SSL de dominio personalizado

Emitimos y renovamos certificados SSL automáticamente mediante Let's Encrypt. Qué hacer si algo parece incorrecto.

El SSL en dominios personalizados se gestiona de forma automática. No hay ningún certificado que comprar, ningún archivo PEM que cargar ni ningún recordatorio de renovación en el calendario.

Cómo funciona

  1. Usted agrega un dominio personalizado mediante DNS de dominio personalizado.
  2. Su CNAME apunta a <su-subdominio>.nura24.com.
  3. Nuestro proxy de borde (Caddy) detecta una solicitud para el nuevo nombre de host, solicita un certificado de Let's Encrypt, completa el desafío HTTP-01 sirviendo la respuesta en el puerto 80 y comienza a usar el certificado para HTTPS.
  4. Cada 60 días, el proxy renueva el certificado antes de su vencimiento.

Esto ocurre en segundos después de que el CNAME se resuelve correctamente. No hay ningún botón en Nura24 que deba presionar.

Verificar que el SSL está activo

Abra https://support.acme.com en un navegador. Debería ver:

  • Un candado verde válido (sin advertencias de certificado).
  • El emisor del certificado es Let's Encrypt.
  • El sujeto es su dominio personalizado.

También puede verificarlo desde la línea de comandos:

openssl s_client -connect support.acme.com:443 -servername support.acme.com < /dev/null 2>/dev/null | openssl x509 -noout -subject -issuer -dates

Qué puede salir mal

  • El CNAME no resuelve — no se puede emitir el certificado (el desafío HTTP-01 falla). Verifique primero el DNS.
  • El proxy de Cloudflare está activado — la nube naranja bloquea nuestro desafío HTTP-01. Desactive el proxy para el subdominio (solo DNS / nube gris).
  • Límites de tasa de Let's Encrypt — si ha solicitado certificados para el mismo dominio muchas veces en una semana (50 por cada 168 horas), las solicitudes adicionales fallan hasta que se restablece la ventana. Esto generalmente solo ocurre si está eliminando y agregando el dominio repetidamente.
  • Registro CAA incorrecto — si tiene un registro CAA en acme.com que excluye a Let's Encrypt, nuestra solicitud es rechazada. Elimine el registro CAA o agregue 0 issue "letsencrypt.org".

Lo que NUNCA debe hacer

  • No intente instalar su propio certificado — no hay interfaz para ello, y nuestro borde entraría en conflicto con cualquier certificado personalizado.
  • No use un proxy a través de una CDN que elimine HTTP (necesitamos el puerto 80 para el desafío). Cloudflare con proxy desactivado está bien.
  • No cambie el destino del CNAME. Siempre debe apuntar a su-subdominio.nura24.com, nunca a una IP fija.

Vencimiento del SSL

Los certificados son válidos por 90 días. Nosotros los renovamos a los 60 días, mucho antes del vencimiento. Si la renovación falla por algún motivo (interrupción de la autoridad de certificación, configuración incorrecta del DNS), le avisaremos a través del panel del espacio de trabajo antes de que el certificado expire.

Certificados personalizados / EV

No están soportados. Solo utilizamos certificados de validación de dominio de Let's Encrypt. Si su cumplimiento normativo requiere un certificado EV de una CA específica, Nura24 puede no ser la plataforma adecuada — comuníquese con nosotros y lo analizamos caso por caso.