ACME pro DV certifikáty je konečně dostupné
10. 3. 2024 | Jindřich Zechmeister
Automatizujte životní cyklus DV certifikátů s DigiCertem a SSLmarketem. DV certifikáty v ACME jsme očekávali dlouho, ale nyní je čekání u konce a můžete je začít automatizovat. Automatizaci můžete nově využít se všemi typy TLS certifikátů a můžete začít ihned. Tento článek vám prozradí jak na to.
Co je to ACME a jak funguje
Automatic Certificate Management Environment (ACME) je komunikační protokol pro automatizaci akcí mezi certifikačními autoritami a servery jejich uživatelů. Je definován standardem RFC 8555 a podporuje ho řada certifikačních autorit, je také implementován v řadě nástrojů pro různé platformy (linux i Windows server, Kubernetes). Agenti, kteří se pomocí ACME baví s CA, jsou většinou schopni i certifikát na server nasadit (záleží na konkrétní implementaci). Protokol ACME je otevřený a není vázán na konkrétní technologii či CA, proto kolem něj vznikla široká komunita uživatelů a prosadil se jako hlavní automatizační nástroj pro TLS certifikáty.
Jelikož se bavíme o automatizaci, tak je logické, že celý životní cyklus certifikátu musí probíhat bez zásahu uživatele. V případě DV certifikátů je k získání potřeba pouze potvrdit vlastnictví či právo zacházet s doménou, což se dělá pomocí e-mailu, DNS záznamu či souboru. E-mail pro automatizaci nedává smysl, pro DNS potřebujete nějakou API na službu spravující DNS záznamy, což není zcela běžné. Zbývá tedy třetí metoda, která funguje pro DV ACME nejlépe.
Metoda využívající ověřovací soubor pro ověření domén (tzv. challenge) je HTTP-01. Na doménu ACME agent vystaví soubor s unikátním hashem a doména se tak se obratem ověří. Tato metoda je pro ACME výchozí.
Jakmile se na serveru v ACME agentovi spustí žádost o nový certifikát či renew, vytvoří agent CSR, pošle ho CA a provede autorizaci domény na základě hashe, který dostal od CA (nastaví ověřovací soubor na web). Po úspěšném ověření, které je typicky hotovo do minuty, je certifikát vydán, agent si ho stáhne a nasadí na webserver. Vy, jakožto správce, nemusíte vůbec nic dělat.
Jak mohu DV ACME využít?
Prvním krokem je výběr a nasazení vhodného "agenta" na server; nejznámějším ACME agentem je Certbot. Na začátku je potřeba zvážit vaše potřeby a funkce, které mohou jednotliví agenti nabídnout. Pokud nemáte svého favorita, tak můžete využít i agenta od DigiCertu v rámci služby Automation Manager. Na začátku je též vhodné se přesvědčit, zdali je můžete nechat upravovat konfiguraci webových serverů (zaměřit se na nestandardy, nastavení zálohovat).
Pro fungování ACME klienta potřebujete získat ACME credentials, které vám vygeneruje CA. Jejich získání zákazníkům maximálně ulehčujeme a implementovali jsme ho přímo do zákaznického účtu SSLmarketu. Můžete začít ACME využívat okamžitě a nebudete k tomu potřebovat naši asistenci.
V případě potřeby se na nás neváhejte kdykoliv obrátit. Jsme tu pro vás.
Rozdíl mezi ACME DV a OV/EV
Certifikáty s ověřením organizace, tedy s OV a EV ověřením, stále spoléhají na aktivní ověření. Pokud není ověření organizace v době žádosti o certifikát platné, tak taková žádost nemůže být úspěšná a není na tom nic zvláštního. U OV a EV certifikátů se však musí předem ověřit i doména, která bude v certifikátu uvedena, nikoliv jen organizace. Pokud budete chtít využít OV a EV certifikáty s ACME, tak pro vás toto předověření samozřejmě zařídíme.
U DV certifikátů je organizace irelevantní, protože v certifikátu není uvedena, a stačí udělat DCV pomocí HTTP-01 metody pro každou jednu žádost o certifikát.
SSLmarket je váš partner pro automatizaci
Pomůžeme vám zautomatizovat životní cyklus certifikátů a zjednodušit si život. Automatizovat je možné nejen TLS certifikáty, ale také certifikáty S/MIME pro elektronický podpis či podepisování aplikací Code Signing.
S naší pomocí najdete ideální způsob pro vás, který vám ušetří práci, čas a starosti.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz