Les identifiants External Account Binding (EAB) sont des clés d'authentification sécurisées qui relient votre client ACME à votre Certificate as a Service (CaaS) Trustico® payé.
Ces informations d'identification garantissent que seuls les utilisateurs autorisés peuvent émettre des SSL Certificates dans le cadre de votre service.
EAB est une extension standard du protocole ACME qui permet aux Certificate Authorities comme Trustico® de fournir des services payants tout en conservant les avantages de l'automatisation de l'ACME.
Vos informations d'identification EAB servent de pont entre votre logiciel client ACME et votre service prépayé Trustico®, permettant l'émission et le renouvellement automatiques de certificats SSL sans intervention manuelle.
Votre ensemble d'informations d'identification EAB
Lorsque vous achetez un Certificate as a Service (CaaS) de Trustico®, vous recevez par courriel un ensemble complet d'informations d'identification contenant quatre éléments essentiels :
L'identifiant de compte Trustico® ACME : Votre identifiant de service unique utilisé pour toutes les demandes de gestion de compte, d'extension et d'assistance. Conservez cet identifiant en lieu sûr, car vous en aurez besoin pour la gestion future des services.
EAB Key ID : Votre identifiant de compte unique qui indique à notre serveur ACME quel compte de service utiliser pour les demandes de SSL Certificates.
EAB MAC Key : Votre clé d'authentification sécurisée qui prouve que vous êtes autorisé à utiliser le service. Cette clé doit rester confidentielle.
URL du serveur ACME : Le point d'accès au serveur dédié auquel votre client ACME se connectera pour demander et gérer des SSL Certificates.
En général, nous n'envoyons ces informations par courrier électronique que lorsque le Certificate as a Service (CaaS) de Trustico® est activé ou renouvelé. Si vous perdez l'e-mail, veuillez contacter notre équipe d'assistance pour obtenir de l'aide.
Fonctionnement des informations d'identification EAB
Les informations d'identification EAB fonctionnent en authentifiant votre client ACME au cours de la procédure d'enregistrement du compte. Lorsque votre client ACME se connecte pour la première fois à notre serveur, il utilise votre EAB Key ID et EAB MAC Key pour prouver qu'il est autorisé à accéder à votre service payant.
Une fois authentifié, votre client ACME peut demander des SSL Certificates pour tous les domaines inclus dans votre Certificate as a Service (CaaS) de Trustico®.
Le serveur ACME valide automatiquement la propriété du domaine et émet les SSL Certificates en quelques minutes.
Vos informations d'identification EAB restent actives pendant toute la durée de votre période de service, ce qui permet un renouvellement automatique et continu des certificats SSL sans aucune intervention manuelle.
Partage des informations d'identification EAB entre plusieurs systèmes
L'un des principaux avantages du Certificate as a Service (CaaS) de Trustico® est que vos informations d'identification EAB peuvent être partagées entre plusieurs clients et serveurs ACME. Cela signifie que vous pouvez utiliser les mêmes informations d'identification pour sécuriser plusieurs systèmes dans le cadre d'un seul service.
Par exemple, vous pouvez configurer vos serveurs de production, vos environnements de stockage, vos équilibreurs de charge et vos systèmes de développement avec les mêmes informations d'identification EAB. Chaque système peut indépendamment demander et renouveler des SSL Certificates pour vos domaines autorisés.
Ce modèle d'authentification partagée élimine la nécessité d'acheter des services distincts pour chaque serveur, tout en maintenant la sécurité grâce à des pratiques de gestion d'authentification appropriées.
Autorisation de domaine et certificats SSL illimités
Vos informations d'identification EAB sont liées à des domaines spécifiques que vous avez achetés par le biais de Certificate as a Service (CaaS) de Trustico®. Une fois qu'un domaine est autorisé dans votre service, vous pouvez émettre un nombre illimité de SSL Certificates pour ce domaine et ses variations incluses.
Cela comprend votre domaine principal, le sous-domaine www et tous les sous-domaines couverts par des SSL Certificates de type "wildcard". Votre client ACME peut demander de nouveaux SSL Certificates chaque fois qu'il en a besoin, sans frais supplémentaires.
Si vous avez besoin de sécuriser des domaines supplémentaires au-delà de votre service actuel, il vous suffit d'acheter un autre Certificate as a Service (CaaS) de Trustico® pour ces domaines, qui sera accompagné de son propre ensemble d'informations d'identification EAB.
Configuration de votre client ACME
Les clients ACME les plus courants prennent en charge les informations d'identification EAB par le biais de paramètres de ligne de commande ou de fichiers de configuration. Le processus de configuration exact varie d'un client à l'autre, mais les informations de base restent les mêmes.
Pour Certbot : Utilisez les paramètres --eab-kid et --eab-hmac-key avec --server pour spécifier l'URL de votre serveur ACME lors de l'enregistrement du compte.
Pour acme.sh : Définissez les variables d'environnement ACME_EAB_KID et ACME_EAB_HMAC_KEY, puis spécifiez l'URL de votre serveur avec le paramètre --server.
