DigiCert bemutatta a DC-ACME ACME klienst az automatizálás érdekében

2026. jan. 2. | Jindřich Zechmeister

A DigiCert új DC-ACME ACME-kliense lehetővé teszi a tanúsítványok automatikus megújítását harmadik féltől származó eszközök nélkül. Így nem kell a Certbotra vagy más programokra támaszkodnia. Az ACME EAB adatokat könnyen megszerezheti az SSLmarket-fiókjában, és azonnal elkezdheti használni.

Új ACME kliens közvetlenül a DigiCert hitelesítő hatóságtól

Az elmúlt években a TLS-tanúsítványok kezelésének automatizálása a szerverinfrastruktúra üzemeltetésének általános részévé vált. Az ACME (Automatic Certificate Management Environment) protokoll lehetővé teszi a tanúsítványok automatizált kibocsátását, telepítését és megújítását manuális beavatkozás nélkül. A kereskedelmi hitelesítő hatóságok esetében azonban ez az automatizáció hosszú ideig jellemzően harmadik féltől származó ACME kliensek használatára épült.

A DigiCert most jelentősen kibővíti ezt a modellt. Bemutatta saját, hivatalos ACME kliensét DC-ACME néven, amely lehetővé teszi a DigiCert ACME szolgáltatásainak használatát külső eszközök alkalmazása nélkül. A telepítési szkriptek és a dokumentáció elérhetők a hivatalos oldalon: DigiCert Automation Service.

ACME a DigiCertnél: egyszerűbb üzemeltetési modell

A DigiCert eddig a standard, ACMEv2 protokollal kompatibilis ACME kliensek használatát javasolta. Ez a megközelítés továbbra is támogatott és teljes mértékben működőképes. A gyakorlatban azonban a megfelelő kliens kiválasztását, telepítését, karbantartását és az üzemeltetési környezetbe történő integrálását igényelte.

A DC-ACME alternatívát kínál ezekre a lépésekre, mivel egységes megoldást biztosít. Ez egy hivatalos ACME kliens közvetlenül a DigiCerttől, amelyet kifejezetten úgy terveztek, hogy teljes mértékben kompatibilis legyen a DigiCert ACME szolgáltatásával, és kiszámítható működést nyújtson különböző platformokon. Linuxra és Windowsra egyaránt elérhetők telepítési szkriptek, beleértve a rendszer-szolgáltatásként történő futtatás támogatását is.

A DigiCert ACME-alapú automatizálásának architektúrájáról és működési elveiről szóló részletes leírás az alábbi hivatalos dokumentációban érhető el: DigiCert – ACME Automation Service.

External Account Binding (EAB) mint a biztonság része

A DigiCertnél az ACME integráció szerves része az External Account Binding (EAB) mechanizmus használata. Ez biztosítja az ACME-fiók biztonságos összekapcsolását a konkrét ügyféljogosultságokkal és termékbeállításokkal. Az ACME-fiók regisztrációja során egy hitelesítő adatokból álló párost használnak: egy Key ID-t (KID) és egy HMAC kulcsot.

Az SSLmarket ügyfelei számára az EAB adatok beszerzése rendkívül egyszerű. Az ACME EAB hitelesítő adatok közvetlenül az SSLmarket ügyfélfiókjában érhetők el, ahol legenerálhatók, majd felhasználhatók a DC-ACME kliens konfigurálása során.

Domainek ellenőrzése és DNS-01 támogatás

A tanúsítványok kibocsátásának automatizálása a domainek tulajdonjogának igazolásán alapul, az ACME protokoll által meghatározott validációs módszerek segítségével. Mivel a jövőben a tanúsítványok megszerzéséhez kizárólag automatizált ellenőrzési módszerek alkalmazása lesz lehetséges, érdemes már most áttérni az ACME által biztosított HTTP és DNS alapú validációkra. Azokban a környezetekben, ahol nem célszerű vagy nem lehetséges HTTP szolgáltatásokat közvetlenül az internet felé publikálni, a DNS-01 módszer a leggyakrabban alkalmazott megoldás.

A DigiCert a DC-ACME-hez kiterjedt dokumentációt biztosít a DNS-01 kihívások integrálásához, beleértve az egyes DNS-szolgáltatókra vonatkozó útmutatókat is. Ez jelentősen megkönnyíti az automatizáció bevezetését összetettebb infrastruktúrákban is, beleértve a wildcard tanúsítványok támogatását.

A DNS-01 kihívásokkal kapcsolatos áttekintés és technikai részletek az alábbi oldalon érhetők el: DC-ACME DNS-01 Challenge Guide.

Összegzés

Az új DC-ACME kliens a DigiCert ügyfelei számára további lehetőséget kínál a tanúsítványok automatizált kezelésére, csökkentett üzemeltetési komplexitás mellett. Megmarad a kompatibilitás az ACMEv2 szabvánnyal, ugyanakkor egy hivatalosan támogatott eszköz válik elérhetővé közvetlenül a hitelesítő hatóságtól.

Az SSLmarket ügyfelei ezt a megközelítést egyszerű konfigurációval alkalmazhatják: a szükséges EAB adatok az ügyfélfiókban elérhetők, a DC-ACME pedig a hivatalos telepítési szkriptek segítségével gyorsan bevezethető. Azok számára, akik stabil és kiszámítható tanúsítvány-automatizálási megoldást keresnek, ez egy kifejezetten praktikus és előremutató lépés.