Használja ki az automatizálás előnyeit az ACME-vel még Windows szerveren is

2022. febr. 9. | Pataki Tamás

Az ACME protokoll egy modern automatizálási eszköz, amelyet elsősorban Linux szervereken használnak, míg a Windows ökoszisztémákban kevésbé elterjedt. Szeretné automatizálni a tanúsítványokat Windows-szerveren, de nem tudja, hogyan? Megmutatjuk, hogyan használhatja könnyedén az ACME-t Windows Server rendszeren - beleértve a tanúsítványok beállítását és automatikus megújítását.

Mire szolgál az ACME?

Kezdjük azzal, hogy röviden felidézzük, mire használják az ACME protokollt, és mi a legfőbb előnye.A Wikipédia meghatározása szerint ez egy kommunikációs protokoll, amely automatizálja a hitelesítő hatóság (CA) és a felhasználók webkiszolgálói közötti interakciókat, lehetővé téve a nyilvános kulcsú infrastruktúra automatikus telepítését..

Az ACME segítségével egyszerűen kérhet és kaphat TLS-tanúsítványt egy megbízható CA-tól. Az egész folyamatot az ACME bot kezeli, amely általában képes az új tanúsítványt a webszerverre telepíteni (telepíteni). Linux szerverkörnyezetekben a használata nagyon elterjedt, de Windows környezetben sok rendszergazda még mindig nem ismer olyan ACME botot, amely képes telepíteni a tanúsítványt.

Az ACME-tanúsítvány használatának előfeltételei

A tanúsítvány megszerzésének és telepítésének automatizálásához az ACME protokoll segítségével néhány előfeltételnek meg kell felelnie.

Mivel a tanúsítvány kiállítása az ACME protokollon keresztül történő igénylést követően automatikusan történik, logikusan szükséges a kérelmező hitelesítése a tanúsítvány igénylése előtt. Ez az előzetesen hitelesített domainek mellett van.

Lépjen velünk kapcsolatba, ha érdeklődik az ACME iránt. Ezután ügyfélszolgálatunk ellenőrzi vállalatát a DigiCertnél, illetve segít hitelesíeni a biztosítani kívánt domaineket is. Az utolsó lépés az ACME hozzáférési azonosítók létrehozása, amelyek minden egyes termékhez egyediek. Ha tehát például Thawte OV és Thawte EV tanúsítványt szeretne kiállítani, akkor mindkettőhöz egyedi ACME-kulcsot kap, amelyet a kliensben arra használ, hogy pontosan meghatározza, melyik tanúsítványt állítsa ki az adott domainhez..

Ezután az SSLmarket ügyfélszolgálattal elintézik a befizetés, számlázás formáját. Lehetőség van például bizonyos számú tanúsítványról szóló egyszeri számlázásra is.

A megfelelő kliens kiválasztása és beállítása

Számos ACME-kliens áll rendelkezésre, a legelterjedtebb a Certbot. A választásával biztosan nem tévedhet. A rendelkezésre álló kliensek túlnyomó többsége azonban Linux szerverekre vagy más hasonló platformokra készült, és gyakorlatilag egyik sem rendelkezik grafikus felhasználói felülettel. Az ACME kliensek vezérlése általában parancssori felületen keresztül történik.

Windows és Windows Server esetén számos lehetőség áll rendelkezésre, de gyakran előfordul, hogy az kliens nem tudja befejezni a beszerzési és telepítési folyamatot. A Windows ACME-kliensekkel kapcsolatos legégetőbb probléma, hogy az IIS-ben nem lehet új tanúsítványt telepíteni (bind). Néhány kliens GUI-t is kínál, de nem világos, hogy ezek jól működnek-e, és különösen, hogy működnek-e a DigiCert ACME implementációjával.

Elhatároztuk hogy keresünk egy ajánlható konkrét, minden funkcióval és megoldással rendelkező klienst, amely nem csak a tanúsítványt beszerzését kínálja a DigiCerttől, de telepíteni is képes azokat. Ez a win-acme kliens, amelyet letölhet az alábbi hivatalos oldalról. A letöltés után csomagolja ki és indítsa el a wacs.exe fájlt.

