Az ACME, EST, SCEP és CMPv2 protokollok összehasonlítása a tanúsítványok beszerzéséhez
2025. jún. 25. | Pataki Tamás
A digitális tanúsítványok kezelésének automatizálása kulcsfontosságú a modern IT-környezetekben – a webszerverektől a mobileszközökön át egészen a vállalati PKI-megoldásokig. Számos protokoll létezik, amelyek a tanúsítványok hitelesítésszolgáltatóktól (CA) való beszerzését szolgálják. Ebben a cikkben négy legelterjedtebb protokollt hasonlítunk össze: ACME, EST, SCEP és CMPv2.
Tanúsítvány-automatizálási protokollok összehasonlítása
A mai IT-világot a TLS tanúsítványok automatizálása foglalkoztatja, amit a 47 napra csökkentett érvényességi idő ösztönöz. Nézzük meg együtt a TLS tanúsítványok megszerzésének legelterjedtebb protokolljait és azok felhasználási lehetőségeit. Az összes említett protokoll lehetővé teszi a tanúsítványok automatizált beszerzését – legyen szó egyszerű webes bevezetésről ACME segítségével, eszközkezelésről SCEP vagy EST révén, vagy vállalati szintű, teljes körű kontrollról CMPv2 alkalmazásával.
Tekintsük át az egyes protokollokat.
ACME – Automatic Certificate Management Environment
Az ACME egy modern protokoll, amely automatizálja a tanúsítványok beszerzését és megújítását; olyan nagy hitelesítésszolgáltatók támogatják, mint a DigiCert. HTTPS-en keresztül kommunikál, és doménalapú validációt használ (DNS vagy HTTP).
- Előnyök: egyszerű használat, széles körű támogatottság, teljes automatizálás
- Hátrányok: korlátozott használhatóság TLS/web tanúsítványokon kívül
EST – Enrollment over Secure Transport
Az EST az SCEP biztonságosabb utódja. HTTPS-t használ, és lehetővé teszi a hitelesítést TLS-kliens tanúsítványokkal vagy úgynevezett regisztrációs kódokkal. Gyakran alkalmazzák IoT- és vállalati hálózatokban.
- Előnyök: erős titkosítás, kétoldalú hitelesítés támogatása
- Hátrányok: bonyolultabb bevezetés, kevésbé elterjedt
SCEP – Simple Certificate Enrollment Protocol
A SCEP egy régebbi és egyszerűbb protokoll, amelyet széles körben alkalmaznak hálózati eszközökben (pl. Cisco) és MDM-megoldásokban. A hitelesítés statikus jelszóval történik, amit challenge passwordnek neveznek.
- Előnyök: széles körű támogatottság, egyszerűség
- Hátrányok: gyengébb biztonság, korlátozott funkcionalitás
CMPv2 – Certificate Management Protocol v2
A CMPv2 egy komplex protokoll a tanúsítványok teljes életciklusának kezelésére – beleértve a kibocsátást, megújítást, visszavonást és kulcsfrissítést. Elsősorban vállalati környezetekhez és a távközlési szektorhoz készült.
- Előnyök: robusztus, rugalmas, teljes PKI-támogatás
- Hátrányok: nagyobb komplexitás, nehezebb bevezetés
Összehasonlító táblázat
| Tulajdonság / Protokoll | ACME | EST | SCEP | CMPv2 |
|---|---|---|---|---|
| Elsődleges felhasználás | Web/TLS tanúsítványok | IoT, eszközök | MDM, hálózatok | Vállalati PKI |
| Transport | HTTPS (REST) | HTTPS | HTTP | HTTP(S), TCP |
| Hitelesítés | DNS/HTTP érvényesítés | TLS tanúsítvány, regisztrációs kód | Challenge password | Rugalmas (PKI) |
| Tanúsítvány megújítása | ✅ Igen | ✅ Igen | ⚠️ Korlátozott | ✅ Teljes |
| Tanúsítvány visszavonása | ⚠️ Korlátozott | ⚠️ Lehetséges | ❌ Nem | ✅ Igen |
| Titkosítás támogatása | Modern | Modern | Elavult | Modern |
| Egyszerűség | ✅ Egyszerű | ⚠️ Közepes | ✅ Egyszerű | ❌ Összetett |
| Standardizálás | RFC 8555 | RFC 7030 | Cisco/IETF tervezet | RFC 4210 |
| Tanúsítványok automatizálása | ✅ Teljes automatizálás | ✅ Részleges automatizálás | ✅ Alap automatizálás | ✅ Teljes automatizálás |
Hogyan használhatók ezek a protokollok?
Az ACME protokoll minden ügyfél számára ingyenesen elérhető az SSLmarket-nál. Ennek köszönhetően automatizálhatja a TLS tanúsítványok kiadását és megújítását további költségek vagy bonyolult konfiguráció nélkül. Csupán be kell jelentkeznie ügyfélfiókjába, és az ACME menüpontra kattintva ingyenesen létrehozhatja EAB ACME DigiCert hozzáféréseit.
Mind a négy említett protokoll – ACME, EST, SCEP és CMPv2 – támogatott a DigiCert Trust Lifecycle Manager megoldásban, amely központi platformként szolgál a tanúsítványok és kulcskezelés számára az egész szervezetben. Lehetővé teszi a tanúsítványok biztonságos és automatizált bevezetését különböző környezetekben (helyben, felhőben, hibridben), és támogatja az integrációt MDM, DevOps és hálózati infrastruktúrákkal is. További információkat a DigiCert Trust Lifecycle Manager megoldásról a termékoldalon talál.
Következtetés
A megfelelő protokoll megválasztása mindig az adott felhasználási forgatókönyvtől függ. Az ACME ideális a TLS tanúsítványok automatizálásához, az EST korszerű IoT- és eszközkörnyezetekhez, az SCEP régebbi infrastruktúrákhoz, míg a CMPv2 teljes PKI-vezérlést kínál vállalati környezetben. Ezek megfelelő integrációja jelentősen egyszerűsítheti a tanúsítványkezelést, és fokozhatja az infrastruktúra biztonságát.
Az ACME minden SSLmarket ügyfél számára díjmentesen elérhető, összetettebb megoldásokhoz a DigiCert Trust Lifecycle Manager használatát javasoljuk. Szívesen bemutatjuk Önnek.
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu
