Comparación de clientes ACME y ayuda para elegir un cliente para EAB ACME
¿Qué es el protocolo ACME y el cliente ACME?
ACME (Entorno Automatizado de Gestión de Certificados) es un protocolo que permite la emisión, renovación y gestión totalmente automatizada de certificados SSL/TLS. En la práctica, elimina la necesidad de generar solicitudes manualmente (CSR), verificar dominios e instalar certificados, lo que simplifica significativamente todo el proceso y reduce el riesgo de errores. ACME se comunica directamente con la autoridad certificadora y utiliza desafíos estandarizados (por ejemplo, HTTP-01 o DNS-01) para verificar que el solicitante realmente posee el dominio en cuestión. Gracias a esto, los certificados pueden obtenerse en cuestión de segundos y también renovarse automáticamente regularmente antes de la expiración.
El cliente ACME es una herramienta o software que implementa este protocolo en el lado del usuario. Su tarea es comunicarse con el servidor ACME (por ejemplo, la autoridad certificadora), generar claves, resolver desafíos de validación e instalar certificados emitidos en el servidor o infraestructura. Entre los conocidos clientes ACME se encuentran Certbot, acme.sh o herramientas integradas en plataformas de alojamiento modernas. Un cliente ACME correctamente configurado permite un funcionamiento totalmente desatendido: los certificados se emiten y renuevan automáticamente, lo que es una solución ideal para entornos escalables y gestión segura de servicios web.
Resumen de funciones de clientes ACME
Todos los clientes ACME mencionados en la tabla pueden verificar automáticamente y emitir certificados usando ACME, incluyendo la integración con DigiCert EAB. Esto es un requisito básico para el uso del cliente ACME y si no pudiera hacerlo, no tiene sentido incluirlo en el resumen.
| Cliente | Información básica y complejidad | Automatización de certificados | Parámetros técnicos | Resumen | |||||
|---|---|---|---|---|---|---|---|---|---|
| Sistema operativo | Soporte EAB ACME | Método de instalación | Instalación en servidor | Planificación de renovación | Soporte DNS API | Lenguaje | Probado | Adecuado para | |
| Certbot | Linux, macOS | ✅ Sí | Paquete del sistema (apt / snap) | ✅ Completo (Apache, Nginx) | ✅ Automático (temporizador de systemd) | 50+ (plugins) ⚡ | Python | SÍ | Recomendado, servidores web Linux (Apache / Nginx) |
| win-acme | Windows Server | ✅ Sí | Asistente de instalación (.exe) | ✅ Completo (IIS) | ✅ Automático (Programador de tareas) | 30+ ⚡ | C# (.NET) | SÍ | Windows Server / IIS |
| Certify The Web | Windows | ✅ Sí | Instalador (.msi) | ✅ Completo (IIS, Exchange, SQL, API) | ✅ Automático (servicio propio) | 100+ (incluidos scripts locales) | C# (.NET) | SÍ | Principiantes en Windows, tiene GUI y post-procesamiento |
| SimpleACME (WACS) | Windows Server | ✅ SÍ | Zip / Binario .exe | ✅ Completo (IIS, RDS, Exchange) | ✅ Automático (Programador de tareas) | 40+ (incl. plugins Posh-ACME) ⚡ | C# (.NET) | SÍ | Sucesor de win-acme para Windows/IIS |
| Cert-manager | Kubernetes (Linux) | ✅ Sí | Helm chart / Manifiestos | ✅ Completo (Ingress / Gateway API) | ✅ Automático (bucle de controlador) | 60+ (nativamente + plugins) | Go | NO | Entornos Kubernetes y Cloud-native |
| acme.sh | Linux, macOS, Unix | ✅ Sí | Script de instalación (curl) | ⚙️ Parcial (gancho de implementación) | ✅ Automático (cron) | 150+ (nativamente) ⚡ | Shell (Bash) | SÍ | Recomendado, ideal para automatización DNS y DevOps |
| Lego | Linux, macOS, Windows | ✅ Sí | Descarga de archivo binario | ⚙️ Parcial (gancho de implementación) | ⚙️ Necesario configurar un programador externo | 180+ (nativamente) ⚡ | Go | SÍ | Cloud, Docker, CI/CD |
| Posh-ACME | Windows, Linux (PS Core) | ✅ Sí | Galería de PowerShell | ⚙️ Parcial (scripts) | ✅ Automático (Programador de tareas) | 100+ | PowerShell | Automatización y scripting en Windows | |
| dc-acme | Linux, Windows | ✅ Sí | Script de instalación (curl / PS) | ⚙️ Parcial (Filesystem / Custom handlers) | ✅ Automático (servicio del sistema) | UltraDNS, Cloudflare, Route53, Azure | Java / TOML | Entornos Enterprise (DigiCert MPKI / ONE) | |
✅ Totalmente automático: todo se lleva a cabo sin intervención del usuario.
