Solicitud de certificados SSL en ServBay mediante ACME
ServBay permite solicitar certificados SSL/TLS para tu sitio web de desarrollo local de forma automática usando el protocolo ACME. ACME (Entorno Automatizado de Gestión de Certificados) es un protocolo estándar para la gestión automatizada del ciclo de vida de los certificados, incluyendo la solicitud, renovación y revocación. Gracias al panel de gestión ACME que ServBay ofrece, puedes configurar certificados SSL confiables para tus sitios locales de manera sencilla, lo cual es esencial para simular entornos de producción y probar funciones relacionadas con HTTPS.
Por defecto, ServBay utiliza ZeroSSL como la primera opción para emitir certificados, pero también puedes elegir libremente otras autoridades certificadoras (CA) compatibles con ACME, como Let's Encrypt o Google Trust Services.
TIP
Es fundamental utilizar certificados SSL confiables para que tu entorno de desarrollo local sea lo más parecido posible al de producción. La función ACME de ServBay hace que este proceso sea extraordinariamente simple.
Explicación de conceptos clave
Antes de empezar, es útil comprender algunos conceptos clave para aprovechar al máximo la funcionalidad ACME de ServBay:
- Protocolo ACME: Un protocolo estándar abierto para automatizar la interacción entre la autoridad certificadora (CA) y el servidor, facilitando la solicitud, renovación y administración automatizada de certificados.
- Validación DNS-01 (modo API DNS): El protocolo ACME permite varios métodos de validación de propiedad de dominio. ServBay emplea principalmente el método DNS-01, donde la CA solicita añadir un registro TXT específico al DNS del dominio. Una vez verificado que el registro es correcto y está presente, la CA confirma que tienes control del dominio. Esta modalidad presenta ventajas como:
- No requiere que el entorno de desarrollo local sea accesible públicamente por Internet.
- Permite la verificación incluso si los puertos locales 80/443 están bloqueados por el firewall o ISP.
- Vinculación de Cuenta Externa (EAB - External Account Binding): Algunas CA (como Google Trust Services o ZeroSSL) requieren vincular el cliente ACME (en este caso, acme.sh integrado en ServBay) con la cuenta registrada en la CA al solicitar un certificado por primera vez mediante EAB. Esto generalmente implica un par de Key ID y HMAC Key.
- Certificados ECC vs RSA:
- RSA: Algoritmo tradicional de cifrado, ampliamente compatible, pero requiere longitudes de clave mayores (2048 o 4096 bits) para mantener la seguridad, con mayor carga computacional.
- ECC (Criptografía de Curva Elíptica): Algoritmo moderno que proporciona el mismo nivel de seguridad, pero con claves mucho más cortas (256 o 384 bits). Los certificados ECC ofrecen mayor rendimiento, tiempos de handshake más cortos, menor uso de ancho de banda y mejor confidencialidad directa. ServBay recomienda por defecto usar ECC.
Requisitos previos
ServBay realiza la solicitud de certificados ACME mediante API DNS, por lo que no es necesario que tu sitio local sea accesible desde Internet. Antes de solicitar un certificado SSL por este método, asegúrate de cumplir con los siguientes requisitos:
- Tener un dominio propio: Debes contar con un dominio ya registrado y sobre el cual puedas modificar los registros DNS.
- Obtener la API Key de tu proveedor DNS: Durante el proceso ACME, será necesario añadir y eliminar automáticamente registros TXT para validación mediante la API DNS. Por ello, necesitas la API Key o credenciales de acceso del proveedor que gestiona el DNS de tu dominio (no necesariamente tu registrador). Para consultar los proveedores DNS compatibles y aprender cómo obtener su API KEY, consulta el apartado DNS API de la wiki oficial de
acme.sh
(en inglés): How to use DNS API. Busca el tutorial pertinente según tu proveedor de DNS. - Obtener la información EAB (si usas Google Trust Services o es tu primera vez con ZeroSSL): Si eliges Google Trust Services como CA, es necesario adquirir la EAB desde Google Cloud. Ve el documento oficial de Google Cloud (en inglés): Obtaining EAB credentials from Google Cloud. Para ZeroSSL, en la primera solicitud también puede pedirse verificación por email o API Key.
Solicitar certificados SSL vía ACME en ServBay
Sigue estos pasos para solicitar un certificado SSL para tu sitio local de desarrollo en ServBay usando el método ACME:
Abre el panel de administración de ServBay: Inicia la aplicación ServBay y accede a su panel desde el icono en la barra de menús del sistema o desde el Dock.
Navega a la gestión de certificados SSL: En la barra lateral izquierda del panel de ServBay, localiza y haz clic en la opción
SSL 证书
(Certificados SSL).Inicia la solicitud de un nuevo certificado: En la sección de certificados SSL, haz clic en el botón
+
en la esquina superior derecha y selecciona申请新证书
(Solicitar nuevo certificado).Configura la información básica del certificado:
- Nombre: Introduce un nombre identificativo para tu certificado (por ejemplo,
servbay-demo-ssl
). - Uso: Selecciona
TLS/SSL
. - Método de solicitud: Selecciona
ACME
.
- Nombre: Introduce un nombre identificativo para tu certificado (por ejemplo,
Elige la autoridad certificadora (CA): En el menú desplegable de
签发方
(Emisor), selecciona la CA que prefieras. Por defecto esZeroSSL
, pero puedes elegirLet's Encrypt
oGoogle Trust Services
. En este ejemplo se usaráZeroSSL
.Selecciona el proveedor de API DNS: En la lista desplegable de
DNS API 提供商
(Proveedor API DNS), elige el proveedor DNS de tu dominio. En el ejemplo se utilizaCloudflare
. Recuerda que aquí debes seleccionar el servicio que realmente gestiona la zona DNS, no el mero registrador del dominio (si son distintos).Selecciona el algoritmo y longitud de clave:
- Algoritmo: Por defecto y recomendado es
ECC
por mejor rendimiento y seguridad, aunque si requieres compatibilidad con dispositivos antiguos puedes optar porRSA
. - Longitud de clave: En ECC, el valor predeterminado suele ser
384
bits, suficiente para seguridad. En RSA elige entre2048
o4096
bits.
