ACME a EAB: podpora u webserverů (stav k 10/2025)
14. 10. 2025 | Jindřich Zechmeister
Zjistěte, jak využít ACME a EAB pro automatizaci TLS certifikátů. Porovnáváme podporu na Nginx, Apache, LiteSpeed a dalších, tipy pro DigiCert a implementaci bez starostí
ACME slouží ke správě životního cyklu certifikátů - od žádosti a instalace až po jejich obnovu. ACME můžete na SSLmarketu využít již několik let. Pojďme se společně podívat na stav podpory ACME u jednotlivých webových serverů.
ACME protokol a webové servery
Protokol ACME se původně využíval samostatně formou klientů, kdy jste přes nějaký program vystavili TLS certifikát a tento "ACME klient" ho i nainstaloval na webový server. Nejznámějším ACME klientem je Certbot a počáteční podpora webserveru Apache se postupně rozrostla, třeba i na Windows Server a IIS.
Aktuálním trendem je integrace ACME klienta přímo do webového serveru tak, aby si certifikát získával a nasazoval kompatibilním způsobem a nepotřebovali jste další software či zásahy. Máte tak „vše v jednom“. Příkladem webového serveru se zabudovaným ACME klientem je Caddy či OpenLiteSpeed. Nedávno získal nativní podporu ACME i Nginx, ale zatím neumí EAB, takže jej pro DigiCert nelze využít.
Co je to EAB v ACME
EAB (External Account Binding) je mechanismus v ACME, který přiřadí vašeho ACME klienta ke konkrétnímu účtu u certifikační autority. Při zakládání ACME účtu klient použije dvojici údajů od CA – identifikátor KID a tajný HMAC klíč – a tím se „spáruje“ s účtem vaší organizace. Díky tomu CA ví, kdo o certifikát žádá, může uplatnit interní pravidla a vystavovat i podnikové či placené certifikáty podle nastavení účtu. EAB nenahrazuje ověření domény (HTTP-01/DNS-01); pouze zajišťuje, že žádost přichází z autorizovaného účtu.
V SSLmarketu pak najdete zcela unikátní funkci - přehled všech certifikátů vydaných přes ACME, které vám naimportujeme na uživatelský účet se všemi metadaty a informacemi.
Aktuální podpora ACME u webových serverů
V tabulce níže vidíte přehled integrace ACME protokolu u jednotlivých webových serverů. Většina z nich má již ACME integrované a pokud umí i EAB, tak můžete využít certifikáty od DigiCertu a automatizovat je. ACME přístupy získáte snadno a zdarma ve vašem účtu SSLmarket.
| Webserver / Platforma | Nativní ACME klient | EAB podpora | Typ implementace | Poznámka / Interní klient |
|---|---|---|---|---|
| Apache HTTP Server | Ne | Ano (přes externího klienta) | Externí (Certbot, acme.sh, lego…) | Plugin např. certbot-apache; EAB řeší klient (funguje s DigiCert ACME). |
| NGINX (do 1.24) | Ne | Ano (přes externího klienta) | Externí (Certbot, acme.sh…) | Starší NGINX bez nativního ACME. |
| NGINX (od 1.25) | Ano | Ne | Nativní | Nativní ACME bez EAB; pro DigiCert použij externího klienta. |
| LiteSpeed / OpenLiteSpeed | Ano | Ano | Nativní (acme.sh interně) | Integrovaný klient na bázi acme.sh; EAB plně podporováno (DigiCert ACME). |
| Caddy | Ano | Ano | Nativní | Vestavěná správa certifikátů vč. EAB. |
| Traefik | Ano | Ano | Nativní | Interně spravuje certifikáty; EAB podporováno. |
| HAProxy | Částečně (přes hooky) | Ano (přes externího klienta) | Externí klient (acme.sh, Certbot…) | Cert vydá klient; nasazení deploy-hookem a reload HAProxy. |
| Lighttpd | Ne | Ano (přes externího klienta) | Externí klient | acme.sh / dehydrated; EAB řeší klient. |
| IIS / Exchange (Windows) | Ano | Ano | Externí (win-acme, Certify The Web) | Plně automatizovatelné; EAB podporováno (DigiCert ACME). |
| Tomcat / Jetty / Java servery | Ne | Ano (přes externího klienta) | Externí klient + hooky | Konverze do JKS/PKCS12; EAB řeší klient. |
| Postfix / Dovecot / Exim | Ne | Ano (přes externího klienta) | Externí klient + hooky | Nasazení skriptem; EAB řeší klient. |
| Kubernetes (cert-manager) | Ano | Ano | Controller / issuer | Podpora EAB; vhodné i pro DigiCert ACME issuer. |
| Envoy Proxy | Experimentální | Částečně (přes externí správce) | Integrace přes SDS/cert-manager | ACME řeší externí controller; EAB dle klienta. |
| Cloud platformy (Cloudflare / AWS / GCP) | Ano (vlastní správa) | Interní (mimo standardní EAB) | Cloud managed | Pro DigiCert ACME použij externího klienta mimo tyto služby. |
Závěr
ACME můžete využít pro automatizaci certifikátů prakticky kdekoliv. Základní návody najdete v naši nápovědě. Budete-li mít s použitím nějaké potíže či otázky, neváhejte kontaktovat naší zákaznickou podporu.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
