ACME ügyfelek összehasonlítása és segítség az EAB ACME ügyfél kiválasztásában
Mi az ACME protokoll és az ACME ügyfél
Az ACME (Automated Certificate Management Environment) egy protokoll, amely lehetővé teszi az SSL/TLS tanúsítványok teljesen automatizált kiadását, megújítását és menedzsmentjét. A gyakorlatban kiküszöböli a kézi kérelem (CSR) generálást, a domain ellenőrzést és a tanúsítvány telepítést, ezáltal jelentősen egyszerűsíti a teljes folyamatot és csökkenti a hibák kockázatát. Az ACME közvetlenül kommunikál a hitelesítési hatósággal, és szabványosított kihívásokkal (pl. HTTP-01 vagy DNS-01) ellenőrzi, hogy a kérelmező valóban birtokolja az adott domént. Ennek köszönhetően néhány másodperc alatt megszerezhetők a tanúsítványok, és automatikusan, rendszeresen megújíthatók a lejárat előtt.
Az ACME ügyfél egy eszköz vagy szoftver, amely a felhasználó oldalán implementálja ezt a protokollt. Feladata az ACME szerverrel (például hitelesítési hatóság) való kommunikáció, kulcsok generálása, validációs kihívások megoldása és a kiadott tanúsítványok telepítése a szerverre vagy infrastruktúrára. Ismert ACME ügyfelek például a Certbot, az acme.sh vagy a modern tárhely platformok beépített eszközei. A helyesen konfigurált ACME ügyfél lehetővé teszi a teljesen felügyelet nélküli működést - a tanúsítványok automatikusan kiadásra és megújításra kerülnek, ami ideális megoldás a skálázható környezetekhez és a webes szolgáltatások biztonságos kezeléséhez.
Az ACME ügyfelek funkcióinak áttekintése
Az alábbi táblázatban szereplő összes ACME ügyfél automatikusan képes hitelesíteni és kiadni tanúsítványokat az ACME segítségével, beleértve az DigiCert EAB integrációt. Ez alapvető feltétele az ACME ügyfél hasznosításának, és ha ez nem lenne lehetséges, nem lenne értelme a felsorolásban szereplő ügyfél felsorolásának.
| Ügyfél | Alapvető információk és összetettség | Tanúsítvány automatizálás | Technikai paraméterek | Összegzés | |||||
|---|---|---|---|---|---|---|---|---|---|
| Operációs rendszer | EAB ACME támogatás | Telepítési mód | Telepítés a szerveren | Megújítás tervezése | DNS API támogatás | Nyelv | Tesztelve | Alkalmas | |
| Certbot | Linux, macOS | ✅ Igen | Rendszercsomag (apt / snap) | ✅ Teljes (Apache, Nginx) | ✅ Automatikus (systemd timer) | 50+ (bővítmények) ⚡ | Python | IGEN | Ajánlott, Linux webszerverek (Apache / Nginx) |
| win-acme | Windows Server | ✅ Igen | Telepítési varázsló (.exe) | ✅ Teljes (IIS) | ✅ Automatikus (Feladatütemező) | 30+ ⚡ | C# (.NET) | IGEN | Windows Server / IIS |
| Certify The Web | Windows | ✅ Igen | Telepítő (.msi) | ✅ Teljes (IIS, Exchange, SQL, API) | ✅ Automatikus (saját szolgáltatás) | 100+ (helyi szkriptek is) | C# (.NET) | IGEN | Kezdők számára Windows-on, rendelkezik GUI-val és utófeldolgozással |
| SimpleACME (WACS) | Windows Server | ✅ IGEN | Zip / Bináris .exe | ✅ Teljes (IIS, RDS, Exchange) | ✅ Automatikus (Feladatütemező) | 40+ (Posh-ACME bővítményekkel) ⚡ | C# (.NET) | IGEN | A win-acme utódja Windows/IIS számára |
| Cert-manager | Kubernetes (Linux) | ✅ Igen | Helm chart / Manifesztumok | ✅ Teljes (Engedélyezés / Átjáró API) | ✅ Automatikus (Vezérlő hurok) | 60+ (nativ és bővítmények) | Go | NEM | Kubernetes és felhő-natív környezetek |
| acme.sh | Linux, macOS, Unix | ✅ Igen | Telepítési szkript (curl) | ⚙️ Részleges (telepítési horog) | ✅ Automatikus (cron) | 150+ (nativ) ⚡ | Shell (Bash) | IGEN | Ajánlott, ideális DNS automatizálásra és DevOps-hoz |
| Lego | Linux, macOS, Windows | ✅ Igen | Bináris fájl letöltése | ⚙️ Részleges (telepítési horog) | ⚙️ Külső ütemező beállítása szükséges | 180+ (nativ) ⚡ | Go | IGEN | Felhő, Docker, CI/CD |
| Posh-ACME | Windows, Linux (PS Core) | ✅ Igen | PowerShell Galéria | ⚙️ Részleges (szkriptek) | ✅ Automatikus (Feladatütemező) | 100+ | PowerShell | Windows automatizálás és szkriptelés | |
| dc-acme | Linux, Windows | ✅ Igen | Telepítési szkript (curl / PS) | ⚙️ Részleges (Fájlrendszer / Egyedi kezelő) | ✅ Automatikus (rendszerszolgáltatás) | UltraDNS, Cloudflare, Route53, Azure | Java / TOML | Vállalati környezet (DigiCert MPKI / ONE) | |
✅ Teljesen automatikus - minden beavatkozás nélkül történik.
