Gestire i certificati con Cloud Manager

Cloud Manager offre strumenti self-service per installare e gestire i certificati SSL, garantendo la sicurezza del sito per gli utenti. Cloud Manager supporta due modelli per la gestione dei certificati.

ModelloDescrizione
ACertificato SSL gestito da AdobeCloud Manager consente agli utenti di configurare i certificati DV (Domain Validation) forniti da Adobe per una configurazione rapida del dominio.
BCertificato SSL gestito dal cliente (OV/EV)Cloud Manager offre un servizio di piattaforma TLS (Transport Layer Security) che consente di gestire i certificati SSL OV ed EV di tua proprietà e le chiavi private di autorità di certificazione terze, ad esempio Crittografiamo.

Entrambi i modelli offrono le seguenti funzionalità generali per la gestione dei certificati:

  • Ogni ambiente di Cloud Manager può utilizzare più certificati.
  • Una chiave privata può emettere più certificati SSL.
  • Il servizio di piattaforma TLS indirizza le richieste al servizio CDN del cliente in base al certificato SSL utilizzato per terminare l’operazione e al servizio CDN che ospita tale dominio.
IMPORTANTE
Per aggiungere e associare un dominio personalizzato a un ambiente, è necessario disporre di un certificato SSL valido relativo al dominio.

Certificati SSL gestiti da Adobe

I certificati DV rappresentano il livello di base della certificazione SSL e vengono spesso utilizzati per scopi di test o per proteggere i siti Web con crittografia di base. I certificati DV sono disponibili sia nei programmi di produzione che nei programmi sandbox.

Dopo la creazione del certificato DV, Adobe lo rinnova automaticamente ogni tre mesi, a meno che non venga eliminato.

IMPORTANTE
Se l’ambiente utilizza certificati SSL (DV) con una convalida basata su CNAME, la rimozione del record CNAME prima del rinnovo automatico del certificato potrebbe impedire il rinnovo. La rimozione può causare la scadenza del certificato e l’interruzione del servizio. Per evitare questo problema, assicurati che il record CNAME rimanga attivo durante l’intero processo di rinnovo. Il processo di rinnovo si basa sulla presenza del record CNAME per la convalida della proprietà del dominio.

Certificati SSL gestiti dal cliente (OV/EV)

I certificati OV ed EV offrono informazioni convalidate dalla CA. Tali informazioni aiutano gli utenti a valutare se il proprietario del sito web, il mittente dell’e-mail o il firmatario digitale del codice o dei documenti PDF possa essere affidabile. I certificati DV non consentono tale verifica della proprietà.

OV ed EV offrono inoltre queste funzioni sui certificati DV in Cloud Manager.

  • Più ambienti possono utilizzare un certificato OV/EV. In altre parole, può essere aggiunto una volta, ma utilizzato più volte.
  • Ogni certificato OV/EV in genere contiene più domini.
  • Cloud Manager accetta certificati OV/EV con caratteri jolly per un dominio.
SUGGERIMENTO
Se disponi di più domini personalizzati, potresti non voler caricare un certificato ogni volta che aggiungi un nuovo dominio. In tal caso, potresti trarre vantaggio dall’ottenimento di un singolo certificato che copre più domini.

Requisiti per i certificati SSL OV/EV gestiti dal cliente

Se scegli di aggiungere un certificato SSL personalizzato gestito dal cliente, questo deve soddisfare i seguenti requisiti aggiornati:

  • I certificati di convalida del dominio (DV) e i certificati autofirmati non sono supportati.

  • Il certificato deve essere conforme ai criteri OV (convalida organizzazione) o EV (convalida estesa).

  • Il certificato deve essere un certificato TLS X.509 rilasciato da un’autorità di certificazione (CA) attendibile.

  • I tipi di chiave di crittografia supportati sono i seguenti:

    • Supporto standard RSA a 2048 bit.
      Le chiavi RSA di dimensioni superiori a 2048 bit (come le chiavi RSA a 3072 bit o a 4096 bit) non sono attualmente supportate.
    • Chiavi di curva ellittica (EC) prime256v1 (secp256r1) e secp384r1
    • Certificati ECDSA (Elliptic Curve Digital Signature Algorithm). Tali certificati sono consigliati da Adobe rispetto a RSA per migliorare le prestazioni, la sicurezza e l'efficienza.
  • I certificati devono essere formattati correttamente per superare la convalida. Le chiavi private devono essere nel formato PKCS#8.

NOTA
Se l'organizzazione richiede la conformità utilizzando chiavi RSA a 3072 bit, l'alternativa consigliata da Adobe è l'utilizzo di certificati ECDSA (secp256r1 o secp384r1).

Best practice per la gestione dei certificati

  • Evitare la sovrapposizione dei certificati:

    • Per garantire una gestione fluida dei certificati, evita di distribuire certificati sovrapposti che corrispondono allo stesso dominio. Ad esempio, l’utilizzo di un certificato con caratteri jolly (*.example.com) insieme a un certificato specifico (dev.example.com) può causare confusione.
    • Il livello TLS dà priorità al certificato più specifico e distribuito di recente.

    Scenari di esempio:

    • "Dev Certificate" copre dev.example.com e viene distribuito come mapping di dominio per dev.example.com.

    • "Il certificato dello staging" copre stage.example.com e viene distribuito come mapping di dominio per stage.example.com.

    • Se "Stage Certificate" viene distribuito/aggiornato dopo "Dev Certificate", vengono inviate anche le richieste per dev.example.com.

      Per evitare tali conflitti, assicurati che i certificati abbiano un ambito preciso per i domini a cui sono destinati.

  • Certificati con caratteri jolly:

    I certificati con caratteri jolly (ad esempio *.example.com) sono supportati, ma devono essere utilizzati solo quando necessario. In caso di sovrapposizione, prevale il certificato più specifico. Ad esempio, il certificato specifico serve dev.example.com invece del carattere jolly (*.example.com).

  • Convalida e risoluzione dei problemi:
    Prima di tentare di installare un certificato con Cloud Manager, Adobe consiglia di convalidare l'integrità del certificato in locale utilizzando strumenti quali openssl. Ad esempio,

    openssl verify -untrusted intermediate.pem certificate.pem