Por fin está disponible ACME para certificados DV

18/3/2024 | Jindřich Zechmeister

Automatice el ciclo de vida de los certificados DV con DigiCert y SSLmarket. Los certificados DV en ACME han tardado mucho en llegar, pero por fin ha terminado la espera y puede empezar a automatizarlos. Ahora puedes utilizar la automatización con todos los tipos de certificados TLS y empezar de inmediato. Este artículo te dirá cómo hacerlo.

Qué ACME y cómo funciona

Automatic Certificate Management Environment (ACME) es un protocolo de comunicación para automatizar acciones entre las autoridades de certificación y los servidores de sus usuarios. Está definido por el estándar RFC 8555 y es soportado por varias autoridades de certificación e implementado en varias herramientas multiplataforma (servidores Linux y Windows, Kubernetes). Los agentes que hablan con las AC utilizando ACME normalmente también pueden desplegar el certificado en el servidor (dependiendo de la implementación específica). El protocolo ACME es abierto y no está vinculado a una tecnología o AC específica, por lo que se ha creado una gran comunidad de usuarios y se ha establecido como la principal herramienta de automatización para certificados TLS.

Puesto que hablamos de automatización, es lógico que todo el ciclo de vida del certificado tenga que realizarse sin intervención del usuario. En el caso de los certificados DV, todo lo que se necesita para obtenerlos es confirmar la propiedad o el derecho a disponer del dominio, lo que se hace por correo electrónico, registro DNS o archivo. El correo electrónico para la automatización no tiene sentido, para el DNS se necesita una API de un servicio que gestione los registros DNS, lo que no es muy habitual. Queda el tercer método, que es el que mejor funciona para DV ACME.

El método que utiliza un archivo de verificación para verificar dominios (denominado challenge) es el HTTP-01. El agente ACME emite un archivo con un hash único para el dominio y el dominio se verifica inmediatamente. Este método es el predeterminado para ACME.

Una vez que el servidor del agente ACME ejecuta una solicitud de certificado nuevo o renovación, el agente crea una CSR, la envía a la AC y autoriza el dominio basándose en el hash que ha recibido de la AC (configura un archivo de verificación para el sitio). Tras una verificación satisfactoria, que suele tardar alrededor de un minuto, se emite el certificado, el agente lo descarga y lo despliega en el servidor web. Usted, como administrador, no tiene que hacer nada en absoluto.

Cómo funciona ACME
Cómo funciona ACME

¿Cómo puedo utilizar DV ACME??

El primer paso es seleccionar y desplegar un "agente" adecuado en el servidor; el agente ACME más conocido es Certbot. Al principio, es necesario considerar sus necesidades y las funciones que puede ofrecer cada agente. Si no tiene un favorito, también puede utilizar el agente de DigiCert que pertenece al servicio de Automation Manager. Al principio, también es aconsejable ver si puede dejar que modifiquen la configuración de los servidores web (enfocar en los no estándares, hacer copias de seguridad de la configuración).

Para que el cliente ACME funcione, es necesario obtener las credenciales de ACME, que son generadas por la AC. Facilitamos al máximo a nuestros clientes la obtención de éstas y lo hemos implementado directamente en la cuenta de cliente SSLmarket. Puede empezar a utilizar ACME inmediatamente y no necesitará nuestra ayuda para ello.

No dude en ponerse en contacto con nosotros en cualquier momento si necesita algo. Estamos a su disposición.

Diferencia entre ACME DV y OV/EV

Los certificados con la verificación de la organización, es decir, verificación OV y EV, siguen dependiendo de la verificación activa. Si la verificación de la organización no es válida en el momento de solicitar el certificado, la solicitud no puede tener éxito y eso no tiene nada de especial. Sin embargo, con los certificados OV y EV, también debe verificarse previamente el dominio que figurará en el certificado, no sólo la organización. Si desea utilizar los certificados OV y EV con ACME, nos encargaremos por supuesto de esta verificación previa.

Para los certificados DV, la organización es irrelevante porque no se especifica en el certificado, y basta con hacer una DCV utilizando el método HTTP-01 para cada solicitud de certificado.

SSLmarket es su socio para la automatización

Podemos ayudarle a automatizar el ciclo de vida de los certificados y simplificarle la vida. No solo se pueden automatizar los certificados TLS, sino también los certificados S/MIME para firmas electrónicas o aplicaciones de Code Signing.

Con nuestra ayuda, encontrará el método ideal para usted que le ahorrará trabajo, tiempo y preocupaciones.


Ing. Jindřich Zechmeister
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz