Automatizace vydání a instalace TLS certifikátu (ACME protokol)

Certifikáty pro zabezpečení TLS spojení můžete získat zcela automaticky a do několika sekund. Můžete je také nechat automaticky nainstalovat na server. Se SSLmarketem bude správa TLS certifikátů ještě jednodušší!


Automatizace vydání a instalace certifikátu (ACME protokol)

Co je to ACME protokol

ACME protokol umožňuje komunikaci s CA přímo ze serveru a slouží k automatickému získání a instalaci TLS certifikátů. Dobrý ACME klient je následně schopen certifikát na server nainstalovat tak, že nemusíte nic dělat. Proces je tak plně automatický a certifikát na server nemusí nasazovat administrátor, což šetří váš čas i náklady. Více o ACME a jeho použití pro webové servery se dočtete zde.

Proces získání certifikátu

ACME implementace DigiCertu je založena na tzv. ACME External Account Binding (EAB). To znamená, že server si vede ACME účty a zákazníci se k nim autentizují. Komunikace s CA je díky tomu bezpečnější než bez autentizace; tuto technologii navíc podporuje Certbot i ostatní ACME klienti.

Autentizační údaje vůči CA, tzv. ACME credentials, můžete vytvořit sami přímo ve svém zákaznickém účtu. Naši zákazníci mohou začít používat ACME protokol ihned a není třeba nás kontaktovat.

ACME credentials obsahuje tři údaje, přičemž dva z nich jsou unikátní. ACME Directory URL odkazuje na DigiCert, který na něm naslouchá vaše požadavky. Dále obdržíte dva unikátní řetězce key identifier (KID) a HMAC key, které jsou unikátní pro každého zákazníka (proto je v žádném případě nesdílejte!). Identifier určuje, který certifikát chcete vydat a pro jsou organizaci bude určen (domény se specifikují samostatně v parametru ACME požadavku). HMAC klíč je tajemství, které slouží pro autentizaci a autorizaci.

Po vygenerování ACME credentials ve své zákaznické administraci můžete začít vydávat certifikáty. Celý proces zabere pouze sekundy; certifikát získáte a nainstalujete okamžitě a zcela bez námahy.

Návody pro ACME agenty

ACME protokol není závislý na konkrétní platformě; díky tomu můžete najít ACME klienta prakticky v každém větším programovacím nebo skriptovacím jazyce. Pro naše zákazníky provozující komerční webové servery budou nejdůležitější klienti pro Linux (Apache, nginx) a Windows Server. Provedli jsme detailní testování a výsledkem jsou následující doporučení.

Webový server na Linuxu

Pro použití ACME protokolu na Linuxu doporučujeme ACME klient Certbot, který umí certifikáty automaticky nainstalovat na Apache, nginx a ostatní běžné webservery. Stačí doinstalovat balík s příslušným doplňkem. Certbot funguje spolehlivě pro Apache i nginx a můžeme ho doporučit i pro komerční nasazení. Nemusíte očekávat žádné potíže. Více se dozvíte v návodu Získání TLS certifikátu přes ACME protokol na Linuxu

Windows Server a IIS

Populární Certbot je určen pro Linux a na Windows serveru ho nemůžete využít. Hledali jsme pro vás variantu, kterou můžeme doporučit pro ACME na Windows Serveru s IIS a doporučujeme win-acme. Otestovali jsme funkčnost tohoto klienta a můžeme ho pro Windows Server a IIS doporučit. Více informací a návod najdete v článku Využijte automatizaci pomocí ACME i na Windows serveru.

Byl tento článek pro vás užitečný?