Gestione dei certificati edge
I certificati Edge sono certificati TLS che vengono presentati agli utenti quando accedono al tuo dominio tramite HTTPS. Questi certificati proteggono la connessione tra il browser e la rete periferica di IBM Cloud® Internet Services. CIS offre tre tipi di certificati periferici: Universal, Advanced e Custom.
Certificati universali
Per impostazione predefinita, CIS emette certificati SSL gratuiti, non condivisi e pubblicamente attendibili a tutti i domini aggiunti in CIS. Per questi certificati universali, CIS controlla i periodi di validità e le autorità di certificazione (CA), assicurandosi che si verifichino sempre i rinnovi. I certificati universali emessi da Let's Encrypt o da Google Trust Services hanno un periodo di validità di 90 giorni.
CIS può modificare la CA dei certificati Universal senza preavviso e ti notifica tali modifiche. Se preferite scegliere la vostra autorità di certificazione, ordinate un certificato avanzato.
Per modificare le impostazioni del certificato universale dall'API, consulta Abilita o disabilita certificato universale. Tenere presente che questo certificato è abilitato per impostazione predefinita e deve rimanere abilitato a meno che non sia già configurato un altro certificato valido.
Certificati avanzati
I certificati avanzati offrono un metodo flessibile e personalizzabile per emettere e gestire i certificati. Utilizzare i certificati avanzati quando si desidera qualcosa di più personalizzabile rispetto a Universal SSL, ma si desidera comunque la comodità dell'emissione e del rinnovo dei certificati SSL.
La differenza tra i due è che i certificati universali sono emessi automaticamente da CIS con una validità fissa di 90 giorni e autorità di certificazione auto-selezionate. Tuttavia, con i certificati avanzati è possibile scegliere l'autorità di certificazione, selezionare diversi periodi di validità, come 14, 30, 90 o addirittura 365 giorni, e configurare l'inizio dei rinnovi. I certificati avanzati supportano anche un maggiore controllo sulla convalida del dominio e sono più adatti agli ambienti che richiedono conformità, politiche di sicurezza più rigide o integrazione in flussi di lavoro automatizzati.
I certificati avanzati vengono ordinati direttamente tramite CIS.
Periodi di validità e rinnovo del certificato per i certificati universali e avanzati
I certificati universali sono sempre validi per 90 giorni e vengono rinnovati automaticamente 30 giorni prima della scadenza.
Utilizzando i certificati avanzati, è possibile selezionare le date di validità e di rinnovo automatico come indicato nella tabella seguente.
| Periodo di validità del certificato | Periodo di rinnovo automatico | Dettagli |
|---|---|---|
| 3 mesi | 30 giorni | |
| 1 mese | 7 giorni | Non supportato da Let's Encrypt |
| 2 settimane | 3 giorni | Non supportato da Let's Encrypt |
I periodi di rinnovo sono automatizzati sul backend e non possono essere personalizzati.
Certificati di backup
Se CIS fornisce un DNS autoritario per il vostro dominio, CIS emette un certificato SSL universale di backup per ogni certificato universale standard emesso.
I certificati di backup sono confezionati con una chiave privata diversa ed emessi da un'autorità di certificazione diversa. Ad esempio, questi certificati sono emessi da Google Trust Services, Let's Encrypt, Sectigo o SSL.com invece del certificato SSL universale primario del vostro dominio.
Questi certificati di backup non vengono normalmente distribuiti, ma vengono distribuiti automaticamente da CIS quando un certificato viene revocato o quando una chiave viene compromessa.
Certificati personalizzati
I certificati personalizzati sono per i clienti che desiderano utilizzare i propri certificati SSL. Carichi questi certificati in CIS.
A differenza dei certificati universali o avanzati, CIS non gestisce l'emissione o il rinnovo dei certificati personalizzati. L'utente è responsabile del caricamento, dell'aggiornamento e della traccia delle date di scadenza dei certificati personalizzati.
