{"section":"tutorials","requestedLocale":"es","requestedSlug":"insertar-proxy-inverso-frente-a-los-servicios-vtex","locale":"es","slug":"insertar-proxy-inverso-frente-a-los-servicios-vtex","path":"docs/es/tutorials/infraestructura/cdn-service/insertar-proxy-inverso-frente-a-los-servicios-vtex.md","branch":"main","content":"> ❗ Esta guía aborda una práctica **no recomendada** para la mayoría de las tiendas y que solo debe aplicarse en casos excepcionales. Implementar un proxy inverso significa sustituir todos los servicios perimetrales (CDN) gestionados y optimizados por VTEX. Esto significa que la tienda será responsable por mantener efectivamente el sitio web, incluyendo configuración, monitoreo y gestión de aspectos como el paso de encabezados, cookies y la caché. VTEX no ofrece soporte o documentación para esas configuraciones específicas y no se hace responsable por los problemas que puedan surgir. VTEX no se hace responsable por problemas en ese sistema, ya sea en una CDN propia, un servicio de WAF u otro recurso que esté delante de nuestros servidores. No tenemos visibilidad de la operación y, por lo tanto, la solución **no** entra en nuestros acuerdos de SLA.\n\n> ❗ Esta configuración **no es compatible con Amazon CloudFront**. A partir de enero de 2025, las tiendas que usan CloudFront como CDN no pueden utilizar un proxy inverso delante de los servicios de VTEX. Intentar esta configuración con CloudFront puede causar fallos de navegación e indisponibilidad del sitio.\n\nPara apuntar tu propia CDN a la CDN de VTEX, debes insertar un proxy inverso delante de los servicios de VTEX. El flujo de tráfico seguirá el orden a continuación:\n\n1. Tienda: punto de origen del tráfico.\n2. Proxy inverso: el intermediario configurado.\n3. CDN de VTEX: la CDN predeterminada de VTEX.\n4. VTEX: los servidores finales de VTEX.\n\nSigue las guías que se describen a continuación para implementar un proxy inverso:\n\n- [Registro TXT](#registro-txt)\n- [Enrutamiento de tráfico](#enrutamiento-de-trafico)\n- [Responsabilidades de los certificados SSL](#responsabilidades-de-los-certificados-ssl)\n\n## Registro TXT\n\nPara garantizar que tu dominio esté correctamente dirigido a la CDN VTEX, crea un registro TXT en formato `_{hostname}` con el valor `{hostname}.cdn.vtex.com` en la zona de DNS de tu dominio.\n\nSustituye `{hostname}` con la combinación de [subdominio, dominio y dominio de nivel superior](/es/docs/tutorials/configurar-dominio-de-la-tienda) de tu tienda. Por ejemplo: `www.mitienda.com`. Asegúrate de incluir el `_` antes del host.\n\nFormato:\n\n```\nNombre: _{hostname}\nTipo: TXT\nValor: {hostname}.cdn.vtex.com\n```\n\nEjemplo:\n\n```\nNombre: _www.mitienda.com\nTipo: TXT\nValor: www.mitienda.com.cdn.vtex.com\n```\n\n## Enrutamiento de tráfico\n\nEn el archivo de configuración del proxy inverso, configura el enrutamiento de tráfico a VTEX. Asegúrate de que el encabezado `Host` contenga el dominio original. Sigue el formato a continuación en las solicitudes HTTP del proxy inverso a VTEX:\n\n```curl\ncurl http://{hostname}.cdn.vtex.com/ -H 'Host: {hostname}'\n```\n\nEjemplo:\n\n```curl\ncurl http://www.mitienda.com.cdn.vtex.com/ -H 'Host: www.mitienda.com'\n```\n\nLa forma de configurar el enrutamiento de tráfico y escribir la solicitud HTTP puede variar dependiendo de la solución de software del proxy inverso.\n\n## Responsabilidades de los certificados SSL\n\nLas responsabilidades de los certificados SSL se organizan de la siguiente manera cuando hay proxies inversos:\n\n- La CDN externa (proxy inverso) gestiona el certificado SSL en la comunicación entre el cliente y el proxy inverso.\n- VTEX gestiona el certificado SSL en la comunicación entre el proxy inverso (CDN externa) y los servidores VTEX.\n\nPara usar el certificado SSL automático de VTEX (Let's Encrypt), debes asegurarte de que el proxy no bloquee la validación ACME y que el DNS esté configurado correctamente. Asegúrate de que todo el tráfico HTTP a `/.well-known/acme-challenge/*` llegue a VTEX sin cambios, es decir, sin redirecciones internas (HTTP → HTTPS), bloqueos de tráfico o modificaciones.\n\nAlgunos proxies inversos pueden interceptar esta ruta, impidiendo que VTEX emita o renueve el certificado SSL.\n\n### Requisitos para la validación del certificado\n\n- Enruta `/.well-known/acme-challenge/*` directamente al origen VTEX `{hostname}.cdn.vtex.com` (ejemplo: `www.mitienda.com.cdn.vtex.com`), preservando el encabezado `Host` original (ejemplo: `Host: www.mitienda.com`).\n- No apliques barreras (CAPTCHA, redirecciones de inicio de sesión, páginas de error o HTML personalizado) a esta ruta.\n- No almacenes esta ruta en la caché.\n\n### Opciones de certificado\n\nSi prefieres no depender de la validación automática de Let's Encrypt, hay dos opciones:\n\n#### Continuar con el certificado automático de VTEX (Let's Encrypt)\n\n- Requiere configuración estable del proxy, como se describió anteriormente.\n- Ventaja: la emisión y renovación son completamente automáticas, siempre que el DNS y las rutas ACME sean correctas.\n\n#### Migrar a un certificado personalizado (VTEX Shield)\n\n- El retailer emite el certificado con su CA preferida (por ejemplo, DigiCert, GlobalSign) y lo carga utilizando la funcionalidad de [Certificados SSL personalizados](https://help.vtex.com/es/docs/tutorials/certificados-ssl-personalizados) disponible en [VTEX Shield](https://help.vtex.com/es/docs/tutorials/vtex-shield).\n- En este modelo no hay flujo ACME/Let's Encrypt dentro de VTEX, por lo que el proxy no interfiere en la generación del certificado. Solamente es necesario garantizar su renovación y volver a cargarlo cuando corresponda.\n\n> ⚠️ VTEX solo habilita la navegación si: <ul><li>Hay un registro TXT configurado correctamente.</li><li>Es posible emitir y renovar certificados SSL para el host.</li></ul> Si no se cumplen ambas condiciones, la navegación no funcionará y el sitio web quedará offline."}