IBM Cloud Docs
Gestione dei certificati edge

Gestione dei certificati edge

IBM Cloud® Internet Services offre tre tipi di certificati edge: Universal, Advanced e Custom.

Certificati universali

Per impostazione predefinita, CIS emette certificati SSL gratuiti, non condivisi e pubblicamente attendibili a tutti i domini aggiunti in CIS. Per questi certificati universali, CIS controlla i periodi di validità e le autorità di certificazione (CA), assicurandosi che si verifichino sempre i rinnovi. I certificati universali emessi da Let's Encrypt o da Google Trust Services hanno un periodo di validità di 90 giorni.

CIS può cambiare la CA dei certificati Universal senza preavviso e non vi informerà di tali modifiche. Se preferite scegliere la vostra autorità di certificazione, ordinate un certificato avanzato.

Certificati avanzati

I certificati avanzati offrono un metodo flessibile e personalizzabile per emettere e gestire i certificati. Utilizzare i certificati avanzati quando si desidera qualcosa di più personalizzabile rispetto a Universal SSL, ma si desidera comunque la comodità dell'emissione e del rinnovo dei certificati SSL.

I certificati avanzati vengono ordinati direttamente tramite CIS.

Periodi di validità e rinnovo dei certificati per i certificati universali e avanzati

I certificati universali sono sempre validi per 90 giorni e vengono rinnovati automaticamente 30 giorni prima della scadenza.

Utilizzando i certificati avanzati, è possibile selezionare la validità e le date di rinnovo automatico come mostrato nella tabella seguente.

CIS periodi di validità del certificato
Periodo di validità del certificato Periodo di rinnovo automatico Dettagli
3 mesi 30 giorni
1 mese 7 giorni Non supportato da Let's Encrypt
2 settimane 3 giorni Non supportato da Let's Encrypt

I periodi di rinnovo sono automatizzati sul backend e non possono essere personalizzati.

Certificati di backup

Se il CIS fornisce un DNS autoritario per il vostro dominio, CIS emetterà un certificato SSL universale di backup per ogni certificato universale standard emesso.

I certificati di backup sono confezionati con una chiave privata diversa ed emessi da un'autorità di certificazione diversa - Google Trust Services, Let's Encrypt, Sectigo o SSL.com- rispetto al certificato SSL universale primario del vostro dominio.

Questi certificati di backup non vengono normalmente distribuiti, ma saranno distribuiti automaticamente dal CIS in caso di revoca del certificato o di compromissione della chiave.

Autorità di certificazione (CA, Certificate Authority)

Per i certificati attendibili pubblicamente, Cloudflare collabora con diverse autorità di certificazione (CA). È possibile selezionare le seguenti CA CIS:

  • Let's Encrypt
  • Google Trust Services
  • SSL.com
    • Supporta periodi di validità di 14, 30 e 90 giorni
      • il periodo di validità di 1 anno è disponibile per i clienti Enterprise
    • I token DCV sono validi per 14 giorni
    • Documentazione di compatibilità
  • DigiCert deprecato
  • Settigine
    • Utilizzato solo per i certificati di backup quando CIS fornisce DNS autorevoli per il tuo dominio
    • Supporta periodi di validità di 90 giorni
    • Documentazione di compatibilità

Certificati personalizzati

I certificati personalizzati sono per i clienti che desiderano utilizzare i propri certificati SSL. Carichi questi certificati in CIS.

A differenza dei certificati universali o avanzati, CIS non gestisce l'emissione o il rinnovo dei certificati personalizzati. L'utente è responsabile del caricamento, dell'aggiornamento e della traccia delle date di scadenza dei certificati personalizzati.

Mancato rinnovo e sostituzione del certificato

Per i certificati gestiti da CIS, i tentativi di rinnovamento iniziano dal periodo di rinnovo automatico e continuano fino a 24 ore prima della scadenza. Se non è possibile rinnovare un certificato ed esiste un altro certificato valido per il nome host, CIS distribuisce il certificato valido nelle ultime 24 ore.

Registri della CAA

UN Record DNS di autorizzazione dell'autorità di certificazione(CAA). specifica quali autorità di certificazione (CA) sono autorizzate a emettere certificati per un dominio. Questo record riduce la possibilità di emissione di certificati non autorizzati e promuove la standardizzazione all'interno dell'organizzazione.

La tabella seguente elenca il contenuto dei record CAA per ciascuna CA:

Contenuto del record CAA per ogni CA
Autorità di certificazione Contenuto del record CAA
Let's Encrypt letsencrypt.org
Google Trust Services pki.goog; cansignhttpexchanges=yes
SSL.com ssl.com
DigiCert digicert.com; cansignhttpexchanges=yes
Settigine sectigo.com

Stati dei certificati

Ogni stato del certificato descrive la fase del processo di emissione e può variare a seconda del tipo di certificato.

Nuovi stati dei certificati

Quando si ordina un nuovo certificato, che si tratti di un certificato edge o di un certificato utilizzato per un hostname personalizzato, il suo stato passa attraverso varie fasi durante il passaggio alla rete globale.

  1. Inizializzazione
  2. In attesa di convalida
  3. In attesa di emissione
  4. In attesa di distribuzione
  5. Attivo

Dopo aver emesso un certificato, questo si sposta in In attesa di convalida e passa ad Attivo al termine della convalida. Se vengono visualizzati errori, potrebbe essere necessario intraprendere altre azioni per convalidare il certificato.

Se si disattiva un certificato, questo passa allo stato Disattivante e poi Inattivo.

Stati dei certificati personalizzati

Quando si utilizza un certificato personalizzato e lo stato della zona è In attesa o Spostato, il certificato potrebbe avere uno stato di Distribuzione in attesa.

Quando la zona diventa attiva, il certificato personalizzato viene distribuito automaticamente e passa allo stato Attivo. Tuttavia, se la zona è già attiva quando si carica un certificato personalizzato, questo stato non viene visualizzato.

Stati dei certificati in fase di preparazione

Quando si creano certificati nell'ambiente di staging, questi certificati hanno un proprio set di stati.

  • Installazione provvisoria: Simile a Pending Deployment, ma per i certificati di staging.
  • Staging attivo: Simile ad Active, ma per i certificati di staging.
  • Disattivazione: Il vostro certificato di staging sta per diventare inattivo.
  • Inattivo: Il certificato di staging non è sul bordo, ma è possibile distribuirlo se necessario.

Stati dei certificati dei clienti

Quando si utilizzano i certificati client, questi ultimi hanno una propria serie di stati:

  • Attivo: Il certificato del client è attivo.
  • Revocato: Il certificato del client è stato revocato.
  • In attesa di riattivazione: Il certificato del client è stato revocato, ma è in fase di ripristino.
  • In attesa di revoca: Il certificato del client era attivo, ma è in fase di revoca.