DigiCert presentó el cliente ACME DC-ACME para la automatización.

2/1/2026 | Jindřich Zechmeister

El nuevo cliente ACME DC-ACME de DigiCert permite la renovación automática de certificados sin herramientas de terceros. Por lo tanto, no es necesario depender de Certbot u otros programas. Puede obtener fácilmente las credenciales ACME EAB en su cuenta de SSLmarket y comenzar a usarlo de inmediato.

Nuevo cliente ACME directamente de CA DigiCert

La automatización de la gestión de certificados TLS se ha convertido en una parte común del funcionamiento de la infraestructura del servidor en los últimos años. El protocolo ACME (Automatic Certificate Management Environment) permite la emisión, instalación y renovación automatizadas de certificados sin necesidad de intervención manual. Sin embargo, en las autoridades de certificación comerciales, esta automatización se basó durante mucho tiempo principalmente en el uso de clientes ACME de terceros.

DigiCert ahora expande significativamente este modelo. Ha presentado su propio cliente oficial ACME denominado DC-ACME, que permite utilizar los servicios ACME de DigiCert sin la necesidad de implementar herramientas externas. Los scripts de instalación y la documentación están disponibles en el sitio oficial DigiCert Automation Service.

ACME en DigiCert: modelo operativo más sencillo

Hasta ahora, DigiCert recomendaba el uso de clientes ACME estándar compatibles con el protocolo ACMEv2. Este enfoque seguirá siendo compatible y plenamente funcional. Sin embargo, en la práctica significaba la necesidad de elegir un cliente adecuado, instalarlo, mantenerlo e integrarlo en el entorno operativo.

DC-ACME presenta una alternativa que unifica estos pasos. Es un cliente ACME oficial directamente de DigiCert, diseñado para ser totalmente compatible con su servicio ACME y para proporcionar un comportamiento predecible en todas las plataformas. Hay scripts de instalación disponibles para Linux y Windows, incluyendo soporte para ejecutarse como un servicio del sistema.

Los detalles sobre la arquitectura y los principios de automatización ACME en DigiCert se describen en la documentación oficial: DigiCert – ACME Automation Service.

External Account Binding (EAB) como parte de la seguridad

Una parte de la integración ACME en DigiCert es el uso del mecanismo External Account Binding (EAB). Este sirve para conectar de forma segura la cuenta ACME con la autorización del cliente y la configuración del producto específica. Al registrar una cuenta ACME se utilizan dos datos: ID de Clave (KID) y clave HMAC.

Para los clientes de SSLmarket, obtener los datos EAB es muy sencillo. Las credenciales ACME EAB están disponibles directamente en la cuenta de cliente de SSLmarket, donde se pueden generar y luego usar en la configuración del cliente ACME DC-ACME.

Verificación de dominios y soporte para DNS-01

La automatización de la emisión de certificados se basa en la verificación de la propiedad del dominio utilizando métodos de validación definidos por el protocolo ACME. Dado que para obtener un certificado en el futuro será necesario utilizar solo métodos de verificación automáticos, es bueno comenzar a usar los métodos disponibles en ACME como HTTP y DNS. En entornos donde no es apropiado o posible exponer servicios HTTP directamente a Internet, se utiliza muy a menudo el método DNS-01.

DigiCert proporciona una extensa documentación para DC-ACME sobre la integración de desafíos DNS-01, incluyendo guías para cada proveedor de DNS. Esto facilita enormemente la implementación de la automatización incluso en infraestructuras más complejas, incluyendo soporte para certificados wildcard.

Una visión general y detalles técnicos sobre los desafíos DNS-01 están disponibles aquí: Guía de desafíos DC-ACME DNS-01.

Conclusión

El nuevo cliente ACME DC-ACME representa para los clientes de DigiCert una opción adicional para implementar la gestión automatizada de certificados con menor complejidad operativa. Se mantiene la compatibilidad con el estándar ACMEv2, pero al mismo tiempo se agrega una herramienta oficialmente soportada directamente por la autoridad de certificación.

Los clientes de SSLmarket pueden utilizar este enfoque sin una configuración complicada: los datos EAB necesarios están disponibles en la cuenta de cliente y DC-ACME se puede implementar utilizando los scripts de instalación oficiales. Para organizaciones que buscan una solución estable y predecible para la automatización de certificados, es un paso interesante y práctico hacia adelante.