Preguntas frecuentes y documentación técnica
Requisitos para la implementación
- Acceso al servidor donde se ejecutará el cliente ACME
- Conectividad hacia el endpoint ACME
- Acceso al DNS del dominio (requerido para validación DNS / wildcard)
- Permisos para instalar certificados y ejecutar scripts
- Credenciales o API Tokens (DNS, balanceadores, etc.)
- Sincronización horaria correcta (NTP)
Consideraciones de arquitectura
La implementación de ACMECaaS depende del entorno y de cómo esté estructurada la infraestructura:
- Tipo de servidor (IIS, Apache, Nginx, etc.)
- Uso de balanceadores o firewalls (F5, Forti, etc.)
- Punto donde finaliza el SSL
- Cantidad de servidores involucrados
En función de estos factores, la automatización puede requerir:
- Instalación del cliente ACME en uno o varios servidores
- Distribución de certificados entre nodos
- Integración con APIs de dispositivos de red
- Conversión de formatos (por ejemplo,
.crta.pfx)
Algunos ejemplos de dispositivos compatibles
Firewalls y dispositivos de seguridad
Servidores web
Balanceadores y proxies
Automatización y despliegue
Una vez configurado, el sistema permite gestionar el ciclo de vida del certificado de forma automática. En entornos más complejos, puede ser necesario implementar scripts o hooks de despliegue para:
- Instalar certificados en distintos servidores
- Actualizar balanceadores (F5, Forti, etc.)
- Recargar servicios (IIS, Apache, etc.)
Cada implementación deberá adaptarse a la arquitectura, políticas de seguridad e integraciones propias de cada entorno.
| Escenario | Instalación ACME | Distribución | Destino del certificado |
|---|---|---|---|
| IIS único | IIS | Automática | IIS |
| Apache único | Apache | Automática + reload | Apache |
| IIS + F5 (SSL en F5) | Un IIS | Script → F5 | F5 |
| Apache + Forti (SSL en Forti) | Apache | Script → Forti | Forti |
| SSL en Forti + Apache interno | Apache | Script doble | Forti + Apache |
| IIS + balanceador passthrough | Cada IIS | Local | Cada IIS |
| Apache + balanceador passthrough | Cada Apache | Local | Cada Apache |
Algunos clientes ACME compatibles
Cualquier cliente que implemente el estándar ACME (RFC 8555) y soporte External Account Binding (EAB) puede integrarse con ACMECaaS.
Cliente Shell ligero para Linux.
Cliente ACME para Windows / IIS.
Mantenido por la EFF.
Módulo NGINX con acme
Cliente en Go (multi-herramienta).
Basado en PowerShell.
Modelo de suscripción
La suscripción se realiza por dominio (FQDN o Wildcard). Durante la vigencia de la suscripción se permite la emisión ilimitada de certificados para ese dominio, incluyendo reemisiones, reemplazos y renovaciones sin costo adicional.
Auditoría y control
Todas las operaciones de emisión, renovación y revocación quedan registradas en la plataforma, permitiendo trazabilidad, cumplimiento normativo y control centralizado del inventario criptográfico.