A win-acme beállítása és használata

Mint fentebb említettük, a DigiCert általi hitelesítéshez az ügyfélnek szüksége van egy ACME kulcsra, amelyet mi biztosítunk, és amelyet Ön állít be a win-acme kliensben.

Töltse le a klienst a hivatalos weboldalról, és csomagolja ki. Ne futtassa még a programot, hanem nyissa meg a setting.json fájlt. Ebben a szöveges fájlban három ACME url-t fog látni az "Acme" szakaszban, változtassa meg mindegyiket "https://acme.digicert.com/v2/acme/directory/"-ra. Ellenkező esetben a program nem fog tudni párbeszédet folytatni a DigiCert ACME-vel.

A módosítások után futtathatja a wacs.exe fájlt. Valószínűleg figyelmeztetést fog látni a Smartscreen-től, mivel az alkalmazás nincs digitálisan aláírva. Ezt meg kell kerülnie.

Az alkalmazás elindítása után ne menjen azonnal tanúsítványt kiállítani, előbb be kell állítania az ACME hitelesítő adatokat. Először válassza az O (More options), majd az A (Acme details) lehetőséget. A program kérni fogja a kulcs azonosítóját, majd a kulcsot Base64-ben - mindkét adatot megkapja tőlünk KID és HMAC key (így nevezik) néven. Írja be őket a rövidebb, majd a következő adatok sorrendjében. Ha belépett, térjen vissza a főmenübe.

Folytassa a tanúsítvány kiállítását. Válassza az N lehetőséget a főmenüből, és hagyja, hogy a varázsló vezesse Önt. Amikor új tanúsítványt kap, a rendszer lekérdezi a Sites adatait az IIS-ben, és felajánlja Önnek kiválasztásra. Csak azt kell kiválasztania, hogy melyik domaint szeretné használni a tanúsítvány CN-jeként.

Az első dolog, amit megkérdez, az a weboldal, amelyet be kell vizsgálni, és az IIS hostmane-ból kell megszerezni. A párbeszédpaneleket y(es) vagy n(o) válasszal nyugtázza a rendszer, és az alapértelmezett opció mindig színkóddal van jelölve. A következő párbeszédablakban a win-acme bot megmutatja az adott hostnévhez talált kötéseket. Ez a tartományok és a hozzájuk tartozó tanúsítványok listája. Ismét a megfelelő opciót választja, vagy megerősítheti az alapértelmezett opciót (jellemzően akkor, ha csak egy webhelye van az IIS-ben).

Ezután a win-acme ACME protokollon keresztül csatlakozik a DigiCerthez, és megpróbál új TLS tanúsítványt szerezni. Emlékezteti arra, hogy milyen tanúsítvány lesz és kinek állítják ki az általunk generált ACME kulcsok alapján.

A tanúsítvány kiállítása után, ami általában néhány másodpercet vesz igénybe, az új tanúsítványt az IIS-ben a korábban kiválasztott tartományhoz kell beállítani. Így nem kell fáradságosan importálni a tanúsítványt és szerkeszteni a bindingeket. Az alábbiakban egy megerősítést láthat, hogy a tanúsítványt sikeresen kiállították, és az IIS-ben a kiválasztott tartományhoz kötötték. Ezen a ponton aktív és készen is van!

Nem kell aggódnia a tanúsítvány megújítása miatt. A win-acme kliens létrehoz egy eseményt a szerveren/állomáson, amely naponta ismétlődik. Minden nap elindítja és megújítja a lejáró tanúsítványokat.

Végezetül

Az ACME protokoll hatékony eszköz a tanúsítványok életciklusának automatizálására. Ne habozzon a telepítéssel, mivel évente több száz órát takaríthat meg, amelyet korábban a TLS-tanúsítványok kézi kezelésével töltött. Az ACME URL megszerzéséhez lépjen kapcsolatba az SSLMarket ügyfélszolgálatával.