# Automatización de certificados TLS en Angie: Guía completa del módulo ACME
El módulo ACME del servidor web Angie automatiza la obtención y renovación de certificados TLS, incluidos los comodín, con un esfuerzo mínimo. El soporte integrado del protocolo ACME elimina la necesidad de herramientas externas como certbot, simplificando la configuración y gestión de la seguridad del sitio.
Configuración de desafíos HTTP para certificados estándar
Para obtener certificados mediante desafíos HTTP (HTTP-01), comienza definiendo propiedades en la directiva acme_client dentro del contexto http. Aquí tienes un ejemplo de configuración para certificados RSA y ECDSA:
http {
resolver 127.0.0.53 ipv6=off;
acme_client rsa https://acme-v02.api.letsencrypt.org/directory key_type=rsa;
acme_client ecdsa https://acme-v02.api.letsencrypt.org/directory;
}
Luego configura tu servidor para usar estos certificados:
server {
listen 443 ssl;
server_name site.ru www.site.ru test.site.ru company.ru;
acme rsa;
acme ecdsa;
ssl_certificate $acme_cert_rsa;
ssl_certificate_key $acme_cert_key_rsa;
ssl_certificate $acme_cert_ecdsa;
ssl_certificate_key $acme_cert_key_ecdsa;
}
Angie abrirá automáticamente el puerto 80 para los desafíos HTTP, a menos que se especifique lo contrario con acme_http_port. Monitorea la emisión de certificados a través de error_log o la API, con mensajes de nivel notice para renovaciones exitosas.
Obtención de certificados comodín mediante verificación DNS
Los desafíos DNS (DNS-01) son necesarios para certificados comodín que cubren dominios de segundo nivel y todos los subdominios de tercer nivel. Usa delegación de zona creando registros DNS en tu panel de hosting:
_acme-challenge.site.ru. 60 IN NS ns.site.ru.
ns.site.ru. 60 IN A {IP_del_servidor}
Luego configura acme_client con el parámetro challenge=dns:
http {
resolver 127.0.0.53 ipv6=off;
acme_client ecdsa https://acme-v02.api.letsencrypt.org/directory challenge=dns;
server {
listen 443 ssl;
server_name site.ru *.site.ru;
acme ecdsa;
ssl_certificate $acme_cert_ecdsa;
ssl_certificate_key $acme_cert_key_ecdsa;
}
}
Angie abrirá el puerto 53 para consultas DNS; usa acme_dns_port para evitar conflictos con servicios locales.
Métodos alternativos y funciones avanzadas
Cuando los desafíos estándar no son viables, el módulo ACME soporta ganchos personalizados para delegar la creación de archivos o gestión de registros DNS a aplicaciones externas. También soporta el método TLS-ALPN-01, útil cuando no se puede abrir el puerto 80, activado con challenge=alpn.
Beneficios clave
- Automatización: El módulo ACME de Angie automatiza completamente la emisión y renovación de certificados TLS, incluidos los comodín, sin intervención manual.
- Flexibilidad: Soporta desafíos HTTP-01, DNS-01 y TLS-ALPN-01, más ganchos personalizados para configuraciones complejas.
- Rendimiento: Los certificados se cargan en la memoria del servidor y se pueden almacenar en caché con
ssl_certificate_cachepara optimización. - Compatibilidad: Funciona con cualquier proveedor compatible con ACME, como Let's Encrypt.
- Monitoreo: Se integra con
error_logy la API para rastrear el estado de los certificados.
Consejos prácticos para la implementación
Al configurar el módulo ACME, ten en cuenta estos puntos:
- Pruebas: Usa el entorno de staging de Let's Encrypt para configuraciones iniciales y evitar límites de tasa.
- Seguridad: Asegúrate de que el servidor DNS del
resolversea confiable y desactiva IPv6 si es necesario. - Caché: Configura
ssl_certificate_cachepara mejorar el rendimiento, especialmente con variables de certificados. - Puertos: Controla los puertos de desafíos con
acme_http_portyacme_dns_portpara prevenir conflictos.
El módulo ACME de Angie es una herramienta potente que simplifica la gestión de certificados TLS, reduciendo costos operativos y mejorando la seguridad de las aplicaciones web. Su integración fluida permite a desarrolladores y administradores enfocarse en tareas principales en lugar de mantenimiento rutinario.
— Editorial Team
Aún no hay comentarios.