DigiCert představil ACME klienta DC-ACME pro automatizaci

2. 1. 2026 | Jindřich Zechmeister

Nový ACME klient DC-ACME od DigiCertu umožňuje automatickou obnovu certifikátů bez nástrojů třetích stran. Nemusíte tedy spoléhat na Certbota či jiné programy. ACME EAB údaje získáte snadno v účtu SSLmarketu a můžete ho hned začít používat.

Nový ACME klient přímo od CA DigiCert

Automatizace správy TLS certifikátů se v posledních letech stala běžnou součástí provozu serverové infrastruktury. Protokol ACME (Automatic Certificate Management Environment) umožňuje automatizované vystavování, instalaci i obnovu certifikátů bez nutnosti manuálních zásahů. U komerčních certifikačních autorit však byla tato automatizace dlouhou dobu postavena především na použití ACME klientů třetích stran.

DigiCert nyní tento model významně rozšiřuje. Představil vlastní oficiální ACME klient s označením DC-ACME, který umožňuje využívat ACME služby DigiCertu bez nutnosti nasazení externích nástrojů. Instalační skripty a dokumentace jsou dostupné na oficiální stránce DigiCert Automation Service.

ACME u DigiCertu: jednodušší provozní model

Doposud DigiCert doporučoval využití standardních ACME klientů kompatibilních s ACMEv2 protokolem. Tento přístup je nadále podporován a zůstává plně funkční. V praxi však znamenal nutnost volby vhodného klienta, jeho instalaci, údržbu a integraci do provozního prostředí.

DC-ACME představuje alternativu, která tyto kroky sjednocuje. Jde o oficiální ACME klient přímo od DigiCertu, navržený tak, aby byl plně kompatibilní s jeho ACME službou a zároveň poskytoval předvídatelné chování napříč platformami. K dispozici jsou instalační skripty pro Linux i Windows, včetně podpory běhu jako systémové služby.

Podrobnosti k architektuře a principům ACME automatizace u DigiCertu jsou popsány v oficiální dokumentaci: DigiCert – ACME Automation Service.

External Account Binding (EAB) jako součást bezpečnosti

Součástí ACME integrace u DigiCertu je použití mechanismu External Account Binding (EAB). Ten slouží k bezpečnému propojení ACME účtu s konkrétním zákaznickým oprávněním a produktovým nastavením. Při registraci ACME účtu se používá dvojice údajů – Key ID (KID) a HMAC klíč.

Pro zákazníky SSLmarketu je získání EAB údajů velmi jednoduché. ACME EAB credentials jsou dostupné přímo v zákaznickém účtu SSLmarketu, kde je lze vygenerovat a následně použít při konfiguraci ACME klienta DC-ACME.

Ověřování domén a podpora DNS-01

Automatizace vystavování certifikátů je založena na ověřování vlastnictví domény pomocí validačních metod definovaných protokolem ACME. Vzhledem k tomu, že pro získání certifikátu v budoucnu bude nutné využít pouze automaticeké metody ověření, je dobré začít používat právě v ACME dostupné metody HTTP a DNS. V prostředích, kde není vhodné nebo možné vystavovat HTTP služby přímo do internetu, se velmi často využívá metoda DNS-01.

DigiCert poskytuje k DC-ACME rozsáhlou dokumentaci k integraci DNS-01 výzev včetně návodů pro jednotlivé DNS providery. To výrazně usnadňuje nasazení automatizace i v komplexnějších infrastrukturách, včetně podpory wildcard certifikátů.

Přehled a technické detaily k DNS-01 výzvám jsou dostupné zde: DC-ACME DNS-01 Challenge Guide.

Závěr

Nový ACME klient DC-ACME představuje pro zákazníky DigiCertu další možnost, jak zavést automatizovanou správu certifikátů s menší provozní složitostí. Zůstává zachována kompatibilita se standardem ACMEv2, zároveň však přibývá oficiálně podporovaný nástroj přímo od certifikační autority.

Zákazníci SSLmarketu mohou tento přístup využít bez složité konfigurace – potřebné EAB údaje jsou dostupné v zákaznickém účtu a DC-ACME lze nasadit pomocí oficiálních instalačních skriptů. Pro organizace, které hledají stabilní a předvídatelné řešení automatizace certifikátů, jde o zajímavý a praktický krok vpřed.