Administración de certificados con Cloud Manager
Cloud Manager ofrece herramientas de autoservicio para instalar y administrar certificados SSL, lo que garantiza la seguridad del sitio para los usuarios. Cloud Manager admite dos modelos para administrar los certificados.
Modelo | Descripción | |
---|---|---|
A | Certificado SSL administrado por Adobe (DV) | Cloud Manager permite a los usuarios configurar los certificados DV (validación de dominio) proporcionados por Adobe para configurar rápidamente el dominio. |
B | Certificado SSL administrado por el cliente (OV/EV) | Cloud Manager ofrece un servicio TLS (Transport Layer Security) para permitirle administrar los certificados SSL OV y EV de su propiedad y las claves privadas de autoridades de certificación de terceros, como Let's Encrypt. |
Ambos modelos ofrecen las siguientes funciones generales para administrar los certificados:
- Cada entorno de Cloud Manager puede utilizar varios certificados.
- Una clave privada puede emitir varios certificados SSL.
- El servicio TLS de plataforma enruta las solicitudes al servicio CDN del cliente en función del certificado SSL utilizado para finalizar y el servicio CDN que aloja ese dominio.
Certificados SSL administrados por Adobe (DV)
Los certificados DV son el nivel más básico de certificación SSL y se utilizan a menudo para fines de prueba o para proteger sitios web con cifrado básico. Los certificados DV están disponibles tanto en programas de producción como en programas de zonas protegidas.
Una vez creado el certificado DV, Adobe lo renueva automáticamente cada tres meses, a menos que se elimine.
Certificados SSL administrados por el cliente (OV/EV)
Los certificados OV y EV ofrecen información validada por CA. Esta información ayuda a los usuarios a comprobar si se puede confiar en el propietario del sitio web, el remitente del correo electrónico o la firma digital de los documentos de código o PDF. Los certificados DV no permiten esta verificación de propiedad.
Además, OV y EV ofrecen estas características con respecto a los certificados DV de Cloud Manager.
- Varios entornos pueden utilizar un certificado OV/EV. Es decir, se puede agregar una vez, pero se puede utilizar varias veces.
- Cada certificado OV/EV suele contener varios dominios.
- Cloud Manager acepta certificados OV/EV comodín para un dominio.
Requisitos para los certificados SSL OV/EV administrados por el cliente
Si decide añadir su propio certificado SSL administrado por el cliente, debe cumplir los siguientes requisitos actualizados:
-
No se admiten certificados de validación de dominio (DV) ni certificados autofirmados.
-
El certificado debe cumplir las directivas OV (validación de organización) o EV (validación extendida).
-
El certificado debe ser un certificado TLS X.509 emitido por una autoridad de certificación (CA) de confianza.
-
Los tipos de clave criptográfica admitidos son los siguientes:
- Soporte estándar RSA de 2048 bits.
Las claves RSA de más de 2048 bits (como las claves RSA de 3072 o 4096 bits) no son compatibles en este momento. - Claves de curva elíptica (EC)
prime256v1
(secp256r1
) ysecp384r1
- Certificados ECDSA (Elliptic Curve Digital Signature Algorithm). Estos certificados son recomendados por Adobe sobre RSA para mejorar el rendimiento, la seguridad y la eficacia.
- Soporte estándar RSA de 2048 bits.
-
Los certificados deben tener el formato correcto para pasar la validación. Las claves privadas deben tener el formato
PKCS#8
.
secp256r1
o secp384r1
).Prácticas recomendadas para la administración de certificados
-
Evitar certificados superpuestos:
- Para garantizar una administración de certificados sin problemas, evite implementar certificados superpuestos que coincidan con el mismo dominio. Por ejemplo, tener un certificado comodín (*.example.com) junto con un certificado específico (dev.example.com) puede generar confusión.
- La capa TLS da prioridad al certificado más específico y implementado recientemente.
Casos de ejemplo:
-
El "certificado de desarrollo" cubre
dev.example.com
y se implementa como una asignación de dominio paradev.example.com
. -
El "certificado de ensayo" cubre
stage.example.com
y se implementa como una asignación de dominio parastage.example.com
. -
Si "Certificado de ensayo" se implementa o actualiza después de "Certificado de desarrollador", también sirve solicitudes para
dev.example.com
.Para evitar estos conflictos, asegúrese de que los certificados tengan un ámbito cuidadoso en los dominios a los que están destinados.
-
Certificados comodín:
Aunque se admiten certificados comodín (por ejemplo,
*.example.com
), solo deben usarse cuando sea necesario. En casos de superposición, el certificado más específico tiene prioridad. Por ejemplo, el certificado específico sirvedev.example.com
en lugar del comodín (*.example.com
). -
Validación y solución de problemas:
Antes de intentar instalar un certificado con Cloud Manager, Adobe recomienda validar la integridad del certificado localmente mediante herramientas comoopenssl
. Por ejemplo,openssl verify -untrusted intermediate.pem certificate.pem