Configuración del cliente ACME

Credenciales

Una vez instalado el cliente ACME y previo a la emisión de certificados, ID Digital proporcionará los siguientes datos necesarios para la configuración del cliente:

  • URL del servicio ACME (directorio del servidor ACME)

  • EAB KID (External Account Binding Key ID)

  • EAB HMAC Key

  • Email

El uso de External Account Binding (EAB) es obligatorio para el registro de la cuenta ACME contra el servicio. Estos parámetros deben configurarse en el cliente ACME al momento de crear la cuenta.

El EAB permite vincular la cuenta ACME con una cuenta previamente autorizada en la plataforma de ID Digital, asegurando que únicamente clientes habilitados puedan emitir certificados mediante el servicio.

Emisión del certificado utilizando Certbot

NOTA

A continuación, se presenta un ejemplo con fines ilustrativos para emular una emisión genérica de certificados mediante cliente ACME. La implementación definitiva y el nivel de automatización alcanzado dependerán de la arquitectura adoptada y del entorno donde se ejecute el cliente ACME.

1. Registro de la cuenta

Inicie el registro de la cuenta ACME mediante el siguiente comando. Complete los valores kid y hmac de acuerdo con los datos recibidos por parte de ID Digital:

certbot register --server https://acme.certum.pl/directory/ --eab-kid z2r7_WC57nZWHvCbyjRV94y836hq19CWPLdU7naHaXXXXXXXXXXXXXXXXXX --eab-hmac-key ZjExMWNiNzQ1ZGI0NjE0MWU3ZjYwNDZjMzhhOGRiYjhmNjFlMjBjOGXXXXXXXXXXXXXXX

A continuación:

  • Proporcione la dirección de correo electrónico asociada a la cuenta de Certum con el producto SSL contratado, para la cual se creará la cuenta ACME.

  • Lea y confirme los términos de uso de los certificados de Certum.

  • Si es necesario, responda preguntas adicionales relacionadas con el tratamiento de los datos de la cuenta ACME por parte de Certbot.

  • El resultado esperado será la confirmación del registro exitoso de la cuenta.

2. Solicitud del certificado

Inicie la solicitud del certificado y seleccione el método de verificación de control sobre los dominios para los cuales desea emitir el certificado mediante el siguiente comando:

certbot certonly --manual --key-type rsa --server https://acme.certum.pl/directory/ --preferred-challenges dns-01

NOTA

El siguiente proceso creara el par de claves pública y privada en el servidor dónde se está ejecutando. Si ya genero el par de claves y desea unicamente firmar la clave pública, especificar el parametro --csr <ruta_al_csr> y no especificar parametro --key-type.

Mediante la modificación de los parámetros, puede elegir:

  • La opción de emitir únicamente el certificado, sin instalarlo en el servidor, utilizando el parámetro certonly.

  • El tipo de clave mediante el parámetro --key-type, configurado como rsa o ecdsa.

  • La verificación manual del dominio utilizando el parámetro --manual. La verificación automática del dominio requiere un complemento (plugin) configurado en el servidor del dominio.

  • El método de verificación del dominio (tipo de desafío o challenge): dns-01 o http-01.

Especificación de dominios

  • Indique los dominios que se incluirán en el certificado. Certbot no admite direcciones IP.

  • En caso de incluir más de un dominio, sepárelos con un espacio: tudominio.com www.tudominio.com

  • Seleccione la opción de verificación automática del control de los dominios o realice la verificación manual siguiendo las instrucciones que se muestran en pantalla. 

  • Espere a que se complete el proceso de validación y la emisión del certificado

En caso de verificación manual

Agregue el registro TXT correspondiente en el DNS del dominio o coloque el archivo requerido en el servidor web canso de verificación http, y confirme en la consola que está listo para la verificación. Considerar verificación manual solo para entorno de pruebas dónde la posterior renovación automática no es requerida.

3. Descarga e instalación

Una vez finalizado el paso anterior, Certbot por defecto, dejara el certificado y/o la clave privada en la siguiente ruta /etc/letsencrypt/live/tudominio.com

  • Certificado: /etc/letsencrypt/live/tudominio.com/fullchain.pem
  • Clave privada (en caso de haberla generado con Certbot): /etc/letsencrypt/live/tudominio.com/privkey.pem

Configuración extendida

Certbot provee integraciones con distitntos proveedores DNS, servidores web y modularización de configuración para una administración más efectiva. Esto se puede consultar en su documentación oficial aquí: Documentación oficial de Certbot