⚙️ Részben automatikus - kézi beállítást vagy szkriptet igényel.
⚡ DNS bővítmény használható a CZECHIA.COM/RegZone-hoz; vagy a projekt része, vagy külön a Githubon elérhető.
Hogyan válasszuk ki a megfelelő ACME ügyfelet
Az ACME ügyfél kiválasztása függ a céloktól, amelyeket van. Lehet, hogy csak tanúsítványt szeretne kiadni, és manuálisan vagy szkriptekkel tovább dolgozni vele, vagy szeretné, ha a teljes tanúsítvány életciklus automatizálódna a webszerveren, és nem kell vele többet foglalkoznia. Ezek fontos szempontok a választásnál.
A teljes tanúsítvány életciklus automatizálása több részből áll, amelyeket az ACME ügyfélnek tudnia kell megoldani:
- CA-val való kommunikáció - OV és EV tanúsítványokhoz az ügyfél részéről szükséges az EAB ACME támogatás. Nem minden ügyfél támogatja az EAB-t; például a natív ACME implementáció nginx-ben nem támogatja az EAB-t.
- Automatikus domain ellenőrzés - minden tanúsítvány kiadásakor domain ellenőrzésnek (DCV) kell megtörténnie, vagy a domain előzetesen ellenőrzöttnek kell lennie. Automatizált domain ellenőrzés nélkül a jövőben nem lehet tanúsítványokat kiadni.
- HTTP-01: A szerveren egy ellenőrző fájl kerül kihelyezésre, és a CA ezt ellenőrzi, a 80-as portot használva.
- DNS-01: Az ellenőrző rekord beállítása a domain DNS zónájában történik. A DNS rekord módosításához szükséges egy plugin az API szolgáltató DNS-hez (Cloudflare, CZECHIA.COM).
- Tanúsítvány kiadása - DV tanúsítványok azonnal kiadásra kerülnek, OV és EV esetén az alkalmazott szervezetnek előzetesen ellenőrzöttnek kell lennie. A kiadott tanúsítványt az ACME ügyfél helyileg tárolja a lemezen, ahol már van privát kulcs. A tanúsítvánnyal további munkára is van lehetőség szkriptek (telepítés-horog) segítségével.
- Tanúsítvány telepítése/Beállítása a szerveren - a tanúsítvány beállítása (telepítése) a megfelelő szolgáltatáshoz a webszerveren. Ez manipulációt és konfigfájlok módosítást + a szolgáltatás újraindítását igényli. Telepítés tipikusan csak Apache, nginx és IIS webszerverekre lehetséges.
Nem minden ACME ügyfél felel meg minden követelménynek. Ezért készült egy összefoglaló táblázat a választás megkönnyítésére.
Mit tegyünk, ha az ACME ügyfél nem támogatja a szerveremet
Az ACME ügyfelek tipikusan képesek a kiadott tanúsítványt a legelterjedtebb webszerverekre beállítani - Apache, nginx és IIS. Többnyire itt véget ér a képességeik. Ha olyan szerveren kell automatizálni a tanúsítványokat, amelyet nem támogatnak az ACME ügyfelek, akkor az automatizálást ketté kell osztani a tanúsítvány kiadására és a telepítés fázisára.
A kiadást mindig automatizálhatjuk az acme.sh és DNS segítségével; így a tanúsítványt bármely gépen kiadhatjuk, és nem szükséges közvetlenül azon a szerveren futtatni az ACME-t, ahol a HTTP-01-t szeretnék. A kiadott tanúsítványt aztán el kell juttatni a cél szerverre, és ott telepíteni kell, amit a konkrét webszerver típus szerint egyénileg kell szkriptelni.
Konzultáljon a támogatásunkkal
Ha ez a cikk nem válaszolta meg az összes kérdését, forduljon az SSLmarket támogatáshoz. A szakértők élőben rendelkezésre állnak minden nap.
