Aproveche las ventajas de la automatización ACME en Windows

9/2/2022 | Jindřich Zechmeister

El protocolo ACME es una herramienta de automatización que se utiliza principalmente en servidores Linux, mientras que su uso no está tan extendido en los ecosistemas Windows. ¿Le gustaría automatizar certificados en su servidor Windows, pero no sabe cómo? Le mostraremos cómo puede utilizar fácilmente ACME en Windows, incluida la configuración de certificados y la renovación automática.

¿Para qué sirve ACME?

Para comenzar, recordemos brevemente para qué sirve el protocolo ACME y cuál es su ventaja invaluable. Wikipedia lo define como un protocolo de comunicación para la automatización de interacciones entre autoridades de certificación y los servidores web de sus usuarios, que permite el despliegue automático de la infraestructura de clave pública.

Con ACME, puede solicitar y obtener fácilmente un certificado TLS de una CA de confianza. Todo el proceso es manejado por un bot ACME, que generalmente puede también desplegar (instalar) un nuevo certificado en el servidor web. El uso está muy extendido en entornos de servidores Linux, pero por el contrario, en ambientes de Windows todavía son muchos los administradores que no conocen al bot ACME que podría instalar el certificado.

Prerequisitos para el uso de certificados ACME

Para la automatización de la obtención y despliegue de certificados utilizando el protocolo ACME, es necesario cumplir con algunos pocos requisitos previos.

Dado que la emisión del certificado después de su solicitud a través del protocolo ACME es automática, es lógico que el solicitante deba ser verificado antes de la propia solicitud del certificado. A esto se suman también los dominios previamente verificados.

Simplemente avísenos que está interesado en ACME. Entonces nuestro soporte se encargará de verificar su organización con DigiCert y también realizará la verificación de los dominios que desea asegurar. El último paso es generar los accesos ACME, que son únicos para cada producto. Por ejemplo, si desea emitir un certificado Thawte OV y Thawte EV, tendrá para cada uno de ellos una clave ACME única, que en el cliente especificará exactamente cuál certificado debe emitirse para el dominio dado.

Con los vendedores de SSLmarket, acordará la forma de facturación - preferiblemente utilizando un crédito prepagado. También es posible, por ejemplo, emitir una factura única por una cantidad específica de certificados.

Elegir el cliente adecuado y su configuración

Hay una gran cantidad de clientes ACME disponibles, y el más difundido es Certbot. Definitivamente no se equivocará al elegirlo. La gran mayoría de los clientes disponibles están destinados a servidores Linux u otras plataformas similares, además prácticamente ninguno tiene GUI. Los clientes ACME generalmente se manejan a través de la interfaz de línea de comandos.

Para Windows y Windows Server hay varias opciones disponibles, pero frecuentemente se encontrará con que el cliente no puede completar el proceso de obtención e instalación. Lo más problemático con los clientes ACME para Windows es la imposibilidad de desplegar (enlazar) un nuevo certificado en IIS. Algunos clientes ofrecen interfaz gráfica (GUI), pero no está claro si funcionan bien y, principalmente, si funcionarán con la implementación ACME de DigiCert.

Nos hemos decidido a encontrar y recomendar una solución específica y completamente funcional y un cliente que no solo puede obtener un certificado de DigiCert sino también instalarlo. Este cliente es win-acme, que puede descargar desde el sitio web oficial.

Cómo configurar y usar win-acme

Como se mencionó anteriormente, para la autenticación con DigiCert, el cliente necesita una clave ACME, que le proporcionaremos y usted la configurará en el cliente win-acme.

Descargue el cliente del sitio web oficial y descomprímalo. No ejecute el programa todavía, en su lugar abra el archivo setting.json. En este archivo de texto verá en la sección "Acme" tres url de ACME, cambie todas a "https://acme.digicert.com/v2/acme/directory/". De lo contrario, el programa no sabrá que debe comunicarse con ACME de DigiCert.

Solo después de estas modificaciones puede ejecutar el archivo wacs.exe. Probablemente verá una advertencia de Smartscreen, ya que lamentablemente la aplicación no está firmada digitalmente. Debe omitir esto.

Después de iniciar la aplicación, no venda inmediatamente a emitir un certificado, primero debe configurar las credenciales ACME. Primero elija la opción O (More options) y luego A (Acme details). El programa le pedirá que ingrese el Key Identifier y luego el Key en Base64 - ambos datos se los proporcionaremos como KID y HMAC key (con estos nombres). Ingréselos en el orden de dato más corto y luego el más largo. Después de ingresarlos, regrese al menú principal.

Proceda a la emisión del certificado. Desde el menú principal, elija la opción N y siga al asistente. Durante la obtención de un nuevo certificado, el asistente carga la información sobre los Sitios en IIS y se los ofrece para selección. Solo seleccionará qué dominio desea utilizar como CN del certificado.

Primero le preguntará sobre el sitio web que debe escanear y luego obtendrá el hostname de IIS. Los diálogos se confirman mediante la respuesta y(es) o n(o) y la opción predeterminada siempre está resaltada. En el diálogo subsiguiente, el bot de win-acme le mostrará los bindings que encontró para el hostname dado. Esto se refiere a una lista de dominios y los certificados enlazados a ellos. Nuevamente, elija la opción correcta o puede confirmar la opción predeterminada (generalmente si solo tiene un sitio web en IIS).

Poco después, win-acme se conectará con DigiCert a través del protocolo ACME e intentará obtener un nuevo certificado TLS. Recordemos que qué certificado será y para quién será emitido está determinado por las claves ACME que le hemos generado.

Después de la emisión del certificado, que generalmente se realiza en unos pocos segundos, el nuevo certificado se establece para el dominio seleccionado previamente en IIS. Así que no necesita importar el certificado y modificar los Bindings manualmente. A continuación, verá la confirmación de la emisión exitosa del certificado y se le asignó al dominio seleccionado en IIS. ¡En este momento está activo y todo está hecho!

No necesita preocuparse por la renovación del certificado. El cliente win-acme establecerá en el servidor/estación una tarea recurrente diaria. Todos los días se ejecutará y renovará los certificados que puedan estar expirando.

Conclusión

El protocolo ACME es un poderoso ayudante que permite la automatización del ciclo de vida de los certificados. No dude en implementarlo, ya que puede ahorrarle cientos de horas al año que antes dedicaba a la gestión manual de certificados TLS. Para obtener la URL ACME, contacte a nuestro soporte de SSLmarket.