que podamos ayudarte a resolver el problema. 

¿Cómo emito un certificado usando acme.sh? 

Si estás utilizando el agente acme.sh, deberás ingresar una CSR que no tenga EKU especificados. Puedes crear una CSR utilizando OpenSSL o alguna otra herramienta. Si utilizas la CSR que se genera durante la emisión automática de certificados, encontrarás un error. 

¿Qué algoritmo de firma debería ser mi CSR? 

Nuestro servicio ACME está configurado para que solo emitamos certificados con una firma RSA o ECC utilizando un algoritmo hash de firma SHA-256. La expectativa es que tu agente ACME genere la CSR por ti, por lo que no tendrás que preocuparte por crear y enviar una CSR válida. Si encuentras un error que apunta a la CSR, podría deberse a que el agente está enviando una que nuestro servicio está bloqueando. Verifica el CSR y confirma que estés utilizando un algoritmo de firma basado en SHA-256. Si no es así, es posible que debas configurar tu agente para que envíes uno o genera tu propia CSR e indica al agente que la use.