ACME y EAB: soporte para servidores web (estado a 10/2025)
14/10/2025 | Jindřich Zechmeister
Descubra cómo utilizar ACME y EAB para automatizar los certificados TLS. Comparamos la compatibilidad con Nginx, Apache, LiteSpeed y otros, consejos para DigiCert e implementación sin preocupaciones.
ACME sirve para gestionar el ciclo de vida de los certificados: desde la solicitud e instalación hasta su renovación. Puede utilizar ACME en SSLmarket desde hace varios años. Veamos juntos el estado de soporte de ACME para diferentes servidores web.
Protocolo ACME y servidores web
Inicialmente, el protocolo ACME se utilizaba de forma independiente mediante clientes, donde a través de algún programa se emitía un certificado TLS y este "cliente ACME" también lo instalaba en el servidor web. El cliente ACME más conocido es Certbot, y el soporte inicial para el servidor web Apache se ha expandido gradualmente, incluso a Windows Server e IIS.
La tendencia actual es integrar el cliente ACME directamente en el servidor web de modo que se obtiene e implementa el certificado de manera compatible sin necesidad de software adicional o intervenciones. Así tienes "todo en uno". Un ejemplo de servidor web con cliente ACME incorporado es Caddy o OpenLiteSpeed. Recientemente, Nginx también obtuvo soporte nativo para ACME, pero aún no soporta EAB, por lo que no puede ser usado con DigiCert.
¿Qué es EAB en ACME?
EAB (External Account Binding) es un mecanismo en ACME que vincula su cliente ACME a una cuenta específica en la autoridad de certificación. Al crear una cuenta ACME, el cliente utiliza un par de datos de la CA: un identificador KID y una clave HMAC secreta, creando así un "enlace" con la cuenta de su organización. De esta manera, la CA sabe quién solicita el certificado, puede aplicar reglas internas y emitir certificados empresariales o de pago según la configuración de la cuenta. EAB no reemplaza la verificación de dominio (HTTP-01/DNS-01); solo asegura que la solicitud proviene de una cuenta autorizada.
En SSLmarket, encontrará una función completamente única: una visión general de todos los certificados emitidos a través de ACME, que importaremos a su cuenta de usuario con todos los metadatos e información asociada.
Soporte actual de ACME en servidores web
En la tabla a continuación, verá un resumen de la integración del protocolo ACME en servidores web individuales. La mayoría de ellos ya tienen ACME integrado, y si también admiten EAB, puede usar certificados de DigiCert y automatizarlos. Puede obtener accesos de ACME fácilmente y de forma gratuita en su cuenta de SSLmarket.
| Servidor web / Plataforma | Cliente ACME Nativo | Soporte EAB | Tipo de implementación | Nota / Cliente interno |
|---|---|---|---|---|
| Servidor Apache HTTP | No | Sí (a través del cliente externo) | Externo (Certbot, acme.sh, lego…) | Plugin por ej. certbot-apache; EAB gestionado por cliente (funciona con DigiCert ACME). |
| NGINX (hasta 1.24) | No | Sí (a través del cliente externo) | Externo (Certbot, acme.sh…) | Antiguo NGINX sin ACME nativo. |
| NGINX (desde 1.25) | Sí | No | Nativo | ACME nativo sin EAB; usar cliente externo para DigiCert. |
| LiteSpeed / OpenLiteSpeed | Sí | Sí | Nativo (acme.sh internamente) | Cliente integrado basado en acme.sh; EAB totalmente soportado (DigiCert ACME). |
| Caddy | Sí | Sí | Nativo | Gestión de certificados incorporada incl. EAB. |
| Traefik | Sí | Sí | Nativo | Gestiona certificados internamente; EAB soportado. |
| HAProxy | Parcial (a través de hooks) | Sí (a través del cliente externo) | Cliente externo (acme.sh, Certbot…) | El cliente emite el certificado; implementación mediante deploy-hook y reinicio de HAProxy. |
| Lighttpd | No | Sí (a través del cliente externo) | Cliente externo | acme.sh / dehydrated; EAB gestionado por cliente. |
| IIS / Exchange (Windows) | Sí | Sí | Externo (win-acme, Certify The Web) | Totalmente automatizable; EAB soportado (DigiCert ACME). |
| Tomcat / Jetty / Servidores Java | No | Sí (a través del cliente externo) | Cliente externo + hooks | Conversión a JKS/PKCS12; EAB gestionado por cliente. |
| Postfix / Dovecot / Exim | No | Sí (a través del cliente externo) | Cliente externo + hooks | Implementación mediante script; EAB gestionado por cliente. |
| Kubernetes (cert-manager) | Sí | Sí | Controller / issuer | Soporte para EAB; adecuado también para el emisor de DigiCert ACME. |
| Envoy Proxy | Experimental | Parcialmente (a través de gestores externos) | Integración a través de SDS/cert-manager | ACME gestionado por un controlador externo; EAB según el cliente. |
| Plataformas en la nube (Cloudflare / AWS / GCP) | Sí (gestión propia) | Interno (fuera de EAB estándar) | Administrado por la nube | Usar un cliente externo para DigiCert ACME fuera de estos servicios. |
Conclusión
Puede utilizar ACME para automatizar certificados prácticamente en cualquier lugar. Encuentre las guías básicas en nuestra ayuda. Si tiene algún problema o pregunta sobre su uso, no dude en contactar con nuestro soporte al cliente.
Especialista en los certificados SSL de seguridad
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