Consultez la documentation de votre client pour connaître les options de configuration de l'EAB. Tous les clients ACME standard prennent en charge les informations d'identification EAB par le biais de mécanismes similaires.
Meilleures pratiques de sécurité pour les informations d'identification EAB
Vos informations d'identification EAB vous permettent d'accéder à votre Certificate as a Service (CaaS) Trustico® payé et doivent être protégées avec les mêmes normes de sécurité que les clés API ou les mots de passe.
Stockez votre clé MAC EAB dans des variables d'environnement ou dans des systèmes sécurisés de gestion des informations d'identification. N'enregistrez jamais ces informations d'identification dans des référentiels de code, des fichiers de configuration ou tout autre stockage non crypté.
L'identifiant de la clé EAB est moins sensible, mais doit être traité comme une information confidentielle. Ces deux identifiants permettent d'accéder à votre service, il convient donc de les protéger en conséquence.
Vérifiez régulièrement quels systèmes ont accès à vos informations d'identification EAB et supprimez l'accès des serveurs déclassés ou des environnements de développement qui n'ont plus besoin d'un accès au SSL Certificate.
Dépannage de l'authentification EAB
Si votre client ACME ne parvient pas à s'authentifier avec les informations d'identification EAB, vérifiez que vous utilisez l'URL correcte du serveur ACME fournie dans votre e-mail d'informations d'identification. L'utilisation d'une URL de serveur différente entraînera des échecs d'authentification.
Assurez-vous que l'ID de la clé EAB et la clé MAC EAB sont copiées exactement comme indiqué, sans espaces ni sauts de ligne supplémentaires. Ces informations d'identification sont sensibles à la casse et doivent correspondre exactement.
Vérifiez que votre Certificate as a Service (CaaS) Trustico® est actif et n'a pas expiré. Les services expirés rejetteront les tentatives d'authentification par VAE jusqu'à ce qu'ils soient renouvelés.
Si vous continuez à rencontrer des problèmes, contactez notre équipe d'assistance avec votre identifiant de compte Trustico® ACME pour obtenir de l'aide sur la vérification des informations d'identification et le dépannage.
Gestion de votre service avec les informations d'identification EAB
Votre identifiant de compte Trustico® ACME est essentiel pour toutes les tâches de gestion de service au-delà de l'émission de SSL Certificate. Utilisez cet identifiant lors de l'extension de votre service, de la demande d'assistance ou de la gestion de votre compte via notre site Web ou notre API.
Les extensions de service peuvent être achetées avant l'expiration afin de garantir une fonctionnalité continue du SSL Certificate. Vos informations d'identification EAB continueront à fonctionner de manière transparente après le renouvellement du service, sans nécessiter de reconfiguration.
Conservez votre identifiant de compte Trustico® ACME facilement accessible pour les tâches de gestion du service, mais n'oubliez pas que votre clé MAC EAB doit rester confidentielle et n'être utilisée que pour la configuration du client ACME.
Cycle de vie des informations d'identification EAB
Les informations d'identification de votre VAE restent valables pendant toute la durée de validité de votre Certificate as a Service (CaaS) Trustico®. Ils deviennent automatiquement inactifs à l'expiration de votre service, empêchant ainsi l'émission non autorisée de SSL Certificates.
Lorsque vous prolongez votre service, vos identifiants EAB existants continuent de fonctionner sans qu'aucun changement ne soit nécessaire dans la configuration de votre client ACME. Cela permet de garantir la continuité des opérations de SSL Certificates lors des renouvellements de service.
Si vous avez besoin de nouvelles références EAB pour des raisons de sécurité, contactez notre équipe d'assistance avec votre numéro de compte Trustico® ACME pour discuter des options de rotation des références.
Obtenir de l'aide pour la configuration des EAB
Notre équipe d'assistance est à votre disposition pour vous fournir des informations générales sur la configuration de votre client ACME avec vos informations d'identification EAB.
Lorsque vous contactez l'équipe d'assistance, indiquez toujours votre numéro de commande et votre numéro de compte Trustico® ACME pour une assistance plus rapide.
Ne communiquez jamais votre clé MAC EAB dans les communications d'assistance - notre équipe peut vérifier vos informations d'identification sans avoir besoin de voir les valeurs réelles de la clé.
Continuité du service et renouvellement
L'installation et la gestion automatisées des SSL Certificates par le biais de Trustico® Certificate as a Service (CaaS) ne fonctionnent de manière transparente que tant que votre service payant reste actif.
Votre client ACME continuera à renouveler automatiquement les SSL Certificates et à maintenir une protection continue tant que votre abonnement au service est en cours.
Pour garantir une gestion des certificats SSL vraiment transparente et sans interruption, il est essentiel de renouveler votre Certificate as a Service (CaaS) de Trustico® avant l'expiration ou d'envisager la mise en place d'une facturation automatique pour une continuité de service ininterrompue.
Si votre service expire, votre client ACME ne sera pas en mesure de renouveler les certificats SSL, ce qui pourrait entraîner l'expiration du certificat SSL et l'indisponibilité du site Web jusqu'à ce que le service soit rétabli.
En dessous du prix de vente conseillé CaaS
En dessous du prix de vente conseillé CaaS
