Automatizácia vydania a inštalácia TLS certifikátu (ACME protokol)

Certifikáty pre zabezpečenie TLS spojenia môžete získať úplne automaticky a do niekoľkých sekúnd. Môžete ich tiež nechať automaticky nainštalovať na server. So SSLmarketom bude správa SSL/TLS certifikátov ešte jednoduchšia.


Automatizace vydání a instalace certifikátu (ACME protokol)

Čo je to ACME protokol

ACME protokol umožňuje komunikáciu s CA priamo zo servera a slúži na automatické získanie a inštaláciu TLS certifikátov. Dobrý ACME klient je následne schopný certifikát na server nainštalovať tak, že nemusíte nič robiť. Proces je tak plne automatický a certifikát na server nemusí nasadzovať administrátor, čo šetrí Váš čas aj náklady.Viac o ACME a jeho použití pre webové servery sa dočítate tu.

Proces získania certifikátu

p>ACME implementácia DigiCertu je založená na tzv. ACME External Account Binding (EAB). To znamená, že server si vedie ACME účty a zákazníci sa k nim autentizujú. Komunikácia s CA je vďaka tomu bezpečnejšia ako bez autentizácie; túto technológiu navyše podporuje Certbot aj ostatní ACME klienti.

Autentizačné údaje voči CA, tzv. ACME credentials, môžete vytvoriť sami priamo vo svojom zákazníckom účte. Naši zákazníci môžu začať používať ACME protokol ihneď a nie je potrebné nás kontaktovať.

ACME credentials obsahuje tri údaje, pričom dva z nich sú unikátne. ACME Directory URL odkazuje na DigiCert, ktorý na ňom počúva vaše požiadavky. Ďalej obdržíte dva unikátne reťazce key identifier (KID) a HMAC key, ktoré sú unikátne pre každého zákazníka (preto ich v žiadnom prípade nezdieľajte!). Identifier určuje, ktorý certifikát chcete vydať a pre sú organizáciu bude určený (domény sa špecifikujú samostatne v parametri ACME požiadavky). HMAC kľúč je tajomstvo, ktoré slúži na autentizáciu a autorizáciu.

Po vygenerovaní ACME credentials vo svojej zákazníckej administrácii môžete začať vydávať certifikáty. Celý proces zaberie iba sekundy; certifikát získate a nainštalujete okamžite a úplne bez námahy.

Návody pre ACME agentov

ACME protokol nie je závislý na konkrétnej platforme; vďaka tomu môžete nájsť ACME klienta prakticky v každom väčšom programovacom alebo skriptovacom jazyku. Pre našich zákazníkov prevádzkujúcich komerčné webové servery budú najdôležitejší klienti pre Linux (Apache, nginx) a Windows Server. Vykonali sme detailné testovanie a výsledkom sú nasledovné odporúčania.

Webový server na Linuxe

Pre použitie ACME protokolu na Linuxe odporúčame ACME klient Certbot, ktorý vie certifikáty automaticky nainštalovať na Apache, nginx a ostatné bežné webservery. Stačí doinštalovať balík s príslušným doplnkom. Certbot funguje spoľahlivo pre Apache aj nginx a môžeme ho odporučiť aj pre komerčné nasadenie. Nemusíte očakávať žiadne ťažkosti.Viac informácií nájdete v TLS certifikát TLS prostredníctvom protokolu ACME na Linux

Windows Server a IIS

Populárny cerbot je navrhnutý pre Linux a nemôžete ho používať na serveri Windows Server. Hľadali sme pre vás variant, ktorý môžeme odporučiť pre ACME na serveri Windows Server s IIS a odporúčame win-ACME . Testovali sme funkčnosť tohto klienta a môžeme ju odporučiť pre Windows Server a IIS. Pozri používajte automatizáciu pomocou ACME a Windows Server .

Bol tento článok pre vás užitočný?