Végre elérhető az ACME a DV tanúsítványokhoz is

2024. márc. 10. | Pataki Tamás

Automatizálja a DV tanúsítványok életciklusát a DigiCert és az SSLmarket segítségével. A DV tanúsítványok az ACME-ben már régóta várólistán vannak, de most már végre elkezdheti automatizálni ezeket is. Mostantól minden típusú TLS-tanúsítványt automatizálhat. Ez a cikk leírja hogyan is teheti ezt meg.

Mi az ACME és hogyan működik

Az Automatic Certificate Management Environment (ACME) egy kommunikációs protokoll a hitelesítő hatóság (CA) és a felhasználók szerverei közötti műveletek automatizálására. Ezt az RFC 8555 szabvány határozza meg, és számos CA támogatja, valamint számos platformokon átívelő eszközben (Linux és Windows szerver, Kubernetes) implementálva van. Az ACME-t használó CA-kkal kommunikáló kliensek általában képesek a tanúsítványt a szerverre is telepíteni (az adott implementációtól függően). Az ACME protokoll nyílt, és nem kötődik egy adott technológiához vagy CA-hoz, ezért is alakult ki egy nagy felhasználói közössége, és vált a TLS-tanúsítványok fő automatizálási eszközévé.

Mivel automatizálásról beszélünk, logikus, hogy a tanúsítvány teljes életciklusának felhasználói beavatkozás nélkül kell lezajlania. A DV-tanúsítványok esetében a megszerzésükhöz mindössze a domén birtoklását vagy kezelését megerősíteni, ami e-mailben, DNS-rekordon vagy fájlon keresztül történik. Az e-mail automatizálásnak nincs értelme, a DNS-hez pedig valamilyen API-ra van szükség egy olyan szolgáltatáshoz, amely DNS-rekordokat kezel, ami nem eléggé elterjedt. Marad a harmadik módszer, amely a DV ACME számára a legjobban működik.

Az a módszer, amely egy hitelesítési fájlt használ a tartományok hitelesítésére (az úgynevezett challenge), a HTTP-01. Az ACME-kliens kiad egy egyedi hash-t tartalmazó fájlt a tartománynak, és a tartomány azonnal hitelesítésre kerül. Ez a módszer az ACME alapértelmezett módszere.

Miután az ACME-kliens kiszolgálója lefuttat egy új tanúsítványra vagy megújításra vonatkozó kérelmet, a kliens létrehoz egy CSR-t, elküldi a CA-nak, és a CA-tól kapott hash alapján hitelesíti a domain-t (létrehoz egy hitelesítési fájlt a webhely számára). A sikeres hitelesítés után, ami általában egy percen belül megtörténik, a tanúsítványt kiállítják, a kliens letölti és telepíti a webszerverre. Önnek, mint rendszergazdának, semmi egyebet nem kell tennie.

Hogyan működik az ACME
Hogyan működik az ACME

Hogyan használhatom az ACME DV-t?

Az első lépés egy megfelelő "kliens" kiválasztása és telepítése a szerveren; a legismertebb ACME-kliens a Certbot. Kezdetben mérlegelni kell az igényeket és az egyes kliensek által kínált funkciókat. Ha nincs favoritja, használhatja a DigiCert Automation Manager ügynököt is. Kezdetben célszerű azt is megnézni, hogy hagyja-e, hogy a webszerverek konfigurációját módosítsák (a nem szabványos, biztonsági mentési beállításokra legyen a figyelmük középpontjában),

Az ACME-kliens működéséhez ACME-hitelesítési adatokra van szükség, amelyeket a CA generál. Ügyfeleink számára a lehető legegyszerűbbé tesszük ezek megszerzését, és ezt közvetlenül az SSLmarket ügyfélfiókjába implementáltuk. Azonnal elkezdheti használni az ACME-t, és ehhez nincs szüksége a segítségünkre.

Természetesen szükség esetén ne habozzon felvenni a kapcsolatot ügyfélszolgálatunkkal.

Az ACME DV és az OV/EV közötti különbség

A szervezeti hitelesítéssel rendelkező tanúsítványok, azaz az OV és az EV hitelesítés továbbra is aktív hitelesítésre támaszkodnak. Ha a szervezet vagy vállalat hitelesítése nem hatályos a tanúsítványkérés időpontjában, akkor a kérelem nem lehet sikeres. Az OV és EV tanúsítványok esetében azonban a tanúsítványon feltüntetett domaint is előzetesen hitelesíteni kell, nem csak a vállalatot. Ha OV és EV tanúsítványokat kíván használni az ACME-vel, akkor természetesen gondoskodunk erről az elő hitelesítésről.

A DV-tanúsítványok esetében a vállalatnak nincs jelentősége, mivel az nincs megadva a tanúsítványban, és elegendő a DCV-t (domain hitelesítést) a HTTP-01 módszerrel elvégezni minden egyes tanúsítványkérelemhez.

Az SSLmarket az Ön partnere az automatizálásban

Segítünk automatizálni a tanúsítványok életciklusát és egyszerűsíteni az életét. Nem csak a TLS tanúsítványok automatizálhatók, hanem a S/MIME tanúsítványok digitális aláíráshoz vagy a Code Signing tanúsítványok alkalmazások aláírásához is.

Segítségünkkel megtalálhatja a Önnek leginkább megfelelő módszert, amellyel munkát, időt és rengeteg fejtörést takaríthat meg.


Pataki Tamás
Biztonságos SSL tanúsítványok szakértője
Symantec Sales Expert Plus
e-mail: pataki(at)zoner.hu