Le credenziali External Account Binding (EAB) sono chiavi di autenticazione sicure che collegano il vostro client ACME al vostro Certificate as a Service (CaaS) a pagamento di Trustico® .
Queste credenziali garantiscono che solo gli utenti autorizzati possano emettere SSL Certificates nell'ambito del vostro servizio.
EAB è un'estensione standard del protocollo ACME che consente alle Certificate Authority come Trustico® di fornire servizi a pagamento mantenendo i vantaggi di automazione di ACME.
Le credenziali EAB fungono da ponte tra il software client ACME e il servizio Trustico® prepagato, consentendo l'emissione e il rinnovo automatico di SSL Certificates senza interventi manuali.
Il vostro pacchetto di credenziali EAB
Quando si acquista il Certificate as a Service (CaaS) di Trustico®, si riceve via e-mail un pacchetto completo di credenziali contenente quattro componenti essenziali:
Trustico® ACME Account ID: l'identificativo unico del servizio utilizzato per la gestione dell'account, le estensioni e le richieste di supporto. Conservate questo ID perché vi servirà per la gestione futura del servizio.
EAB Key ID: l'identificativo unico del vostro account che indica al nostro server ACME quale account di servizio utilizzare per le richieste di SSL Certificates.
EAB MAC Key: la vostra chiave di autenticazione sicura che dimostra che siete autorizzati a utilizzare il servizio. Questa chiave deve essere mantenuta riservata.
URL del server ACME : L'endpoint del server dedicato al quale il client ACME si connetterà per richiedere e gestire gli SSL Certificates.
Generalmente inviamo queste informazioni via e-mail solo quando il Certificate as a Service (CaaS) di Trustico® viene attivato o rinnovato. Se si perde l'e-mail, si prega di parlare con il nostro team di supporto per ulteriore assistenza.
Come funzionano le credenziali EAB
Le credenziali EAB funzionano autenticando il client ACME durante il processo di registrazione dell'account. Quando il client ACME si connette per la prima volta al nostro server, utilizza l'EAB Key ID e l'EAB MAC Key per dimostrare di essere autorizzato ad accedere al servizio a pagamento.
Una volta autenticato, il client ACME può richiedere SSL Certificates per qualsiasi dominio incluso nel Certificate as a Service (CaaS) di Trustico®.
Il server ACME convalida automaticamente la proprietà del dominio e rilascia gli SSL Certificates in pochi minuti.
Le credenziali EAB rimangono attive per tutta la durata del periodo di servizio, consentendo il continuo rinnovo automatico dei SSL Certificates senza alcun intervento manuale.
Condivisione delle credenziali EAB tra più sistemi
Uno dei vantaggi principali del Certificate as a Service (CaaS) di Trustico® è che le credenziali EAB possono essere condivise tra più client e server ACME. Ciò significa che è possibile utilizzare le stesse credenziali per proteggere più sistemi con un unico servizio.
Ad esempio, è possibile configurare i server di produzione, gli ambienti di staging, i bilanciatori di carico e i sistemi di sviluppo con le stesse credenziali EAB. Ogni sistema può richiedere e rinnovare in modo indipendente gli SSL Certificates per i domini autorizzati.
Questo modello di credenziali condivise elimina la necessità di acquistare servizi separati per ogni server, mantenendo la sicurezza grazie a pratiche di gestione delle credenziali adeguate.
Autorizzazione dei domini e SSL Certificates illimitati
Le credenziali EAB sono collegate a domini specifici acquistati tramite Certificate as a Service (CaaS) di Trustico®. Una volta che un dominio è autorizzato nel vostro servizio, potete emettere un numero illimitato di SSL Certificates per quel dominio e le sue varianti incluse.
Questo include il dominio principale, il sottodominio www e qualsiasi sottodominio coperto da SSL Certificates. Il cliente ACME può richiedere nuovi SSL Certificates quando necessario, senza costi aggiuntivi.
Se avete bisogno di proteggere altri domini oltre al vostro attuale servizio, è sufficiente acquistare un altro Certificate as a Service (CaaS) di Trustico® per tali domini, che verrà fornito con il proprio set di credenziali EAB.
Configurazione del client ACME
I client ACME più diffusi supportano le credenziali EAB attraverso parametri della riga di comando o file di configurazione. L'esatto processo di configurazione varia a seconda del client, ma le informazioni di base rimangono le stesse.
Per Certbot: utilizzare i parametri --eab-kid e --eab-hmac-key insieme a --server per specificare l'URL del server ACME durante la registrazione dell'account.
Per acme.sh : Impostare le variabili d'ambiente ACME_EAB_KID e ACME_EAB_HMAC_KEY, quindi specificare l'URL del server con il parametro --server.
Consultare la documentazione del client per le opzioni di configurazione EAB. Tutti i client ACME standard supportano le credenziali EAB attraverso meccanismi simili.
