Gestire i certificati con Cloud Manager
Cloud Manager offre strumenti self-service per installare e gestire i certificati SSL, garantendo la sicurezza del sito per gli utenti. Cloud Manager supporta due modelli per la gestione dei certificati.
Modello | Descrizione | |
---|---|---|
A | Certificato SSL gestito da Adobe | Cloud Manager consente agli utenti di configurare i certificati DV (Domain Validation) forniti da Adobe per una configurazione rapida del dominio. |
B | Certificato SSL gestito dal cliente (OV/EV) | Cloud Manager offre un servizio di piattaforma TLS (Transport Layer Security) che consente di gestire i certificati SSL OV ed EV di tua proprietà e le chiavi private di autorità di certificazione terze, ad esempio Crittografiamo. |
Entrambi i modelli offrono le seguenti funzionalità generali per la gestione dei certificati:
- Ogni ambiente di Cloud Manager può utilizzare più certificati.
- Una chiave privata può emettere più certificati SSL.
- Il servizio di piattaforma TLS indirizza le richieste al servizio CDN del cliente in base al certificato SSL utilizzato per terminare l’operazione e al servizio CDN che ospita tale dominio.
Certificati SSL gestiti da Adobe
I certificati DV rappresentano il livello di base della certificazione SSL e vengono spesso utilizzati per scopi di test o per proteggere i siti Web con crittografia di base. I certificati DV sono disponibili sia nei programmi di produzione che nei programmi sandbox.
Dopo la creazione del certificato DV, Adobe lo rinnova automaticamente ogni tre mesi, a meno che non venga eliminato.
Certificati SSL gestiti dal cliente (OV/EV)
I certificati OV ed EV offrono informazioni convalidate dalla CA. Tali informazioni aiutano gli utenti a valutare se il proprietario del sito web, il mittente dell’e-mail o il firmatario digitale del codice o dei documenti PDF possa essere affidabile. I certificati DV non consentono tale verifica della proprietà.
OV ed EV offrono inoltre queste funzioni sui certificati DV in Cloud Manager.
- Più ambienti possono utilizzare un certificato OV/EV. In altre parole, può essere aggiunto una volta, ma utilizzato più volte.
- Ogni certificato OV/EV in genere contiene più domini.
- Cloud Manager accetta certificati OV/EV con caratteri jolly per un dominio.
Requisiti per i certificati SSL OV/EV gestiti dal cliente
Se scegli di aggiungere un certificato SSL personalizzato gestito dal cliente, questo deve soddisfare i seguenti requisiti aggiornati:
-
I certificati di convalida del dominio (DV) e i certificati autofirmati non sono supportati.
-
Il certificato deve essere conforme ai criteri OV (convalida organizzazione) o EV (convalida estesa).
-
Il certificato deve essere un certificato TLS X.509 rilasciato da un’autorità di certificazione (CA) attendibile.
-
I tipi di chiave di crittografia supportati sono i seguenti:
- Supporto standard RSA a 2048 bit.
Le chiavi RSA di dimensioni superiori a 2048 bit (come le chiavi RSA a 3072 bit o a 4096 bit) non sono attualmente supportate. - Chiavi di curva ellittica (EC)
prime256v1
(secp256r1
) esecp384r1
- Certificati ECDSA (Elliptic Curve Digital Signature Algorithm). Tali certificati sono consigliati da Adobe rispetto a RSA per migliorare le prestazioni, la sicurezza e l'efficienza.
- Supporto standard RSA a 2048 bit.
-
I certificati devono essere formattati correttamente per superare la convalida. Le chiavi private devono essere nel formato
PKCS#8
.
secp256r1
o secp384r1
).Best practice per la gestione dei certificati
-
Evitare la sovrapposizione dei certificati:
- Per garantire una gestione fluida dei certificati, evita di distribuire certificati sovrapposti che corrispondono allo stesso dominio. Ad esempio, l’utilizzo di un certificato con caratteri jolly (*.example.com) insieme a un certificato specifico (dev.example.com) può causare confusione.
- Il livello TLS dà priorità al certificato più specifico e distribuito di recente.
Scenari di esempio:
-
"Dev Certificate" copre
dev.example.com
e viene distribuito come mapping di dominio perdev.example.com
. -
"Il certificato dello staging" copre
stage.example.com
e viene distribuito come mapping di dominio perstage.example.com
. -
Se "Stage Certificate" viene distribuito/aggiornato dopo "Dev Certificate", vengono inviate anche le richieste per
dev.example.com
.Per evitare tali conflitti, assicurati che i certificati abbiano un ambito preciso per i domini a cui sono destinati.
-
Certificati con caratteri jolly:
I certificati con caratteri jolly (ad esempio
*.example.com
) sono supportati, ma devono essere utilizzati solo quando necessario. In caso di sovrapposizione, prevale il certificato più specifico. Ad esempio, il certificato specifico servedev.example.com
invece del carattere jolly (*.example.com
). -
Convalida e risoluzione dei problemi:
Prima di tentare di installare un certificato con Cloud Manager, Adobe consiglia di convalidare l'integrità del certificato in locale utilizzando strumenti qualiopenssl
. Ad esempio,openssl verify -untrusted intermediate.pem certificate.pem