ACME pre DV certifikáty je konečne dostupné
10.3.2024 | Jindřich Zechmeister
Automatizujte životný cyklus DV certifikátov s DigiCertom a SSLmarketom. DV certifikáty v ACME sme očakávali dlho, ale teraz je čakanie na konci a môžete ich začať automatizovať. Automatizáciu môžete novo využiť so všetkými typmi TLS certifikátov a môžete začať ihneď. Tento článok vám prezradí ako na to.
Čo je to ACME a ako funguje
Automatic Certificate Management Environment (ACME) je komunikačný protokol pre automatizáciu akcií medzi certifikačnými autoritami a servermi ich užívateľov. Je definovaný štandardom RFC 8555 a podporuje ho rad certifikačných autorít, je tiež implementovaný v rade nástrojov pre rôzne platformy (linux aj Windows server, Kubernetes). Agenti, ktorí sa pomocou ACME bavia s CA, sú väčšinou schopní aj certifikát na server nasadiť (záleží na konkrétnej implementácii). Protokol ACME je otvorený a nie je viazaný na konkrétnu technológiu či CA, preto okolo neho vznikla široká komunita užívateľov a presadil sa ako hlavný automatizačný nástroj pre TLS certifikáty.
Keďže sa bavíme o automatizácii, tak je logické, že celý životný cyklus certifikátu musí prebiehať bez zásahu užívateľa. V prípade DV certifikátov je na získanie potrebné iba potvrdiť vlastníctvo či právo zaobchádzať s doménou, čo sa robí pomocou e-mailu, DNS záznamu či súboru. E-mail pre automatizáciu nedáva zmysel, pre DNS potrebujete nejakú API na službu spravujúcu DNS záznamy, čo nie je úplne bežné. Zostáva teda tretia metóda, ktorá funguje pre DV ACME najlepšie.
Metóda využívajúca overovací súbor pre overenie domén (tzv. challenge) je HTTP-01. Na doménu ACME agent vystaví súbor s unikátnym hashom a doména sa tak sa obratom overí. Táto metóda je pre ACME predvolená.
Akonáhle sa na serveri v ACME agentovi spustí žiadosť o nový certifikát či renew, vytvorí agent CSR, pošle ho CA a vykoná autorizáciu domény na základe hasha, ktorý dostal od CA (nastaví overovací súbor na web). Po úspešnom overení, ktoré je typicky hotové do minúty, je certifikát vydaný, agent si ho stiahne a nasadí na webserver. Vy ako správca nemusíte vôbec nič robiť.
Ako môžem využiť DV ACME?
Prvým krokom je výber a nasadenie vhodného "agenta" na server; najznámejším ACME agentom je Certbot. Na začiatku je potrebné zvážiť vaše potreby a funkcie, ktoré môžu jednotliví agenti ponúknuť. Pokiaľ nemáte svojho favorita, tak môžete využiť aj agenta od DigiCertu v rámci služby Automation Manager. Na začiatku je tiež vhodné sa presvedčiť, či ich môžete nechať upravovať konfiguráciu webových serverov (zamerať sa na neštandardy, nastavenia zálohovať),
Pre fungovanie ACME klienta potrebujete získať ACME credentials, ktoré vám vygeneruje CA. Ich získanie zákazníkom maximálne uľahčujeme a implementovali sme ho priamo do zákazníckeho účtu SSLmarketu. Môžete začať ACME využívať okamžite a nebudete na to potrebovať našu asistenciu.
V prípade potreby sa na nás neváhajte kedykoľvek obrátiť. Sme tu pre vás.
Rozdiel medzi ACME DV a OV/EV
Certifikáty s overením organizácie, teda s OV a EV overením, stále spoliehajú na aktívne overenie. Pokiaľ nie je overenie organizácie v čase žiadosti o certifikát platné, takáto žiadosť nemôže byť úspešná a nie je na tom nič zvláštne. U OV a EV certifikátov sa však musí vopred overiť aj doména, ktorá bude v certifikáte uvedená, nie len organizácia. Pokiaľ budete chcieť využiť OV a EV certifikáty s ACME, tak pre vás toto predoverenie samozrejme zariadime.
U DV certifikátov je organizácia irelevantná, pretože v certifikáte nie je uvedená, a stačí urobiť DCV pomocou HTTP-01 metódy pre každú jednu žiadosť o certifikát.
SSLmarket je váš partner pre automatizáciu
Pomôžeme vám zautomatizovať životný cyklus certifikátov a zjednodušiť si život. Automatizovať je možné nielen TLS certifikáty, ale aj certifikáty S/MIME pre elektronický podpis alebo podpisovanie aplikácií Code Signing.
S našou pomocou nájdete ideálny spôsob pre vás, ktorý vám ušetrí prácu, čas a starosti.