En las aplicaciones modernas, un certificado TLS no es solo un componente de seguridad — es una parte directa de la disponibilidad. Un certificado expirado significa un error de confianza en el lado del usuario, un rechazo de conexión en los clientes API y, en algunos escenarios, una interrupción completa del servicio. El fallo suele aparecer mientras la propia aplicación funciona perfectamente.
Los certificados de corta duración mejoran la seguridad pero también aumentan la carga operacional. En un ciclo de certificado de 90 días, un calendario manual, una alerta por correo electrónico o un script externo no son suficientes. Incluso si el certificado ha sido renovado, si no se ha aplicado al ADC, el servicio en ejecución continúa sirviendo el antiguo.
Los entornos empresariales también necesitan más de una CA. Cuando se produce un límite de tasa, un problema de cuenta o un error de validación en una CA, se requiere un cambio rápido a un proveedor alternativo. Una arquitectura bloqueada a una única CA hace que las operaciones de certificados sean innecesariamente frágiles.
En las arquitecturas HA el problema es más crítico. Si dos dispositivos intentan emitir certificados para el mismo dominio usando cuentas ACME separadas, surgen riesgos de límite de tasa e inconsistencia. Las cuentas de certificados, los thumbprints y el estado de renovación deben mantenerse sincronizados entre los nodos HA.
TR7 ADC incorpora la emisión y renovación de certificados ACME — incluyendo el registro de cuenta, el control de umbral, la detección de diferencias, la comprobación automática y el intercambio HA — en el flujo de gestión de certificados integrado del dispositivo.
TR7 trata la renovación de certificados ACME no como un script puntual sino como una parte controlada y repetible del ciclo de vida del certificado.
La dirección de correo electrónico, la selección de CA, la lista de dominios, el tipo de clave y las credenciales EAB se mantienen bajo la misma estructura. Los campos faltantes o inválidos se detectan en el momento del registro. El flujo de renovación se basa por tanto en un objeto de certificado validado en lugar de parámetros de comando ad-hoc.
TR7 comprueba los certificados dos veces al día — mañana y tarde. Cuando los días restantes caen por debajo del umbral de renovación por certificado, comienza el flujo de renovación. El operador no necesita mantener un calendario ni escribir un cron job externo.
Cuando cambia la CA, la lista de dominios o el tipo de clave, TR7 lo trata como una nueva emisión de certificado. Si se preserva la misma configuración, solo se ejecuta el flujo de renovación. Esta distinción evita el comportamiento incorrecto de renovación al añadir un dominio o cambiar un tipo de clave.
El thumbprint de la cuenta ACME se comparte con el nodo par HA. Ambos dispositivos por tanto se comportan de forma consistente usando la misma cuenta CA. El riesgo de límite de tasa se reduce y la gestión de certificados permanece dentro de la misma cadena de cuenta durante los failovers activo-pasivo.
ACME Cert Renewal integra la selección de CA, el registro de cuenta, la renovación automática, el intercambio HA y la visibilidad de auditoría en un único flujo de gestión de certificados.
TR7 ADC soporta cinco opciones de CA: Let's Encrypt, ZeroSSL, SSL.com, Buypass y Google Trust Services. El operador selecciona el proveedor a través del perfil de certificado en el momento de la creación. Esto reduce la dependencia de un único proveedor. Se puede preferir una CA diferente para cuentas empresariales, pruebas o servicios que requieren una cadena de confianza diferente.
HTTP-01 challenge valida el dominio sobre el tráfico web. Cuando el puerto 80 es accesible, se puede emitir un certificado sin integración DNS adicional. Esto permite una incorporación rápida especialmente para escenarios de dominio único y vService estándar. No se reclama la automatización wildcard; este flujo se centra en la validación de dominio único.
Para las cuentas CA que requieren EAB, el ID de clave y las credenciales HMAC se almacenan en el perfil de certificado. El operador los introduce a través de la interfaz; TR7 genera los comandos de autenticación automáticamente. Esto reduce los errores de comandos manuales en las configuraciones que usan cuentas CA empresariales. El proceso de incorporación se simplifica especialmente para los proveedores ACME basados en cuentas.
Un certificado puede incluir múltiples dominios. La lista de dominios se almacena como un array en el objeto certificado y cada dominio se procesa con su propio parámetro en el flujo de validación. Cuando se añade un dominio, TR7 lo detecta como un cambio de configuración. El flujo de re-emisión entonces se ejecuta con el nuevo conjunto de dominios en lugar de renovar incorrectamente el certificado existente.
Se puede establecer un umbral de renovación en días por certificado. Se puede aplicar una política de renovación más anticipada — como 60 días — para los servicios críticos; se puede elegir una ventana más corta para los servicios estándar. TR7 compara los días restantes con este umbral. Cuando se supera el umbral, comienza la renovación automática.
TR7 ejecuta la comprobación de renovación de certificados dos veces al día: a las 07:00 y a las 22:00. Este flujo solo procesa los certificados cuya ventana de renovación ha llegado. El operador no necesita mantener un cron job externo, un script de shell o una lista de comprobación manual. La renovación de certificados se convierte en parte del ciclo de mantenimiento regular del dispositivo.
