20 de nov. de 2024

Perguntas frequentes sobre ACME

Visão geral do ACME

O protocolo ACME (Automatic Certificate Management Environment) foi projetado para automatizar os processos de provisionamento, renovação e revogação de certificados, fornecendo uma estrutura para que as autoridades de certificação se comuniquem com os agentes instalados em servidores web.

O ACME é uma estrutura extensível para automatizar a emissão de certificados e os procedimentos de validação de domínio. O ACME permite que os usuários solicitem ações de gerenciamento de certificados usando um conjunto de mensagens JavaScript Object Notation (JSON) transportadas por HTTPS. A emissão usando o ACME se assemelha ao processo de emissão de uma autoridade de certificação tradicional, no qual um usuário cria uma conta, solicita um certificado e comprova o controle do(s) domínio(s) nesse certificado para que a autoridade de certificação emita o certificado solicitado.

A integração da GlobalSign com a ACME está em conformidade com o padrão de internet RFC 8555. Nosso servidor ACME está hospedado em nosso mecanismo de gerenciamento de certificados em nuvem, Atlas. Depois que um agente ACME é vinculado a uma conta do Atlas, os usuários podem usar o ACME para solicitar e revogar certificados TLS compatíveis com CA/Browser Forum do Atlas sem precisar interagir com o portal ou APIs do Atlas, e ele pode ser programado para fazer isso automaticamente.

Este artigo de suporte fornece perguntas frequentes sobre nosso produto ACME. Para obter mais detalhes técnicos sobre como integrar seu cliente ACME à nossa solução Atlas, consulte nosso guia de implementação.
 

Perguntas frequentes

Posso emitir certificados para subdomínios de domínios validados?

Dependendo do método de verificação selecionado, o serviço ACME da GlobalSign emitirá certificados para subdomínios. Além disso, se o domínio pai já tiver sido verificado com um método de validação aplicável, a lógica para validar o subdomínio será ignorada e o certificado será emitido automaticamente.

Observe que www.example.com é um subdomínio do example.com e requer sua própria entrada SAN, mas não sua própria validação, se você já tiver verificado example.com.
 

Quanto tempo dura a validação de domínio?

Depois de validar um domínio, você pode continuar a emitir certificados com essa SAN por até 397 dias. Observe que esse período pode mudar devido a alterações na GlobalSign ou nos requisitos do setor a qualquer momento.
 

Quais clientes ACME são compatíveis com a GlobalSign?

Estamos constantemente analisando os clientes da ACME em relação ao nosso serviço; Volte sempre para atualizações!

Linux

• Certbot - https://certbot.eff.org/
• acme.sh - https://github.com/acmesh-official/acme.sh

Windows

• win-acme - https://www.win-acme.com/
   

Perdi minhas credenciais de API. O que eu faço?

Como não armazenamos suas credenciais de API, você deve criar novas credenciais de API por meio do portal do Atlas.
 

Preciso de mais informações sobre minha chave MAC.

• A chave MAC é um segredo compartilhado entre o cliente e o serviço ACME da GlobalSign, que permite que os clientes vinculem sua chave pública específica do cliente ACME à sua conta do Atlas (mais precisamente, a uma credencial de API dentro da conta do cliente).
• Ao solicitar uma chave MAC, copie-a e cole-a em algum lugar seguro. Esta será sua única oportunidade de fazer isso. Você não poderá visualizar sua chave MAC novamente no portal do Atlas.
• Para reduzir o risco de comprometimento ou abuso da chave MAC, cada chave MAC pode ser usada por no máximo 30 dias e até 1000 vezes.
• Caso a chave MAC seja divulgada ou comprometida inadvertidamente, o cliente pode criar uma nova chave MAC que desative a anterior.
• Depois que uma chave MAC expirar ou for usada 1000 vezes, você deverá obter um novo MAC antes de vincular mais clientes ACME à sua conta.
• A validade e os usos restantes da chave MAC estão disponíveis no cartão de credencial da API no portal do Atlas.
   

Quais métodos de validação de domínio são suportados?

Atualmente, há suporte para o método de validação de domínio HTTP (http-01) e o método de validação DNS (dns-01).
 

Estou recebendo um erro quando tento emitir um certificado ou validar um domínio. O que eu faço?

Entre em contato com  o Suporte da GlobalSign e inclua todas as mensagens de erro que você está recebendo e o registro de depuração para que possamos ajudar a resolver o problema.
 

Como faço para emitir um certificado usando acme.sh?

Se você estiver usando o agente acme.sh, precisará inserir um CSR que não tenha EKUs especificados. Você pode criar um CSR usando OpenSSL ou alguma outra ferramenta. Se você usar o CSR gerado durante a emissão automática do certificado, encontrará um erro.
 

Qual algoritmo de assinatura deve ser meu CSR?

Nosso serviço ACME está configurado para que só emitamos certificados com uma assinatura RSA ou ECC usando um algoritmo de hash de assinatura SHA-256. A expectativa é que seu agente ACME gere o CSR para você, para que você não precise se preocupar em criar e enviar um CSR válido. Se você encontrar um erro que aponte para o CSR, pode ser porque o agente está enviando um que está sendo bloqueado pelo nosso serviço. Verifique o CSR e confirme se ele está usando um algoritmo de assinatura baseado em SHA-256. Se não estiver, talvez seja necessário configurar seu agente para enviar um ou gerar seu próprio CSR e instruir o agente a usá-lo.