DigiCert bemutatta a DC-ACME ACME klienst az automatizálás érdekében
2026. jan. 2. | Jindřich Zechmeister
A DigiCert új DC-ACME ACME-kliense lehetővé teszi a tanúsítványok automatikus megújítását harmadik féltől származó eszközök nélkül. Így nem kell a Certbotra vagy más programokra támaszkodnia. Az ACME EAB adatokat könnyen megszerezheti az SSLmarket-fiókjában, és azonnal elkezdheti használni.
Új ACME kliens közvetlenül a DigiCert CA-tól
Az utóbbi években a TLS tanúsítványok kezelésének automatizálása a szerverinfrastruktúra működésének szerves részévé vált. Az ACME (Automatic Certificate Management Environment) protokoll lehetővé teszi a tanúsítványok automatizált kibocsátását, telepítését és megújítását, manuális beavatkozás nélkül. A kereskedelmi hitelesítő hatóságok esetében azonban ez az automatizáció hosszú ideig jellemzően harmadik féltől származó ACME kliensek használatára épült.
A DigiCert most jelentősen kibővíti ezt a modellt. Bemutatta saját hivatalos ACME kliensét, amely a DC-ACME néven ismert, és lehetővé teszi az DigiCert ACME szolgáltatásainak használatát külső eszközök alkalmazása nélkül. A telepítési szkriptek és a dokumentáció elérhetők a hivatalos oldalon DigiCert Automation Service.
ACME a DigiCertnél: egyszerűbb működési modell
Eddig a DigiCert a standard ACME kliensek használatát javasolta, amelyek kompatibilisek az ACMEv2 protokollal. Ez a megközelítés továbbra is támogatott és teljesen működőképes marad. A gyakorlatban azonban szükség volt a megfelelő kliens kiválasztására, annak telepítésére, karbantartására és az operációs környezetbe való integrálására.
DC-ACME egy alternatívát kínál, amely ezeket a lépéseket egyesíti. Ez egy hivatalos ACME kliens közvetlenül a DigiCerttől, úgy tervezték, hogy teljesen kompatibilis legyen az ACME szolgáltatásával, és előre látható viselkedést biztosítson különböző platformokon. Telepítési szkriptek érhetők el Linuxra és Windowsra, beleértve a rendszerszolgáltatásként való futtatás támogatását is.
A DigiCert ACME automatizálási architektúrájáról és elveiről szóló részletek az alábbi hivatalos dokumentációban találhatók: DigiCert – ACME Automation Service.
Külső fiók kötése (EAB) mint a biztonság része
A DigiCertnél az ACME integráció része az External Account Binding (EAB) mechanizmus használata. Ez a mechanizmus biztonságos kapcsolatot biztosít az ACME fiók és a konkrét ügyféljogosultságok és termékbeállítások között. Az ACME fiók regisztrációjakor egy adathalmaz-t – Key ID (KID) és HMAC kulcs – használnak.
Az SSLmarket ügyfelei számára az EAB adatok megszerzése nagyon egyszerű. Az ACME EAB hitelesítő adatok közvetlenül az SSLmarket ügyfélfiókjában érhetők el, ahol generálhatók és később felhasználhatók az DC-ACME kliens konfigurációja során.
Domainek ellenőrzése és DNS-01 támogatás
A tanúsítványok kibocsátásának automatizálása a domainek tulajdonjogának megerősítésére épül, az ACME protokoll által meghatározott validációs módszerek segítségével. Mivel a tanúsítvány megszerzéséhez a jövőben csak az automatikus ellenőrzési módszereket lesz szükséges használni, érdemes elkezdeni használni az ACME által kínált HTTP és DNS módszereket. Azokban a környezetekben, ahol nem célszerű vagy nem lehetséges HTTP szolgáltatásokat közvetlenül az internetre kihelyezni, gyakran a DNS-01 módszert használják.
A DigiCert a DC-ACME-hez kiterjedt dokumentációt biztosít a DNS-01 kihívások integrálásáról, beleértve az egyes DNS szolgáltatók útmutatóit is. Ez nagyban megkönnyíti az automatizálás bevezetését még komplex infrastruktúrákban is, beleértve a wildcard tanúsítványok támogatását.
A DNS-01 kihívásokkal kapcsolatos áttekintés és műszaki részletek itt érhetők el: DC-ACME DNS-01 Challenge Guide.
Következtetés
Az új DC-ACME kliens a DigiCert ügyfelei számára további lehetőséget kínál a tanúsítványok automatizált kezelésére kevesebb operatív bonyolultsággal. Megmarad a kompatibilitás az ACMEv2 szabvánnyal, ugyanakkor egy hitelesítő hatóságtól származó hivatalosan támogatott eszköz kerül hozzáadásra.
Az SSLmarket ügyfelei ezt a megközelítést bonyolítatlan konfigurációval használhatják – a szükséges EAB adatok elérhetők az ügyfélfiókban, és az DC-ACME a hivatalos telepítési szkriptek segítségével telepíthető. Azoknak a szervezeteknek, amelyek stabil és előre látható tanúsítvány-automatizálási megoldást keresnek, ez egy érdekes és gyakorlatias lépés előre.
