SSL/TLS tanúsítványok automatikus kiállítása és telepítése (ACME protokoll)

A biztonságos kapcsolatot szolgáló TLS tanúsítványokat immár automatikusan megszerezheti, akár pár másodperc alatt. Ezt akár automatikusan is telepíttetheti a szerveren. Az SSLmarket segítségével az SSL/TLS tanúsítványok kezelése még egyszerűbbé válik!

Tanúsítványok automatikus kiállítása és telepítése (ACME protokoll)

Mit jelent az ACME protokoll?

Az ACME protokoll lehetővé teszi a CA és a szerver közvetlen kommunikációját és az SSL/TLS tanúsítványok automatikus kiállítását és telepítésére szolgál. Egy jó ACME kliens ezután telepítheti a tanúsítványt a szerverre, így nem kell semmi továbbiat tennie. Ez a folyamat teljesen automatizált, és az adminisztrátornak nem kell telepítenie a tanúsítványt a kiszolgálóra, szerverre, ezzel időt és pénzt takarítva meg. Bővebben az ACME-ről és felhasználásukról a webszervereken az alábbi oldalon olvashat.

Tanúsítvány beszerzésének folyamata

A DigiCert ACME implementációja az úgynevezett ACME External Account Binding (EAB) rendszeren alapul. Ez azt jelenti, hogy a kiszolgáló ACME-fiókokat tart fenn, és az ügyfelek ezeken hitelesítik magukat. Ennek köszöhetően a CA-val való kommunikációt biztonságosabb, mint a hitelesítés nélkül; ráadásul ezt a technológiát a Certbot és más ACME-kliensek is támogatják.

A hitelesítő hatóságnal történő hitelesítéshez létre kell hozni a fent említett hitelesítési adatokat - az úgynevezett ACME credentials-t. Ügyfeleink azonnal elkezdhetik használni az ACME protokollt, nincs is szükség arra, hogy kapcsolatba lépjenek velünk. Az ACME credentials adatokat Ön is létrehozhatja közvetlenül az ügyfélfiókjában. Nem kell kapcsolatba lépnie senkivel, és semmit sem kell előre egyeztetnie.

Az ACME credentials három információt tartalmaz, amelyek közül kettő egyedi. Az ACME Directory URL a DigiCertre mutat, amely figyeli a rajta keresztül érkező kéréseket. Ezenkívül két egyedi key identifier (KID) karakterláncot és egy HMAC key-t kap, , amelyek minden egyes ügyfélnél egyediek (ezért ezeket semmilyen körülmények között ne ossza meg!). Az identifier megadja, hogy melyik tanúsítványt szeretné kiállítani, és melyik szervezet számára lesz az (a tartományok külön kerülnek megadásra az ACME-kérelem paraméterében). A HMAC kulcs egy olyan titok, amelyet a hitelesítéshez és az engedélyezéshez használnak.

A ACME credentials kigenerálása után elkezdheti a tanúsítványok kiállítását az ügyfélfiókjában. Az egész folyamat csak másodperceket vesz igénybe; a tanúsítványt azonnal és könnyedén megkapja és telepíti..

Útmutató az ACME használatához

Az ACME protokoll nincs egy konkrét platformra készítve; ennek köszönhetően az ACME klienst szinte az összes nagyobb programozó vagy szkriptíró nyelvben megtalálja. A kereskedelmi, megszokott klienseket használó ügyfeleinknek a Linux (Apache, nginx vagy a Windows Server a legfontosabbak. Ezekhez részletes tesztelést végeztünk, és az alább leírtuk az ajánlott használatukat.

Linux Webszerverhez

Az ACME protokoll Linuxon történő használatához az ACME kliens Certbot alkalmazását javasoljuk, amely automatikusan telepíti a tanúsítványokat az Apache, nginx és más általános webkiszolgálókra. Elég hozzátelepíteni a megfelelő bővítményt. A Certbot megbízhatóan működik az Apache és az nginxen is, ezért ajánlani tudjuk kereskedelmi célra. Nem kell fennakadásra számítania. Bővebben olvashatTLS tanúsítvány megszerzése Linuxra az ACME protokoll által bejegyzésünkből.

Windows Server és IIS

A népszerű Certbot alapjáraton Linuxra készült, és nem használható Windows szerveren. Kerestünk tehát Önnek egy megoldást, amellyel az ACME-t IIS Windows Szerveren is tud használni, és a win-acme ajánljuk. Teszteltük ennek a kliensnek a működését, és ajánljuk Windows Server és IIS rendszerekhez. További információkat és útmutatót talál Használja ki az automatizálás előnyeit az ACME-vel még Windows szerveren is bejegyzésünkben.

Hasznos volt Önnek ez a cikk?