Il numero di certificati che puoi utilizzare dipende dal tuo piano. Per ulteriori informazioni, consulta il confronto tra i piani dell' CIS. Se avete bisogno di più, inviate un caso di assistenza. Vedere Creazione di casi di supporto
Selezione dei certificati per un nome host
CIS applica i certificati TLS a un nome host valutando diversi criteri in un ordine definito. Questo processo garantisce che per ogni richiesta venga utilizzato il certificato più specifico e appropriato.
Ordine di selezione dei certificati
Per un nome host specifico, CIS determina quale certificato presentare utilizzando le seguenti regole di precedenza:
-
Specificità del nome host: un certificato di sottodominio specifico (
www.example.com) ha la precedenza su un certificato wildcard (*.example.com) per le richieste awww.example.com. -
Specificità della zona: un certificato di sottodominio specifico (
www.example.com) ha la precedenza su un certificato di nome host personalizzato quando il dominio è attivo come zona in CIS. -
Priorità dei certificati: quando più certificati corrispondono allo stesso nome host, CIS seleziona il certificato in base al suo livello di priorità.
priorità tipo certificato Priorità Tipo di certificato 1 Certificati personalizzati 2 Certificati avanzati 3 Certificati universali -
Scadenza del certificato: se sono ancora validi più certificati, CIS presenta il certificato emesso più di recente. Se un certificato viene rimosso, CIS seleziona il certificato rimanente con la data di scadenza più recente.
Quando CIS rinnova un certificato, al certificato rinnovato viene assegnata una nuova data di scadenza. Di conseguenza, CIS presenta il certificato rinnovato perché ora ha la data di scadenza più recente.
Mancato rinnovo e sostituzione del certificato
Per i certificati gestiti da CIS, i tentativi di rinnovamento iniziano dal periodo di rinnovo automatico e continuano fino a 24 ore prima della scadenza. Se non è possibile rinnovare un certificato ed esiste un altro certificato valido per il nome host, CIS distribuisce il certificato valido nelle ultime 24 ore.
Registri della CAA
UN Record DNS di autorizzazione dell'autorità di certificazione(CAA). specifica quali autorità di certificazione (CA) sono autorizzate a emettere certificati per un dominio. Questo record riduce la possibilità di emissione di certificati non autorizzati e promuove la standardizzazione all'interno dell'organizzazione.
La tabella seguente elenca il contenuto dei record CAA per ciascuna CA:
| Autorità di certificazione | Contenuto del record CAA |
|---|---|
| Let's Encrypt | letsencrypt.org |
| Google Trust Services | pki.goog; cansignhttpexchanges=yes |
| SSL.com | ssl.com |
| DigiCert | digicert.com; cansignhttpexchanges=yes |
| Sectigo | sectigo.com |
Stati dei certificati
Ogni stato del certificato descrive la posizione attuale nel processo di emissione e può variare a seconda del tipo di certificato.
Nuovi stati dei certificati
Quando si ordina un nuovo certificato, che si tratti di un certificato edge o di un certificato per un hostname personalizzato, il suo stato passa attraverso le seguenti fasi, man mano che viene trasferito alla rete globale.
- Inizializzazione
- Convalida in sospeso
- In attesa di emissione
- In attesa di distribuzione
- Attivo
Dopo aver emesso un certificato, questo si sposta in In attesa di convalida e passa ad Attivo al termine della convalida. Se vengono visualizzati errori, potrebbe essere necessario intraprendere altre azioni per convalidare il certificato.
Se si disattiva un certificato, questo passa allo stato Disattivante e quindi allo stato Inattivo.
Stati dei certificati personalizzati
Quando si utilizza un certificato personalizzato e lo stato della zona è In attesa o Spostato, il certificato potrebbe avere uno stato di Distribuzione in attesa.
Quando la zona diventa attiva, il certificato personalizzato viene distribuito automaticamente e passa allo stato Attivo. Tuttavia, se la zona è già attiva quando si carica un certificato personalizzato, questo stato non viene visualizzato.