{"section":"tutorials","requestedLocale":"es","requestedSlug":"insertar-proxy-inverso-frente-a-los-servicios-vtex","locale":"es","slug":"insertar-proxy-inverso-frente-a-los-servicios-vtex","path":"docs/es/tutorials/infraestructura/cdn-service/insertar-proxy-inverso-frente-a-los-servicios-vtex.md","branch":"main","content":"> ❗ Esta guía aborda una práctica **no recomendada** para la mayoría de las tiendas y que solo debe aplicarse en casos excepcionales. Implementar un proxy inverso significa sustituir todos los servicios perimetrales (CDN) gestionados y optimizados por VTEX. Esto significa que la tienda será responsable por mantener efectivamente el sitio web, incluyendo configuración, monitoreo y gestión de aspectos como el paso de encabezados, cookies y la caché. VTEX no ofrece soporte o documentación para esas configuraciones específicas y no se hace responsable por los problemas que puedan surgir. VTEX no se hace responsable por problemas en ese sistema, ya sea en una CDN propia, un servicio de WAF u otro recurso que esté delante de nuestros servidores. No tenemos visibilidad de la operación y, por lo tanto, la solución **no** entra en nuestros acuerdos de SLA.\n\nPara apuntar tu propia CDN a la CDN de VTEX, debes insertar un proxy inverso delante de los servicios de VTEX. El flujo de tráfico seguirá el orden a continuación:\n\n1. Tienda: punto de origen del tráfico.\n2. Proxy inverso: el intermediario configurado.\n3. CDN de VTEX: la CDN predeterminada de VTEX.\n4. VTEX: los servidores finales de VTEX.\n\nSigue las guías que se describen a continuación para implementar un proxy inverso:\n\n- [Registro TXT](#registro-txt)\n- [Enrutamiento de tráfico](#enrutamiento-de-trafico)\n- [Responsabilidades de los certificados SSL](#responsabilidades-de-los-certificados-ssl)\n\n## Registro TXT\n\nPara garantizar que tu dominio esté correctamente dirigido a la CDN VTEX, crea un registro TXT en formato `_{hostname}` con el valor `{hostname}.cdn.vtex.com` en la zona de DNS de tu dominio.\n\nSustituye `{hostname}` con la combinación de [subdominio, dominio y dominio de nivel superior](/es/docs/tutorials/configurar-dominio-de-la-tienda) de tu tienda. Por ejemplo: `www.mitienda.com`. Asegúrate de incluir el `_` antes del host.\n\nFormato:\n\n```\nNombre: _{hostname}\nTipo: TXT\nValor: {hostname}.cdn.vtex.com\n```\n\nEjemplo:\n\n```\nNombre: _www.mitienda.com\nTipo: TXT\nValor: www.mitienda.com.cdn.vtex.com\n```\n\n## Enrutamiento de tráfico\n\nEn el archivo de configuración del proxy inverso, configura el enrutamiento de tráfico a VTEX. Asegúrate de que el encabezado `Host` contenga el dominio original. Sigue el formato a continuación en las solicitudes HTTP del proxy inverso a VTEX:\n\n```curl\ncurl http://{hostname}.cdn.vtex.com/ -H 'Host: {hostname}'\n```\n\nEjemplo:\n\n```curl\ncurl http://www.mitienda.com.cdn.vtex.com/ -H 'Host: www.mitienda.com'\n```\n\nLa forma de configurar el enrutamiento de tráfico y escribir la solicitud HTTP puede variar dependiendo de la solución de software del proxy inverso.\n\n## Responsabilidades de los certificados SSL\n\nLas responsabilidades de los certificados SSL se organizan de la siguiente manera cuando hay proxies inversos:\n\n- La CDN externa (proxy inverso) gestiona el certificado SSL en la comunicación entre el cliente y el proxy inverso.\n- VTEX gestiona el certificado SSL en la comunicación entre el proxy inverso (CDN externa) y los servidores VTEX.\n\nPara usar el certificado SSL automático de VTEX (Let's Encrypt), debes asegurarte de que el proxy no bloquee la validación ACME y que el DNS esté configurado correctamente. Asegúrate de que todo el tráfico HTTP a `/.well-known/acme-challenge/*` llegue a VTEX sin cambios, es decir, sin redirecciones internas (HTTP → HTTPS), bloqueos de tráfico o modificaciones.\n\nAlgunos proxies inversos pueden interceptar esta ruta, impidiendo que VTEX emita o renueve el certificado SSL.\n\n### Requisitos para la validación del certificado\n\n- Enruta `/.well-known/acme-challenge/*` directamente al origen VTEX `{hostname}.cdn.vtex.com` (ejemplo: `www.mitienda.com.cdn.vtex.com`), preservando el encabezado `Host` original (ejemplo: `Host: www.mitienda.com`).\n- No apliques barreras (CAPTCHA, redirecciones de inicio de sesión, páginas de error o HTML personalizado) a esta ruta.\n- No almacenes esta ruta en la caché.\n\n### Opciones de certificado\n\nSi prefieres no depender de la validación automática de Let's Encrypt, hay dos opciones:\n\n#### Continuar con el certificado automático de VTEX (Let's Encrypt)\n\n- Requiere configuración estable del proxy, como se describió anteriormente.\n- Ventaja: la emisión y renovación son completamente automáticas, siempre que el DNS y las rutas ACME sean correctas.\n\n#### Migrar a un certificado personalizado (VTEX Shield)\n\n- El retailer emite el certificado con su CA preferida (por ejemplo, DigiCert, GlobalSign) y lo carga utilizando la funcionalidad de [Certificados SSL personalizados](https://help.vtex.com/es/docs/tutorials/certificados-ssl-personalizados) disponible en [VTEX Shield](https://help.vtex.com/es/docs/tutorials/vtex-shield).\n- En este modelo no hay flujo ACME/Let's Encrypt dentro de VTEX, por lo que el proxy no interfiere en la generación del certificado. Solamente es necesario garantizar su renovación y volver a cargarlo cuando corresponda.\n\n> ⚠️ VTEX solo habilita la navegación si: Si no se cumplen ambas condiciones, la navegación no funcionará y el sitio web quedará offline."}