Las credenciales EAB (External Account Binding) son claves de autenticación seguras que conectan su cliente ACME a su certificado Trustico® Certificate as a Service (CaaS) de pago.
Estas credenciales garantizan que sólo los usuarios autorizados puedan emitir certificados SSL bajo su servicio.
EAB es una extensión estándar del protocolo ACME que permite a las autoridades de certificación como Trustico® ofrecer servicios de pago manteniendo las ventajas de automatización de ACME.
Sus credenciales EAB actúan como puente entre su software cliente ACME y su servicio prepago Trustico®, permitiendo la emisión y renovación automática de certificados SSL sin intervención manual.
Su paquete de credenciales EAB
Cuando adquiere Trustico® Certificate as a Service (CaaS), recibe por correo electrónico un paquete completo de credenciales que contiene cuatro componentes esenciales :
ID de cuenta Trustico® ACME : Su identificador de servicio único utilizado para toda la gestión de cuentas, ampliaciones y solicitudes de asistencia. Guarde este ID en un lugar seguro, ya que lo necesitará para futuras gestiones del servicio.
ID de clave EAB : Su identificador de cuenta único que indica a nuestro servidor ACME qué cuenta de servicio debe utilizar para las solicitudes de certificados SSL.
Clave EAB MAC : Su clave de autenticación segura que demuestra que está autorizado a utilizar el servicio. Esta clave debe mantenerse confidencial.
URL del servidor ACME : El punto final del servidor dedicado al que se conectará su cliente ACME para solicitar y gestionar certificados SSL.
Por lo general, sólo enviamos esta información por correo electrónico cuando se activa o renueva Trustico® Certificate as a Service (CaaS). Si pierde el correo electrónico, póngase en contacto con nuestro equipo de asistencia para obtener más ayuda.
Cómo funcionan las credenciales EAB
Las credenciales EAB funcionan autenticando a su cliente ACME durante el proceso de registro de la cuenta. Cuando su cliente ACME se conecta por primera vez a nuestro servidor, utiliza su ID de clave EAB y su clave MAC EAB para demostrar que está autorizado a acceder a su servicio de pago.
Una vez autenticado, su cliente ACME puede solicitar certificados SSL para cualquier dominio incluido en su certificado Trustico® Certificate as a Service (CaaS).
El servidor ACME valida automáticamente la propiedad del dominio y emite los certificados SSL en cuestión de minutos.
Sus credenciales EAB permanecen activas durante todo el periodo de servicio, lo que permite la renovación automática y continua de los certificados SSL sin necesidad de intervención manual.
Compartir credenciales EAB en varios sistemas
Una de las principales ventajas de Trustico® Certificate as a Service (CaaS) es que sus credenciales EAB pueden compartirse entre varios clientes y servidores ACME. Esto significa que puede utilizar las mismas credenciales para proteger varios sistemas con un solo servicio.
Por ejemplo, puede configurar sus servidores de producción, entornos de ensayo, equilibradores de carga y sistemas de desarrollo con las mismas credenciales EAB. Cada sistema puede solicitar y renovar de forma independiente certificados SSL para sus dominios autorizados.
Este modelo de credenciales compartidas elimina la necesidad de adquirir servicios independientes para cada servidor, al tiempo que mantiene la seguridad mediante prácticas adecuadas de gestión de credenciales.
Autorización de dominios y certificados SSL ilimitados
Sus credenciales EAB están vinculadas a dominios específicos que ha adquirido a través de Trustico® Certificate as a Service (CaaS). Una vez que un dominio está autorizado en su servicio, puede emitir certificados SSL ilimitados para ese dominio y sus variaciones incluidas.
Esto incluye su dominio principal, el subdominio www y cualquier subdominio cubierto por certificados SSL comodín. Su cliente ACME puede solicitar nuevos Certificados SSL siempre que lo necesite sin costes adicionales.
Si necesita asegurar dominios adicionales más allá de su servicio actual, simplemente adquiera otro Certificado como Servicio (CaaS) de Trustico® para esos dominios, que vendrá con su propio conjunto de credenciales EAB.
Configuración de su cliente ACME
Los clientes ACME más populares admiten credenciales EAB mediante parámetros de línea de comandos o archivos de configuración. El proceso exacto de configuración varía según el cliente, pero la información básica sigue siendo la misma.
Para Certbot : Utilice los parámetros --eab-kid y --eab-hmac-key junto con --server para especificar la URL de su servidor ACME durante el registro de la cuenta.
Para acme.sh : Establezca las variables de entorno ACME_EAB_KID y ACME_EAB_HMAC_KEY y, a continuación, especifique la URL de su servidor con el parámetro --server.
Consulta la documentación de tu cliente para conocer las opciones de configuración de EAB. Todos los clientes ACME estándar admiten credenciales EAB mediante mecanismos similares.
Buenas prácticas de seguridad para credenciales EAB
Sus credenciales EAB proporcionan acceso a su certificado Trustico® Certificate as a Service (CaaS) de pago y deben protegerse con las mismas normas de seguridad que las claves o contraseñas API.
Almacene su clave MAC de EAB en variables de entorno o en sistemas seguros de gestión de credenciales. Nunca guarde estas credenciales en repositorios de código, archivos de configuración o cualquier otro tipo de almacenamiento no cifrado.
El ID de la clave EAB es menos sensible, pero debe tratarse como información confidencial. Ambas credenciales juntas proporcionan acceso a tu servicio, así que protégelas en consecuencia.
Audite periódicamente qué sistemas tienen acceso a sus credenciales EAB y elimine el acceso de los servidores retirados del servicio o de los entornos de desarrollo que ya no necesiten acceso a certificados SSL.
Solución de problemas de autenticación EAB
Si el cliente ACME no puede autenticarse con las credenciales EAB, compruebe que está utilizando la URL de servidor ACME correcta que se le proporcionó en el correo electrónico de credenciales. El uso de una URL de servidor diferente provocará fallos de autenticación.
Asegúrese de que su ID de clave EAB y su clave MAC EAB se copian exactamente como se proporcionan, sin espacios ni saltos de línea adicionales. Estas credenciales distinguen entre mayúsculas y minúsculas y deben coincidir exactamente.
Compruebe que su certificado Trustico® Certificate as a Service (CaaS) está activo y no ha caducado. Los servicios caducados rechazarán los intentos de autenticación EAB hasta que se renueven.
Si sigue teniendo problemas, póngase en contacto con nuestro equipo de asistencia con su ID de cuenta ACME de Trustico® para obtener ayuda con la verificación de credenciales y la solución de problemas.
Gestión de su servicio con credenciales EAB
Su ID de cuenta Trustico® ACME es esencial para todas las tareas de gestión de servicios más allá de la emisión de certificados SSL. Utilice este ID cuando amplíe su servicio, solicite asistencia o gestione su cuenta a través de nuestro sitio web o API.
Las ampliaciones del servicio pueden adquirirse antes de su vencimiento para garantizar la funcionalidad continua del certificado SSL. Sus credenciales EAB seguirán funcionando sin problemas tras la renovación del servicio sin necesidad de reconfiguración.
Mantenga su ID de cuenta ACME de Trustico® fácilmente accesible para las tareas de gestión del servicio, pero recuerde que su clave MAC de EAB debe permanecer confidencial y utilizarse únicamente para la configuración del cliente ACME.
Ciclo de vida de las credenciales EAB
Sus credenciales EAB siguen siendo válidas durante toda la duración de su Certificado como Servicio (CaaS) Trustico® activo. Se vuelven inactivas automáticamente cuando caduca su servicio, lo que impide la emisión no autorizada de certificados SSL.
Cuando amplíe su servicio, sus credenciales EAB existentes seguirán funcionando sin necesidad de realizar ningún cambio en la configuración de su cliente ACME. Esto garantiza un funcionamiento sin problemas de los certificados SSL durante las renovaciones del servicio.
Si necesita nuevas credenciales EAB por motivos de seguridad, póngase en contacto con nuestro equipo de asistencia con su ID de cuenta ACME de Trustico® para hablar de las opciones de rotación de credenciales.
Obtener ayuda con la configuración de EAB
Nuestro equipo de soporte está a su disposición para ayudarle con información general para configurar su cliente ACME con sus credenciales EAB.
Cuando se ponga en contacto con el servicio de asistencia, incluya siempre su número de pedido y el ID de cuenta ACME de Trustico® para una asistencia más rápida.
Nunca comparta su clave MAC EAB en comunicaciones de soporte - nuestro equipo puede verificar sus credenciales sin necesidad de ver los valores reales de la clave.
Continuidad y renovación del servicio
La instalación y gestión automatizada de certificados SSL a través de Trustico® Certificate as a Service (CaaS) funciona sin problemas sólo mientras su servicio de pago permanece activo.
Su cliente ACME seguirá renovando automáticamente los certificados SSL y mantendrá una protección continua mientras su suscripción al servicio esté vigente.
Para garantizar una gestión de certificados SSL realmente fluida y sin interrupciones, es esencial que renueve su certificado Trustico® Certificate as a Service (CaaS) antes de que caduque o que considere la posibilidad de configurar la facturación automática para una continuidad ininterrumpida del servicio.
Si su servicio caduca, su cliente ACME no podrá renovar los certificados SSL, lo que podría provocar la caducidad del certificado SSL y la inactividad del sitio web hasta que se restablezca el servicio.
