Preguntas frecuentes y documentación técnica
¿Qué es ACMECaaS de Macroseguridad?
CaaS (Certificate as a Service) es un servicio diseñado para emitir, renovar y gestionar certificados SSL de forma completamente automática. A través de este sistema, usted puede asegurar sus dominios sin preocuparse por renovaciones manuales, validaciones por correo o recordatorios de vencimiento.
¿Qué es un cliente ACME?
Un cliente ACME es una aplicación que implementa el protocolo Automated Certificate Management Environment (RFC 8555) y permite interactuar de forma automática con una Autoridad Certificante para solicitar, validar, instalar y renovar certificados TLS.
En un entorno CaaS, el cliente ACME se autentica contra la plataforma mediante External Account Binding (EAB), lo que vincula la cuenta ACME a una suscripción corporativa y restringe qué dominios pueden emitir certificados.
Tipos de certificados soportados
- Domain Validation (DV)
- Certificados unidominio
- Certificados Multidominio
- Certificados Wildcard (*.grupomacroseguridad.com)
- Organization Validation (OV)
- Certificados unidominio
- Certificados Multidominio
- Certificados Wildcard (*.grupomacroseguridad.com)
Requisitos para la implementación
- Acceso al servidor donde se ejecutará el cliente ACME
- Conectividad hacia el endpoint ACME
- Acceso al DNS del dominio (requerido para validación DNS / wildcard)
- Permisos para instalar certificados y ejecutar scripts
- Credenciales o API Tokens (DNS, balanceadores, etc.)
- Sincronización horaria correcta (NTP)
Consideraciones de arquitectura
La implementación de ACMECaaS depende del entorno y de cómo esté estructurada la infraestructura:
- Tipo de servidor (IIS, Apache, Nginx, etc.)
- Uso de balanceadores o firewalls (F5, Forti, etc.)
- Punto donde finaliza el SSL
- Cantidad de servidores involucrados
En función de estos factores, la automatización puede requerir:
- Instalación del cliente ACME en uno o varios servidores
- Distribución de certificados entre nodos
- Integración con APIs de dispositivos de red
- Conversión de formatos (por ejemplo,
.crta.pfx)
Automatización y despliegue
Una vez configurado, el sistema permite gestionar el ciclo de vida del certificado de forma automática. En entornos más complejos, puede ser necesario implementar scripts o hooks de despliegue para:
- Instalar certificados en distintos servidores
- Actualizar balanceadores (F5, Forti, etc.)
- Recargar servicios (IIS, Apache, etc.)
Cada implementación deberá adaptarse a la arquitectura, políticas de seguridad e integraciones propias de cada entorno.
| Escenario | Instalación ACME | Distribución | Destino del certificado |
|---|---|---|---|
| IIS único | IIS | Automática | IIS |
| Apache único | Apache | Automática + reload | Apache |
| IIS + F5 (SSL en F5) | Un IIS | Script → F5 | F5 |
| Apache + Forti (SSL en Forti) | Apache | Script → Forti | Forti |
| SSL en Forti + Apache interno | Apache | Script doble | Forti + Apache |
| IIS + balanceador passthrough | Cada IIS | Local | Cada IIS |
| Apache + balanceador passthrough | Cada Apache | Local | Cada Apache |
Clientes ACME compatibles
Cualquier cliente que implemente el estándar ACME (RFC 8555) y soporte External Account Binding (EAB) puede integrarse con ACMECaaS.
Modelo de suscripción
La suscripción se realiza por dominio (FQDN o Wildcard). Durante la vigencia de la suscripción se permite la emisión ilimitada de certificados para ese dominio, incluyendo reemisiones, reemplazos y renovaciones sin costo adicional.
Auditoría y control
Todas las operaciones de emisión, renovación y revocación quedan registradas en la plataforma, permitiendo trazabilidad, cumplimiento normativo y control centralizado del inventario criptográfico.