Gestione dei certificati edge
IBM Cloud® Internet Services offre tre tipi di certificati edge: Universal, Advanced e Custom.
Certificati universali
Per impostazione predefinita, CIS emette certificati SSL gratuiti, non condivisi e pubblicamente attendibili a tutti i domini aggiunti in CIS. Per questi certificati universali, CIS controlla i periodi di validità e le autorità di certificazione (CA), assicurandosi che si verifichino sempre i rinnovi. I certificati universali emessi da Let's Encrypt o da Google Trust Services hanno un periodo di validità di 90 giorni.
CIS può cambiare la CA dei certificati Universal senza preavviso e non vi informerà di tali modifiche. Se preferite scegliere la vostra autorità di certificazione, ordinate un certificato avanzato.
Certificati avanzati
I certificati avanzati offrono un metodo flessibile e personalizzabile per emettere e gestire i certificati. Utilizzare i certificati avanzati quando si desidera qualcosa di più personalizzabile rispetto a Universal SSL, ma si desidera comunque la comodità dell'emissione e del rinnovo dei certificati SSL.
I certificati avanzati vengono ordinati direttamente tramite CIS.
Periodi di validità e rinnovo dei certificati per i certificati universali e avanzati
I certificati universali sono sempre validi per 90 giorni e vengono rinnovati automaticamente 30 giorni prima della scadenza.
Utilizzando i certificati avanzati, è possibile selezionare la validità e le date di rinnovo automatico come mostrato nella tabella seguente.
| Periodo di validità del certificato | Periodo di rinnovo automatico | Dettagli |
|---|---|---|
| 3 mesi | 30 giorni | |
| 1 mese | 7 giorni | Non supportato da Let's Encrypt |
| 2 settimane | 3 giorni | Non supportato da Let's Encrypt |
I periodi di rinnovo sono automatizzati sul backend e non possono essere personalizzati.
Certificati di backup
Se il CIS fornisce un DNS autoritario per il vostro dominio, CIS emetterà un certificato SSL universale di backup per ogni certificato universale standard emesso.
I certificati di backup sono confezionati con una chiave privata diversa ed emessi da un'autorità di certificazione diversa - Google Trust Services, Let's Encrypt, Sectigo o SSL.com- rispetto al certificato SSL universale primario del vostro dominio.
Questi certificati di backup non vengono normalmente distribuiti, ma saranno distribuiti automaticamente dal CIS in caso di revoca del certificato o di compromissione della chiave.
Certificati personalizzati
I certificati personalizzati sono per i clienti che desiderano utilizzare i propri certificati SSL. Carichi questi certificati in CIS.
A differenza dei certificati universali o avanzati, CIS non gestisce l'emissione o il rinnovo dei certificati personalizzati. L'utente è responsabile del caricamento, dell'aggiornamento e della traccia delle date di scadenza dei certificati personalizzati.
Mancato rinnovo e sostituzione del certificato
Per i certificati gestiti da CIS, i tentativi di rinnovamento iniziano dal periodo di rinnovo automatico e continuano fino a 24 ore prima della scadenza. Se non è possibile rinnovare un certificato ed esiste un altro certificato valido per il nome host, CIS distribuisce il certificato valido nelle ultime 24 ore.
Registri della CAA
UN Record DNS di autorizzazione dell'autorità di certificazione(CAA). specifica quali autorità di certificazione (CA) sono autorizzate a emettere certificati per un dominio. Questo record riduce la possibilità di emissione di certificati non autorizzati e promuove la standardizzazione all'interno dell'organizzazione.
La tabella seguente elenca il contenuto dei record CAA per ciascuna CA:
| Autorità di certificazione | Contenuto del record CAA |
|---|---|
| Let's Encrypt | letsencrypt.org |
| Google Trust Services | pki.goog; cansignhttpexchanges=yes |
| SSL.com | ssl.com |
| DigiCert | digicert.com; cansignhttpexchanges=yes |
| Settigine | sectigo.com |
Stati dei certificati
Ogni stato del certificato descrive la fase del processo di emissione e può variare a seconda del tipo di certificato.
Nuovi stati dei certificati
Quando si ordina un nuovo certificato, che si tratti di un certificato edge o di un certificato utilizzato per un hostname personalizzato, il suo stato passa attraverso varie fasi durante il passaggio alla rete globale.
- Inizializzazione
- In attesa di convalida
- In attesa di emissione
- In attesa di distribuzione
- Attivo
Dopo aver emesso un certificato, questo si sposta in In attesa di convalida e passa ad Attivo al termine della convalida. Se vengono visualizzati errori, potrebbe essere necessario intraprendere altre azioni per convalidare il certificato.
Se si disattiva un certificato, questo passa allo stato Disattivante e poi Inattivo.
Stati dei certificati personalizzati
Quando si utilizza un certificato personalizzato e lo stato della zona è In attesa o Spostato, il certificato potrebbe avere uno stato di Distribuzione in attesa.
Quando la zona diventa attiva, il certificato personalizzato viene distribuito automaticamente e passa allo stato Attivo. Tuttavia, se la zona è già attiva quando si carica un certificato personalizzato, questo stato non viene visualizzato.
Stati dei certificati in fase di preparazione
Quando si creano certificati nell'ambiente di staging, questi certificati hanno un proprio set di stati.
- Installazione provvisoria: Simile a Pending Deployment, ma per i certificati di staging.
- Staging attivo: Simile ad Active, ma per i certificati di staging.
- Disattivazione: Il vostro certificato di staging sta per diventare inattivo.
- Inattivo: Il certificato di staging non è sul bordo, ma è possibile distribuirlo se necessario.
Stati dei certificati dei clienti
Quando si utilizzano i certificati client, questi ultimi hanno una propria serie di stati:
- Attivo: Il certificato del client è attivo.
- Revocato: Il certificato del client è stato revocato.
- In attesa di riattivazione: Il certificato del client è stato revocato, ma è in fase di ripristino.
- In attesa di revoca: Il certificato del client era attivo, ma è in fase di revoca.