⚙️ Parcialmente automático: requiere configuración manual o script.
⚡ Puede usar un plugin DNS para CZECHIA.COM/RegZone; ya sea en el proyecto o independientemente en GitHub.
Cómo elegir el cliente ACME adecuado
La elección del cliente ACME depende de los objetivos que tengas. Puedes simplemente querer emitir el certificado y trabajar con él manualmente o mediante scripts, o quieres configurar la completa automatización del ciclo de vida del certificado en el servidor web y olvidarte de él. Estos son los criterios importantes para la elección.
La automatización de todo el ciclo de vida del certificado consta de varias partes que el cliente ACME debe ser capaz de resolver:
- Comunicación con la CA - para certificados OV y EV, se necesita soporte EAB ACME por parte del cliente. No todos los clientes soportan EAB; por ejemplo, la implementación nativa de ACME en nginx no soporta EAB.
- Verificación automática del dominio - cada vez que se emite un certificado se debe verificar el dominio (DCV), o el dominio debe ser pre-verificado. Sin la verificación automática del dominio, no será posible emitir certificados en el futuro.
- HTTP-01: se coloca un archivo de verificación en el servidor y la CA lo revisa, se usa el puerto 80.
- DNS-01: se configura un registro de verificación en la zona DNS del dominio. Para cambiar el registro DNS, se necesita tener un plugin para el API del proveedor DNS (Cloudflare, CZECHIA.COM).
- Emisión del certificado - los certificados DV son emitidos inmediatamente, para OV y EV la organización debe ser verificada, lo cual se soluciona mediante pre-verificación. El cliente ACME guarda el certificado emitido localmente en el disco, donde ya tiene la clave privada. Puedes trabajar con el certificado usando scripts (deploy-hook).
- Instalación/Configuración del certificado en el servidor - configurar (instalar) el certificado con el servicio correcto en el servidor web. Esto requiere manipulación y modificación de archivos de configuración + reinicio del servicio. La instalación generalmente es posible solo en servidores web Apache, nginx e IIS.
No todos los clientes ACME cumplen con todos los requisitos. Por eso hemos hecho una tabla resumen que facilita la elección.
Qué hacer si el cliente ACME no soporta mi servidor
Es típico que los clientes ACME pueden configurar el certificado emitido en los servidores web más utilizados: Apache, nginx e IIS. Usualmente, sus capacidades terminan allí. Si necesitas automatizar los certificados en un servidor que no es soportado por los clientes ACME, se necesita dividir la automatización en la fase de emisión y la fase de despliegue del certificado.
Puedes siempre automatizar la emisión usando acme.sh y DNS; así podrías emitir un certificado en cualquier máquina y no necesitas ejecutar ACME directamente en el servidor, como requiere HTTP-01. Luego deberás llevar el certificado emitido al servidor de destino y allí desplegarlo, lo cual se necesita escriturar individualmente según el tipo específico de servidor web.
Consúltalo con nuestro soporte
Si este artículo no ha respondido todas tus preguntas, no dudes en contactar a nuestro soporte de SSLmarket. Expertos en vivo están disponibles todos los días.