Migliori pratiche di sicurezza per le credenziali EAB
Le credenziali EAB forniscono l'accesso al Certificate as a Service (CaaS) di Trustico® a pagamento e devono essere protette con gli stessi standard di sicurezza delle chiavi API o delle password.
Memorizzare la chiave MAC EAB in variabili d'ambiente o in sistemi di gestione delle credenziali sicuri. Non impegnare mai queste credenziali in repository di codice, file di configurazione o qualsiasi altro archivio non crittografato.
L'ID della chiave EAB è meno sensibile, ma deve comunque essere trattato come un'informazione riservata. Entrambe le credenziali insieme forniscono l'accesso al vostro servizio, quindi proteggetele di conseguenza.
Verificate regolarmente quali sistemi hanno accesso alle vostre credenziali EAB e rimuovete l'accesso dai server dismessi o dagli ambienti di sviluppo che non necessitano più dell'accesso a SSL Certificates.
Risoluzione dei problemi di autenticazione EAB
Se il client ACME non riesce ad autenticarsi con le credenziali EAB, verificare che si stia utilizzando l'URL del server ACME corretto fornito nell'e-mail delle credenziali. L'utilizzo di un URL del server diverso comporta il fallimento dell'autenticazione.
Assicurarsi che l'ID chiave EAB e la chiave MAC EAB siano copiate esattamente come fornite, senza spazi o interruzioni di riga aggiuntivi. Queste credenziali sono sensibili alle maiuscole e devono corrispondere esattamente.
Verificare che il Certificate as a Service (CaaS) di Trustico® sia attivo e non sia scaduto. I servizi scaduti rifiutano i tentativi di autenticazione EAB finché non vengono rinnovati.
Se si continuano a riscontrare problemi, contattare il nostro team di supporto con il proprio Trustico® ACME Account ID per assistenza nella verifica delle credenziali e nella risoluzione dei problemi.
Gestione del servizio con le credenziali EAB
L'ID account Trustico® ACME è essenziale per tutte le attività di gestione del servizio oltre all'emissione di SSL Certificates. Utilizzate questo ID quando estendete il vostro servizio, richiedete assistenza o gestite il vostro account attraverso il nostro sito web o API.
Le estensioni del servizio possono essere acquistate prima della scadenza per garantire la funzionalità continua del SSL Certificates. Le credenziali EAB continueranno a funzionare senza problemi anche dopo il rinnovo del servizio, senza necessità di riconfigurazione.
Mantenete il vostro ID account ACME di Trustico® facilmente accessibile per le attività di gestione del servizio, ma ricordate che la vostra MAC Key EAB deve rimanere riservata ed essere utilizzata solo per la configurazione del client ACME.
Ciclo di vita delle credenziali EAB
Le credenziali EAB rimangono valide per tutta la durata del Certificate as a Service (CaaS) attivo di Trustico®. Diventano automaticamente inattive alla scadenza del servizio, impedendo l'emissione non autorizzata di SSL Certificates.
Quando si estende il servizio, le credenziali EAB esistenti continuano a funzionare senza dover apportare modifiche alla configurazione del client ACME. Ciò garantisce la continuità delle operazioni di SSL Certificates durante i rinnovi del servizio.
Se avete bisogno di nuove credenziali EAB per motivi di sicurezza, contattate il nostro team di supporto con il vostro Trustico® ACME Account ID per discutere le opzioni di rotazione delle credenziali.
Ottenere assistenza per l'impostazione di EAB
Il nostro team di assistenza è a disposizione per fornire informazioni generali sulla configurazione del client ACME con le credenziali EAB.
Quando si contatta l'assistenza, includere sempre il numero d'ordine e l'ID dell'account ACME di Trustico® per un'assistenza più rapida.
Non condividete mai la vostra EAB MAC Key nelle comunicazioni con l'assistenza: il nostro team può verificare le vostre credenziali senza dover vedere i valori effettivi della chiave.
Continuità del servizio e rinnovo
L'installazione e la gestione automatizzata di SSL Certificates attraverso il Certificate as a Service (CaaS) di Trustico® funziona senza problemi solo finché il tuo servizio a pagamento rimane attivo.
Il vostro client ACME continuerà a rinnovare automaticamente gli SSL Certificates e a mantenere una protezione continua finché l'abbonamento al servizio sarà attivo.
Per garantire una gestione dei certificati SSL senza interruzioni, è essenziale rinnovare il proprio Certificate as a Service (CaaS) di Trustico® prima della scadenza o considerare la possibilità di impostare la fatturazione automatica per una continuità del servizio senza interruzioni.
Se il vostro servizio scade, il vostro client ACME non sarà in grado di rinnovare gli SSL Certificates, portando potenzialmente alla scadenza del Certificato SSL e al downtime del sito web fino al ripristino del servizio.
In offerta CaaS
In offerta CaaS
