Automatizace vydání a instalace SSL/TLS certifikátu (ACME protokol)

Certifikáty pro zabezpečení SSL/TLS spojení můžete získat zcela automaticky a do několika sekund. Můžete je také nechat automaticky nainstalovat na server. Se SSLmarketem bude správa SSL/TLS certifikátů ještě jednodušší.

Automatizace vydání a instalace certifikátu (ACME protokol)

Co je to ACME protokol

ACME protokol umožňuje komunikaci s CA přímo ze serveru a slouží k automatickému získání a instalaci SSL/TLS certifikátů. Dobrý ACME klient je následně schopen certifikát na server nainstalovat tak, že nemusíte nic dělat. Proces je tak plně automatický a certifikát na server nemusí nasazovat administrátor, což šetří váš čas i náklady.

Proces získání certifikátu

Před použitím ACME protokolu pro certifikáty DigiCert je třeba nás kontaktovat. V prvním kroku necháme ověřit vaši společnost a domény, které chcete používat.

Jakmile je tento krok dokončen, tak od nás obdržíte takzvané ACME Directory URL, které je pro každého zákazníka a pro každý produkt individuální. Voláním tohoto URL certifikační autoritě řeknete, který certifikát chce vydat a pro koho bude určen (domény se specifikují v parametru ACME požadavku).

Po obdržení konkrétního ACME URL můžete začít vydávat certifikát pro své předem ověřené domény. Celý proces zabere pouze sekundy; certifikát získáte a nainstalujete okamžitě a zcela bez námahy.

DigiCert momentálně umožňuje přes ACME vydat OV a EV certifikáty, nikoliv DV certifikáty s doménovým ověřením. Ty budou zpřístupněny časem.

Návody pro ACME agenty

ACME protokol není závislý na konkrétní platformě; díky tomu můžete najít ACME klienta prakticky v každém větším programovacím nebo skriptovacím jazyce. Pro naše zákazníky provozující komerční webové servery budou nejdůležitější klienti pro Linux (Apache, nginx) a Windows Server. Provedli jsme detailní testování a výsledkem jsou následující doporučení.

Webový server na Linuxu

Pro použití ACME protokolu na Linuxu doporučujeme ACME klient Certbot, který umí certifikáty automaticky nainstalovat na Apache, nginx a ostatní běžné webservery. Stačí doinstalovat balík s příslušným doplňkem. Certbot funguje spolehlivě pro Apache i nginx a můžeme ho doporučit i pro komerční nasazení. Nemusíte očekávat žádné potíže.

Windows Server a IIS

Pro použití ACME na Windows Serveru s IIS můžete využít například Posh-ACME. Zatím jsme s ním ve fázi testování a nedoporučujeme ho pro komerční účely.