Srovnání protokolů ACME, EST, SCEP a CMPv2 pro získávání certifikátů
25. 6. 2025 | Jindřich Zechmeister
Automatizace správy digitálních certifikátů je klíčová pro moderní IT prostředí – od webových serverů přes mobilní zařízení až po podnikové PKI. Existuje několik protokolů, které slouží k získávání certifikátů od certifikačních autorit (CA). V tomto článku si porovnáme čtyři nejrozšířenější protokoly: ACME, EST, SCEP a CMPv2
Srovnání protokolů pro automatizaci certifikátů
Dnešním IT světem hýbe téma automatizace TLS certifikátů, která je motivovaná jejich blízkým zkrácením platnosti na 47 dní. Pojďme se společně podívat na nejrozšířenější protokoly pro získání TLS certifikátů a jak je můžete využít. Všechny uvedené protokoly umožňují automatizované získávání certifikátů – ať už jde o jednoduché webové nasazení pomocí ACME, správu zařízení přes SCEP nebo EST, či enterprise scénáře s plnou kontrolou pomocí CMPv2.
Pojďme se společně podívat na jednotlivé protokoly.
ACME – Automatic Certificate Management Environment
ACME je moderní protokol, který automatizuje získávání a obnovování certifikátů; podporují ho velké CA jako DigiCert. Komunikuje přes HTTPS a používá doménovou validaci (DNS nebo HTTP).
- Výhody: jednoduchost, rozšířená podpora, plná automatizace
- Nevýhody: omezené použití mimo TLS/web certifikáty
EST – Enrollment over Secure Transport
EST je bezpečnější nástupce SCEP. Využívá HTTPS a umožňuje ověření pomocí TLS klientských certifikátů nebo tzv. enrollment kódů. Často se používá v IoT a podnikových sítích.
- Výhody: silné šifrování, podpora oboustranné autentizace
- Nevýhody: náročnější implementace, méně rozšířený
SCEP – Simple Certificate Enrollment Protocol
SCEP je starší a jednodušší protokol široce používaný v síťových zařízeních (např. Cisco) a MDM řešeních. Autentizace probíhá pomocí statického hesla zvaného challenge password.
- Výhody: široká podpora, jednoduchost
- Nevýhody: slabší bezpečnost, omezená funkcionalita
CMPv2 – Certificate Management Protocol v2
CMPv2 je komplexní protokol pro správu certifikátů v celém jejich životním cyklu – včetně vydání, obnovy, revokace a aktualizace klíčů. Je určen především pro enterprise prostředí a telco.
- Výhody: robustní, flexibilní, kompletní PKI podpora
- Nevýhody: vyšší komplexnost, složitější nasazení
Srovnávací tabulka
| Vlastnost / Protokol | ACME | EST | SCEP | CMPv2 |
|---|---|---|---|---|
| Primární použití | Web/TLS certifikáty | IoT, zařízení | MDM, sítě | Enterprise PKI |
| Transport | HTTPS (REST) | HTTPS | HTTP | HTTP(S), TCP |
| Autentizace | DNS/HTTP validace | TLS cert., enrollment kód | Challenge password | Flexibilní (PKI) |
| Obnova certifikátu | ✅ Ano | ✅ Ano | ⚠️ Omezená | ✅ Plná |
| Revokace certifikátu | ⚠️ Omezená | ⚠️ Možná | ❌ Ne | ✅ Ano |
| Podpora šifrování | Moderní | Moderní | Zastaralé | Moderní |
| Jednoduchost | ✅ Jednoduchý | ⚠️ Střední | ✅ Jednoduchý | ❌ Složitý |
| Standardizace | RFC 8555 | RFC 7030 | Cisco/IETF draft | RFC 4210 |
| Automatizace certifikátů | ✅ Plná automatizace | ✅ Částečná automatizace | ✅ Základní automatizace | ✅ Plná automatizace |
Jak tyto protokoly využít?
Protokol ACME je dostupný každému zákazníkovi zdarma u SSLmarketu. Díky tomu si můžete automatizovat vydávání a obnovu TLS certifikátů bez dodatečných nákladů a složité konfigurace. Stačí se přihlásit do své zákaznické administrace a kliknout na odkaz ACME v horním menu. Pak si zdarma vytvoříte přístupy do EAB ACME DigiCertu.
Všechny čtyři zmíněné protokoly – ACME, EST, SCEP i CMPv2 – jsou podporovány v řešení DigiCert Trust Lifecycle Manager, které slouží jako centrální platforma pro správu certifikátů a klíčového materiálu v rámci celé organizace. Umožňuje bezpečné a automatizované nasazení certifikátů napříč různými prostředími (on-premise, cloud, hybrid) a podporuje integraci s MDM, DevOps i síťovou infrastrukturou. Více informací o DigiCert Trust Lifecycle Manager najdete na jeho produktové stránce.
Závěr
Volba správného protokolu závisí na konkrétním scénáři. ACME je ideální pro automatizaci TLS certifikátů, EST pro moderní IoT a zařízení, SCEP pro starší infrastruktury a CMPv2 pro plně řízené PKI v enterprise prostředích. Správná integrace těchto protokolů může výrazně zjednodušit správu certifikátů a zvýšit bezpečnost celé infrastruktury.
ACME může využít každý zákazník SSLmarketu zdarma, pro komplexní řešení doporučujeme DigiCert Trust Lifecycle Manager. Rádi vám ho předvedeme.
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
