ACME és EAB: támogatás webszervereknél (állapot 2025.10.)
2025. okt. 14. | Pataki Tamás
Tudja meg, hogyan használhatja az ACME és EAB protokollokat a TLS tanúsítványok automatizálására. Összehasonlítjuk a támogatást Nginx, Apache, LiteSpeed és más webszerverek esetében, valamint tippeket adunk a DigiCerthez és a gondtalan megvalósításhoz.
Az ACME a tanúsítványok életciklusának kezelésére szolgál – a kérelmezéstől és a telepítéstől egészen a megújításig. Az ACME protokollt az SSLmarketen már több éve használhatja. Nézzük meg együtt, hogyan áll jelenleg az ACME támogatása az egyes webszervereknél.
ACME protokoll és webszerverek
Az ACME protokollt eredetileg külön kliensprogramok formájában használták, amelyekkel a TLS tanúsítványt létrehozták, és az „ACME kliens” fel is telepítette azt a webszerverre. A legismertebb ACME kliens a Certbot, és az Apache webszerver kezdeti támogatása fokozatosan bővült – például Windows Serverre és IIS-re is.
A jelenlegi trend az ACME kliens integrálása közvetlenül a webszerverbe, így a tanúsítvány megszerzése és telepítése teljesen kompatibilis módon történik, külön szoftver vagy kézi beavatkozás nélkül. Így mindent „egyben” kap. Példa beépített ACME klienssel rendelkező webszerverre a Caddy vagy az OpenLiteSpeed. Nemrégiben az Nginx is natívan megkapta az ACME támogatást, azonban egyelőre nem kezeli az EAB-t, így a DigiCert esetében még nem használható.
Mi az az EAB az ACME-ben
Az EAB (External Account Binding) az ACME-ben egy olyan mechanizmus, amely az Ön ACME kliensét a tanúsítványkiadó (CA) adott fiókjához rendeli. Az ACME fiók létrehozásakor a kliens a CA által megadott két adatot – a KID azonosítót és a titkos HMAC kulcsot – használja, és ezáltal „összekapcsolódik” az Ön szervezetének fiókjával. Ennek köszönhetően a CA tudja, ki igényli a tanúsítványt, alkalmazni tudja a belső szabályokat, és a fiók beállításainak megfelelően vállalati vagy fizetős tanúsítványokat is kiadhat. Az EAB nem helyettesíti a domainhitelesítést (HTTP-01/DNS-01); csupán biztosítja, hogy a kérés egy engedélyezett fiókból érkezik.
Az SSLmarketen teljesen egyedülálló funkciót talál – áttekintést az összes ACME-n keresztül kiadott tanúsítványról, amelyeket minden metaadatukkal és információjukkal együtt automatikusan importálunk az Ön felhasználói fiókjába.
Az ACME aktuális támogatottsága a webszervereknél
Az alábbi táblázatban láthatja az ACME protokoll integrációjának áttekintését az egyes webszervereknél. A legtöbb már tartalmaz ACME-t, és ha az EAB-t is támogatja, akkor DigiCert tanúsítványokat is használhat, teljesen automatizált módon. Az ACME hozzáféréseket egyszerűen és ingyenesen elérheti SSLmarket fiókjában.
| Webszerver / Platforma | Natív ACME kliens | EAB támogatás | Megvalósítás típusa | Megjegyzés / Belső kliens |
|---|---|---|---|---|
| Apache HTTP Server | Nem | Igen (külső kliensen keresztül) | Külső (Certbot, acme.sh, lego…) | Plugin, pl. certbot-apache; az EAB-t a kliens kezeli (DigiCert ACME-vel működik). |
| NGINX (1.24-ig) | Nem | Igen (külső kliensen keresztül) | Külső (Certbot, acme.sh…) | Régebbi NGINX natív ACME nélkül. |
| NGINX (1.25-től) | Igen | Nem | Natív | Natív ACME EAB nélkül; DigiCert esetén használjon külső klienst. |
| LiteSpeed / OpenLiteSpeed | Igen | Igen | Natív (acme.sh belsőleg) | Integrált kliens acme.sh alapon; EAB teljes mértékben támogatott (DigiCert ACME). |
| Caddy | Igen | Igen | Natív | Beépített tanúsítványkezelés EAB támogatással. |
| Traefik | Igen | Igen | Natív | Belső tanúsítványkezelés; EAB támogatott. |
| HAProxy | Részben (hookokon keresztül) | Igen (külső kliensen keresztül) | Külső kliens (acme.sh, Certbot…) | A kliens adja ki a tanúsítványt; telepítés deploy-hookkal és HAProxy újratöltéssel. |
| Lighttpd | Nem | Igen (külső kliensen keresztül) | Külső kliens | acme.sh / dehydrated; az EAB-t a kliens kezeli. |
| IIS / Exchange (Windows) | Igen | Igen | Külső (win-acme, Certify The Web) | Teljesen automatizálható; EAB támogatott (DigiCert ACME). |
| Tomcat / Jetty / Java szerverek | Nem | Igen (külső kliensen keresztül) | Külső kliens + hookok | Konvertálás JKS/PKCS12 formátumba; az EAB-t a kliens kezeli. |
| Postfix / Dovecot / Exim | Nem | Igen (külső kliensen keresztül) | Külső kliens + hookok | Telepítés script segítségével; az EAB-t a kliens kezeli. |
| Kubernetes (cert-manager) | Igen | Igen | Controller / issuer | EAB támogatott; alkalmas DigiCert ACME issuerhez is. |
| Envoy Proxy | Kísérleti | Részben (külső kezelőn keresztül) | Integráció SDS/cert-manager révén | Az ACME-t külső controller kezeli; EAB kliensfüggő. |
| Felhőplatformok (Cloudflare / AWS / GCP) | Igen (saját kezelés) | Belső (nem szabványos EAB) | Felhőalapú kezelés | A DigiCert ACME használatához külső kliens javasolt ezeknél a szolgáltatásoknál. |
Összegzés
Az ACME gyakorlatilag bármilyen környezetben használható a tanúsítványok automatizálására. Az alapvető útmutatókat megtalálja súgónkban. Ha bármilyen nehézsége vagy kérdése merülne fel a használat során, forduljon bizalommal ügyfélszolgálatunkhoz.
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu
