Volver al inicio

Automatización de Certificados TLS en Angie con Módulo ACME: Guía

El artículo está dedicado a la configuración del módulo ACME en el servidor web Angie para la obtención y renovación automáticas de certificados TLS. Cubre métodos de verificación HTTP y DNS, incluidos certificados wildcard, con ejemplos prácticos de configuración.

Automatiza Certificados TLS en Angie: Guía ACME Completa
Advertisement 728x90

# Automatización de certificados TLS en Angie: Guía completa del módulo ACME

El módulo ACME del servidor web Angie automatiza la obtención y renovación de certificados TLS, incluidos los comodín, con un esfuerzo mínimo. El soporte integrado del protocolo ACME elimina la necesidad de herramientas externas como certbot, simplificando la configuración y gestión de la seguridad del sitio.

Configuración de desafíos HTTP para certificados estándar

Para obtener certificados mediante desafíos HTTP (HTTP-01), comienza definiendo propiedades en la directiva acme_client dentro del contexto http. Aquí tienes un ejemplo de configuración para certificados RSA y ECDSA:

http {
  resolver 127.0.0.53 ipv6=off;
  acme_client rsa      https://acme-v02.api.letsencrypt.org/directory key_type=rsa;
  acme_client ecdsa    https://acme-v02.api.letsencrypt.org/directory;
}

Luego configura tu servidor para usar estos certificados:

Google AdInline article slot
server {
  listen 443 ssl;
  server_name site.ru www.site.ru test.site.ru company.ru;
  acme rsa;
  acme ecdsa;
  ssl_certificate         $acme_cert_rsa;
  ssl_certificate_key $acme_cert_key_rsa;
  ssl_certificate         $acme_cert_ecdsa;
  ssl_certificate_key $acme_cert_key_ecdsa;
}

Angie abrirá automáticamente el puerto 80 para los desafíos HTTP, a menos que se especifique lo contrario con acme_http_port. Monitorea la emisión de certificados a través de error_log o la API, con mensajes de nivel notice para renovaciones exitosas.

Obtención de certificados comodín mediante verificación DNS

Los desafíos DNS (DNS-01) son necesarios para certificados comodín que cubren dominios de segundo nivel y todos los subdominios de tercer nivel. Usa delegación de zona creando registros DNS en tu panel de hosting:

_acme-challenge.site.ru. 60    IN      NS       ns.site.ru.
             ns.site.ru. 60    IN       A       {IP_del_servidor}

Luego configura acme_client con el parámetro challenge=dns:

Google AdInline article slot
http {
  resolver 127.0.0.53 ipv6=off;
  acme_client ecdsa    https://acme-v02.api.letsencrypt.org/directory challenge=dns;
  server {
    listen 443 ssl;
    server_name site.ru *.site.ru;
    acme ecdsa;
    ssl_certificate         $acme_cert_ecdsa;
    ssl_certificate_key $acme_cert_key_ecdsa;
  }
}

Angie abrirá el puerto 53 para consultas DNS; usa acme_dns_port para evitar conflictos con servicios locales.

Métodos alternativos y funciones avanzadas

Cuando los desafíos estándar no son viables, el módulo ACME soporta ganchos personalizados para delegar la creación de archivos o gestión de registros DNS a aplicaciones externas. También soporta el método TLS-ALPN-01, útil cuando no se puede abrir el puerto 80, activado con challenge=alpn.

Beneficios clave

  • Automatización: El módulo ACME de Angie automatiza completamente la emisión y renovación de certificados TLS, incluidos los comodín, sin intervención manual.
  • Flexibilidad: Soporta desafíos HTTP-01, DNS-01 y TLS-ALPN-01, más ganchos personalizados para configuraciones complejas.
  • Rendimiento: Los certificados se cargan en la memoria del servidor y se pueden almacenar en caché con ssl_certificate_cache para optimización.
  • Compatibilidad: Funciona con cualquier proveedor compatible con ACME, como Let's Encrypt.
  • Monitoreo: Se integra con error_log y la API para rastrear el estado de los certificados.

Consejos prácticos para la implementación

Al configurar el módulo ACME, ten en cuenta estos puntos:

Google AdInline article slot
  • Pruebas: Usa el entorno de staging de Let's Encrypt para configuraciones iniciales y evitar límites de tasa.
  • Seguridad: Asegúrate de que el servidor DNS del resolver sea confiable y desactiva IPv6 si es necesario.
  • Caché: Configura ssl_certificate_cache para mejorar el rendimiento, especialmente con variables de certificados.
  • Puertos: Controla los puertos de desafíos con acme_http_port y acme_dns_port para prevenir conflictos.

El módulo ACME de Angie es una herramienta potente que simplifica la gestión de certificados TLS, reduciendo costos operativos y mejorando la seguridad de las aplicaciones web. Su integración fluida permite a desarrolladores y administradores enfocarse en tareas principales en lugar de mantenimiento rutinario.

— Editorial Team

Advertisement 728x90

Leer después