1. Főoldal
  2. Támogatás
  3. ACME és automatizálás
  4. Az ACME kliensek összehasonlítása és segítség az EAB ACME kliens kiválasztásához.
{"copy":"M\u00e1sol\u00e1s","expand":"R\u00e9szletek megjelen\u00edt\u00e9se","collapse":"Bez\u00e1r\u00e1s","copy_success":"M\u00e1solva!","copy_error":"Sikertelen m\u00e1sol\u00e1s!"}

ACME kliensek összehasonlítása és segítség az EAB ACME kliens kiválasztásához

Mi az ACME protokoll és az ACME kliens

Az ACME (Automated Certificate Management Environment) egy protokoll, amely lehetővé teszi az SSL/TLS tanúsítványok teljesen automatizált kiadását, megújítását és kezelését. A gyakorlatban kiküszöböli a kézi tanúsítványkérelmek (CSR) generálását, a domain-ellenőrzést és a tanúsítványok telepítését, ezáltal jelentősen leegyszerűsíti a teljes folyamatot és csökkenti a hibák kockázatát. Az ACME közvetlenül kommunikál a hitelesítésszolgáltatóval, és szabványosított kihívásokkal (pl. HTTP-01 vagy DNS-01) ellenőrzi, hogy a kérelmező valóban birtokolja az adott domaint. Ennek köszönhetően a tanúsítványok néhány másodperc alatt kiadhatók, és a lejárat előtt automatikusan megújíthatók.

Az ACME kliens egy eszköz vagy szoftver, amely a felhasználó oldalán implementálja ezt a protokollt. Feladata az ACME szerverrel (például hitelesítésszolgáltatóval) való kommunikáció, kulcsok generálása, a validációs kihívások kezelése, valamint a kiadott tanúsítványok telepítése a szerverre vagy infrastruktúrába. Ismert ACME kliensek például a Certbot, az acme.sh vagy a modern hostingplatformok beépített eszközei. A megfelelően konfigurált ACME kliens teljesen automatizált működést tesz lehetővé – a tanúsítványok kiadása és megújítása emberi beavatkozás nélkül történik, ami ideális skálázható környezetekhez és biztonságos üzemeltetéshez.

Az ACME kliensek funkcióinak áttekintése

Az alábbi táblázatban szereplő összes ACME kliens képes automatikusan hitelesíteni és kiadni tanúsítványokat ACME segítségével, beleértve a DigiCert EAB integrációt is. Ez alapvető feltétele az ACME kliens használatának; ha ezt nem támogatja, nincs értelme a felsorolásban szerepeltetni.

Kliens Alapinformációk és komplexitás Tanúsítvány-automatizálás Technikai paraméterek Összegzés
Operációs rendszer EAB ACME támogatás Telepítési mód Telepítés a szerveren Megújítás ütemezése DNS API támogatás Programnyelv Tesztelve Ajánlott felhasználás
Certbot Linux, macOS ✅ Igen Rendszercsomag (apt / snap) ✅ Teljes (Apache, Nginx) ✅ Automatikus (systemd timer) 50+ (bővítmények) ⚡ Python IGEN Ajánlott, Linux webszerverekhez (Apache / Nginx)
win-acme Windows Server ✅ Igen Telepítési varázsló (.exe) ✅ Teljes (IIS) ✅ Automatikus (Feladatütemező) 30+ ⚡ C# (.NET) IGEN Windows Server / IIS
Certify The Web Windows ✅ Igen Telepítő (.msi) ✅ Teljes (IIS, Exchange, SQL, API) ✅ Automatikus (saját szolgáltatás) 100+ (helyi szkriptek is) C# (.NET) IGEN Kezdőknek Windowson, GUI-val és utófeldolgozással
SimpleACME (WACS) Windows Server ✅ IGEN Zip / bináris .exe ✅ Teljes (IIS, RDS, Exchange) ✅ Automatikus (Feladatütemező) 40+ (Posh-ACME bővítményekkel) ⚡ C# (.NET) IGEN A win-acme utódja Windows/IIS környezetben
Cert-manager Kubernetes (Linux) ✅ Igen Helm chart / manifestek ✅ Teljes (Ingress / Gateway API) ✅ Automatikus (controller loop) 60+ (natív + bővítmények) Go NEM Kubernetes és cloud-native környezetek
acme.sh Linux, macOS, Unix ✅ Igen Telepítési szkript (curl) ⚙️ Részleges (deploy hook) ✅ Automatikus (cron) 150+ (natív) ⚡ Shell (Bash) IGEN Ajánlott, DNS automatizáláshoz és DevOps-hoz
Lego Linux, macOS, Windows ✅ Igen Bináris fájl letöltése ⚙️ Részleges (deploy hook) ⚙️ Külső ütemező szükséges 180+ (natív) ⚡ Go IGEN Cloud, Docker, CI/CD
Posh-ACME Windows, Linux (PS Core) ✅ Igen PowerShell Gallery ⚙️ Részleges (szkriptek) ✅ Automatikus (Feladatütemező) 100+ PowerShell Windows automatizálás és szkriptelés
dc-acme Linux, Windows ✅ Igen Telepítési szkript (curl / PS) ⚙️ Részleges (fájlrendszer / egyedi handlerek) ✅ Automatikus (rendszerszolgáltatás) UltraDNS, Cloudflare, Route53, Azure Java / TOML Enterprise környezet (DigiCert MPKI / ONE)
Magyarázat:
✅ Teljesen automatikus – minden beavatkozás nélkül működik.
⚙️ Részben automatikus – kézi beállítást vagy szkriptet igényel.
⚡ DNS plugin használható a CZECHIA.COM/RegZone-hoz; vagy a projekt része, vagy külön érhető el GitHubon.

