IBM Cloud Docs
Certificados TLS proporcionados para proyectos Code Engine

Certificados TLS proporcionados para proyectos Code Engine

las aplicaciones y funciones de "Code Engine " pueden ser públicas para Internet o privadas dentro de " IBM Cloud. En ambos casos, su aplicación o función se sirve como un punto final HTTPS bajo ' codeengine.appdomain.cloud. Code Engine proporciona el certificado TLS para el cifrado y lo rota periódicamente.

Acerca de los certificados

Una autoridad de certificación (CA) suele firmar los certificados TLS que se utilizan en Internet. De este modo, las aplicaciones cliente de todo el mundo (como los navegadores) sólo deben confiar en los certificados autorizados. Además, no requieren conocimientos sobre los certificados de los millones de sitios que existen en Internet.

Las autoridades de certificación suelen tener sólo unos pocos de los llamados certificados raíz, a veces sólo uno por algoritmo (RSA o curvas elásticas). A menudo son válidos durante más de 10 o incluso 20 años. Las autoridades de certificación utilizan la clave privada de esos certificados raíz para firmar sus propios certificados intermedios. Estos certificados intermedios tienen un breve periodo de validez, y sus claves privadas se utilizan para firmar los certificados de hoja para los usuarios.

Los dispositivos de usuario instalan almacenes de confianza, que contienen los certificados raíz de todas las autoridades de certificación auditadas y certificadas. Los sistemas operativos suelen contener almacenes de confianza que todos los programas instalados pueden utilizar. Algunos navegadores como Google Chrome o Mozilla Firefox vienen con sus propios almacenes de confianza.

Code Engine certificados y su autoridad de certificación

Code Engine configura un certificado por proyecto utilizando un nombre de host comodín y, por tanto, se aplica a todas las aplicaciones y funciones que se desplieguen en ese proyecto. Los certificados son válidos durante 90 días; Code Engine los renueva automáticamente al menos diez días antes de su vencimiento.

Let's Encrypt como autoridad de certificación

Code Engine utiliza " Cifremos como autoridad de certificación para firmar certificados " Code Engine "; estos certificados utilizan el algoritmo RSA. Por lo tanto, el certificado raíz de la cadena de certificados es ISRG Root X1. Cualquier almacén de confianza que contenga este certificado puede utilizarse para acceder a Code Engine. Para obtener una lista de sistemas operativos y versiones de navegadores que confían en ISRG Root X1, consulte https://letsencrypt.org/docs/certificate-compatibility/#platforms-that-trust-isrg-root-x1

Si utilizas versiones anteriores de navegadores o sistemas operativos, descarga ISRG Root X1 de https://letsencrypt.org/certificates/ Instálelo en el almacén de confianza correspondiente siguiendo las instrucciones de su navegador o del proveedor de su sistema operativo.

Si quieres construir tu propio truststore, confía en ISRG Root X1, que puedes descargar de https://letsencrypt.org/certificates/

¿Necesita más control?

Let's Encrypt es una autoridad de certificación pública que cualquiera puede utilizar para firmar certificados de sus propios dominios. Por lo tanto, confiar en ISRG Root X1 significa confiar en todos estos dominios.

Si sólo necesita confiar en su propia aplicación, utilice asignaciones de dominio personalizadas, que le ofrecen un control total sobre cuándo emitir y renovar el certificado de su propio dominio. Puede configurar su aplicación cliente para que confíe sólo en el certificado hoja de su dominio. Necesita un proceso de renovación de certificados para poder cambiar a un nuevo certificado en el secreto TLS del mapeo del dominio y en su cliente sin problemas de comunicación. Normalmente, primero se emite el nuevo certificado. A continuación, se añade al almacén de confianza del cliente. Después de actualizar el secreto TLS en su proyecto Code Engine al nuevo certificado y clave, puede eliminar el certificado antiguo del almacén de confianza del cliente.