Cuando un perfil de certificado se usa por primera vez y la cuenta CA relevante no existe aún, TR7 inicia el registro de la cuenta automáticamente. El thumbprint de la cuenta se extrae y se almacena de forma persistente. La misma cuenta se reutiliza entonces para las operaciones de certificados posteriores. El operador no necesita gestionar un proceso de registro de cuenta separado.
TR7 produce una huella digital de configuración a partir de la selección de CA, el tipo de clave y la lista de dominios. Si esta huella digital coincide con el valor anterior, se ejecuta el flujo de renovación; si difiere, se emite un nuevo certificado. Este comportamiento selecciona la acción correcta cuando cambia la lista de dominios o el tipo de clave. La gestión de certificados se basa en la detección de cambios en lugar de suposiciones.
En un entorno HA, ambos nodos comparten las mismas credenciales de cuenta CA. Esto evita que los dispositivos activo y pasivo realicen operaciones repetidamente para el mismo dominio usando cuentas independientes. El riesgo de límite de tasa y conflicto de cuentas disminuye. Después de un failover, la gestión de certificados continúa dentro de la misma cadena de cuenta.
El tipo de clave predeterminado es ec-256. El operador puede seleccionar ec-384 o longitudes de clave basadas en RSA según sea necesario. Esto preserva los handshakes rápidos para los clientes modernos mientras mantiene la opción RSA disponible para los clientes que requieren compatibilidad legacy. Un cambio de tipo de clave se trata como un nuevo flujo de emisión.
Durante la emisión o renovación de certificados, la salida del proceso se transmite línea por línea a la interfaz. Los errores de validación, los límites de tasa, los problemas de accesibilidad del dominio o los problemas EAB son visibles para el operador. Esto saca la renovación de certificados de la categoría de caja negra. El tiempo de resolución de problemas se reduce.
Los eventos de registro de cuenta, emisión, renovación, éxito y error se escriben en el log de usuario y en el stream de auditoría. Es posible ver qué operación se ejecutó para qué certificado y cuándo. Con la integración SIEM, los eventos de renovación de certificados se reenvían al sistema de monitorización central. El ciclo de vida del certificado se vuelve demostrable para los equipos de cumplimiento.
El flujo de renovación ACME hace más que obtener un certificado — trabaja junto con el almacenamiento de cuentas, el aislamiento de procesos, el manejo de timeouts, el intercambio HA y la gestión de errores.
Cada combinación de CA y correo electrónico se mantiene en su propio directorio de cuenta. Esto evita que las credenciales de cuenta de diferentes proveedores se mezclen. Se pueden gestionar de forma segura múltiples cuentas CA en el mismo dispositivo.
Se aplica un límite de tiempo superior a las operaciones de emisión y renovación de certificados. Los procesos que se prolongan o se quedan atascados no permanecen abiertos indefinidamente. El timeout, la detención iniciada por el usuario y el cierre del proceso se tratan como estados separados.
En configuraciones multi-tenant y en configuraciones que usan tablas de rutas separadas, las operaciones ACME pueden ejecutarse a través del espacio de nombres de red correcto. El tráfico de challenge por tanto sale a través de la ruta de salida del tenant o zona relevante. Esto reduce los errores de validación de certificados en arquitecturas multi-red.
Cuando se completa la emisión del certificado, las ubicaciones del certificado, la cadena completa y los archivos de clave privada se capturan desde la salida del proceso. TR7 lee estos archivos y los importa a su propio almacén de certificados. El certificado renovado queda así disponible para el ADC.
El thumbprint de la cuenta ACME se almacena en almacenamiento persistente. Incluso si el dispositivo se reinicia, la cadena de cuenta no se pierde. El intercambio HA también continúa basándose en esta información persistida.
Si la renovación del certificado falla, el evento de error se registra y puede reenviarse al stream de monitorización central. Un certificado que se acerca a su caducidad puede además vincularse con el sistema de notificación. Esto permite que el equipo de operaciones sea alertado antes de que el certificado expire.
Los certificados de dominio único para vServices de web pública y pagos se emiten mediante HTTP-01. TR7 comprueba el umbral de renovación dos veces al día y renueva el certificado cuando se acerca la caducidad.
Cada tenant trae su propio subdominio. TR7 almacena la lista de dominios en el objeto certificado y lo vincula al vService relevante mediante SNI. Los certificados se renuevan en segundo plano.
Un proveedor CA empresarial requiere credenciales EAB. El operador define el ID de clave y el HMAC en el perfil de certificado; TR7 ejecuta el registro de cuenta y la emisión del certificado automáticamente.
En un par TR7 activo-pasivo, ambos dispositivos comparten el mismo thumbprint de cuenta CA. Las operaciones de certificados permanecen consistentes y se reduce el riesgo de re-validación innecesaria.
Los eventos de emisión y renovación de certificados se registran en el log de auditoría. Durante una auditoría es posible mostrar qué certificado fue renovado, cuándo y qué usuario o evento del sistema desencadenó la operación.
Si el tráfico de validación de un tenant debe salir a través de su propio espacio de nombres de red, la operación ACME se ejecuta en ese contexto. La separación de rutas multi-tenant se preserva mientras se completa la renovación del certificado.
Cinco CAs, EAB, intercambio de thumbprint HA y comprobaciones automáticas dos veces al día — en un único flujo de gestión de certificados. Permítanos mostrarle una configuración en vivo en su propio entorno.