- Algoritmo: Por defecto y recomendado es
Configura la información de validación: Dependiendo de la CA y el proveedor DNS elegidos, aparecerán los campos correspondientes para rellenar la información necesaria.
- Para ZeroSSL, probablemente se requiera tu email.
- Para Cloudflare DNS API, introduce tu API Key u otras credenciales requeridas. Consulta con detalle la información específica para cada proveedor en la Wiki de
acme.sh
.
WARNING
Atención: pega solo el valor de la API Key o clave secreta, NO incluyas el prefijo del comando shell como
export
en el campo de ingreso.Indica el dominio: En el campo
域名
(Dominio), introduce el dominio para el que solicitas el certificado (por ejemplo,servbay.demo
o*.servbay.demo
). Si deseas un certificado wildcard (como*.servbay.demo
), confirma primero que tu proveedor DNS soporta la automatización de registros TXT wildcard.Inicia la solicitud: Revisa que todos los datos sean correctos y haz clic en el botón
请求
(Solicitar). ServBay utilizará la herramienta integradaacme.sh
para validar automáticamente tu dominio a través de la API DNS elegida y solicitar el certificado a la CA.
El proceso de solicitud puede tomar algunos minutos, dependiendo de la propagación DNS y el tiempo de respuesta de la CA. Puedes monitorear el progreso en los registros de ServBay o en la lista de certificados. Una vez aprobado, el nuevo certificado aparecerá en el listado de SSL 证书
(Certificados SSL).
Usar el certificado en la configuración del sitio en ServBay
Una vez obtenido el certificado ACME, aplícalo a un sitio web configurado en ServBay siguiendo estos pasos:
- Accede a la opción
网站
(Sitios) en la barra lateral del panel de administración de ServBay. - Selecciona el sitio al que deseas añadir SSL y haz clic en el botón de editar (icono de lápiz).
- En la página de configuración, busca la opción
SSL 证书
(Certificado SSL). - En el menú desplegable, selecciona el certificado ACME que acabas de solicitar.
- Verifica que el interruptor
启用 SSL
(Habilitar SSL) esté activado. - Guarda la configuración del sitio. Ahora tu web debe estar accesible vía HTTPS.
Renovación de certificados ACME
Los certificados expedidos por ACME (como los de Let's Encrypt o ZeroSSL) suelen tener una validez de 90 días. Para que tu web siga disponiendo de HTTPS funcional, debes renovar el certificado antes de que expire.
ServBay monitoriza automáticamente la validez de todos los certificados obtenidos mediante ACME. Cuando detecta que uno está próximo a caducar, intentará renovarlo usando la información de API DNS que configuraste previamente.
Bajo condiciones normales, siempre que las credenciales de tu API DNS sean válidas y el servicio DNS esté operativo, no necesitas intervenir manualmente en la renovación; ServBay se encargará de todo en segundo plano.
Preguntas frecuentes (FAQ) y solución de problemas
- ¿La solicitud falla y el error indica un fallo de validación DNS?
- Revisa cuidadosamente que la credencial API del DNS sea correcta y tenga permisos suficientes para modificar registros TXT.
- Comprueba que el proveedor DNS seleccionado en ServBay es realmente el que gestiona tu resolución DNS.
- Recuerda que la propagación de nuevos registros DNS puede demorar varios minutos (o más). Intenta de nuevo pasados unos minutos.
- Asegúrate que el nombre de dominio esté correctamente escrito.
- ¿La solicitud falla por errores relacionados con EAB?
- Si usas Google Trust Services o es tu primer intento con ZeroSSL, verifica que hayas obtenido y completado correctamente la información EAB.
- Si antes funcionaba y ahora falla, puede que la EAB esté caducada o inválida; obtén una nueva.
- ¿La solicitud falla por alcanzar el límite de velocidad (Rate Limit)?
- Las CA limitan el número de certificados que puedes solicitar por dominio o IP en un cierto periodo. Si has hecho solicitudes repetidas o múltiples en poco tiempo, podrías haber excedido este límite. Espera unas horas o días y luego reinténtalo.
- ¿La solicitud fue exitosa pero el navegador sigue indicando el sitio como no seguro?
- Confirma que aplicaste el nuevo certificado al sitio y activaste SSL en la configuración de ServBay.
- Intenta borrar la caché del navegador o accede en modo incógnito.
- Comprueba el archivo hosts local u otras configuraciones de red, asegurando que apunten correctamente a ServBay.
- ¿Cuándo realiza ServBay la renovación automática? ServBay empieza a intentar renovar los certificados automáticamente un cierto número de días antes de su vencimiento (por ejemplo, 30 días). Mientras la aplicación esté ejecutándose y tengas conexión a Internet, la renovación ocurre en segundo plano de manera automática.
Resumen
ServBay ofrece funcionalidad ACME potente y fácil de usar, permitiendo a los desarrolladores solicitar y gestionar certificados SSL/TLS confiables para sus sitios de desarrollo local vía API DNS. Además de simplificar el proceso de configuración de certificados, proporciona un entorno local seguro y similar al de producción, facilitando el desarrollo y prueba de aplicaciones con HTTPS.
Esperamos que este artículo te ayude a configurar y utilizar certificados SSL por ACME en ServBay, mejorando tu experiencia de desarrollo local.