Hogyan válasszuk ki a megfelelő ACME klienst

Az ACME kliens kiválasztása az Ön céljaitól függ. Előfordulhat, hogy csak ki szeretne állítani egy tanúsítványt, és azt később manuálisan vagy szkriptekkel kezeli, vagy teljes automatizálást szeretne a webszerveren a tanúsítvány teljes életciklusára. Ezek kulcsfontosságú szempontok a választás során.

A teljes tanúsítvány-életciklus automatizálása több lépésből áll, amelyeket az ACME kliensnek kezelnie kell:

  • Kommunikáció a hitelesítésszolgáltatóval (CA) – OV és EV tanúsítványokhoz szükséges az EAB ACME támogatás. Nem minden kliens támogatja; például az nginx natív ACME implementációja nem.
  • Automatikus domain-ellenőrzés – minden kiadásnál szükséges (DCV), vagy a domainnek előzetesen validáltnak kell lennie. Automatizálás nélkül a jövőben nem lesz lehetséges tanúsítványt kiadni.
    • HTTP-01: A szerveren egy ellenőrző fájl kerül elhelyezésre, amelyet a CA a 80-as porton ellenőriz.
    • DNS-01: Az ellenőrző rekord a domain DNS zónájába kerül. Ehhez DNS API plugin szükséges (pl. Cloudflare, CZECHIA.COM).
  • Tanúsítvány kiadása – a DV tanúsítványok azonnal kiadásra kerülnek, OV és EV esetén a szervezet előzetes validációja szükséges. A tanúsítványt az ACME kliens helyben, a privát kulccsal együtt tárolja, és további feldolgozás (deploy hook) is lehetséges.
  • Telepítés a szerverre – a tanúsítvány hozzárendelése a megfelelő szolgáltatáshoz. Ez konfigurációs fájlok módosítását és a szolgáltatás újraindítását igényli, és jellemzően Apache, nginx és IIS esetén támogatott.

Nem minden ACME kliens felel meg minden követelménynek, ezért készítettük ezt az áttekintő táblázatot.

Mi a teendő, ha az ACME kliens nem támogatja a szervert

Az ACME kliensek általában a legelterjedtebb webszervereket támogatják (Apache, nginx, IIS). Ha az Ön szervere nem tartozik ezek közé, az automatizálást két részre kell bontani: kiadásra és telepítésre.

A kiadás mindig automatizálható például az acme.sh és DNS segítségével, így nem szükséges közvetlenül a cél szerveren futtatni az ACME-t. A kiadott tanúsítványt ezt követően át kell juttatni a cél szerverre, és ott egyedi szkripttel telepíteni.

Konzultáljon a támogatásunkkal

Ha ez a cikk nem adott választ minden kérdésére, forduljon bizalommal az SSLmarket támogatásához. Szakértőink minden nap rendelkezésre állnak.