ACME für DV-Zertifikate ist endlich verfügbar

14.03.2024 | Jindřich Zechmeister

Automatisieren Sie den Lebenszyklus von DV-Zertifikaten mit DigiCert und SSLmarket. DV-Zertifikate in ACME haben lange auf sich warten lassen, aber jetzt ist das Warten vorbei und Sie können mit der Automatisierung beginnen. Sie können jetzt die Automatisierung mit allen Arten von TLS-Zertifikaten nutzen und sofort loslegen. In diesem Artikel erfahren Sie, wie Sie es machen.

Was ist ACME und wie funktioniert es?

Automatic Certificate Management Environment (ACME) ist ein Kommunikationsprotokoll zur Automatisierung von Aktionen zwischen Zertifizierungsstellen und den Servern ihrer Nutzer. Es ist im Standard RFC 8555 definiert, wird von einer Reihe von Zertifizierungsstellen unterstützt und in einer Reihe von plattformübergreifenden Tools (Linux- und Windows-Server, Kubernetes) implementiert. Agenten, die mit CAs über ACME kommunizieren, sind in der Regel in der Lage, das Zertifikat auch auf dem Server einzusetzen (abhängig von der jeweiligen Implementierung). Das ACME-Protokoll ist offen und nicht an eine bestimmte Technologie oder Zertifizierungsstelle gebunden. Aus diesem Grund hat sich eine große Nutzergemeinschaft entwickelt und ACME ist das wichtigste Automatisierungstool für TLS-Zertifikate geworden.

Da wir von Automatisierung sprechen, ist es logisch, dass der gesamte Lebenszyklus des Zertifikats ohne Benutzereingriff ablaufen muss. Im Falle von DV-Zertifikaten ist alles, was man braucht, um sie zu erhalten, die Bestätigung der Eigentümerschaft oder des Rechts, die Domain zu behandeln, was per E-Mail, DNS-Eintrag oder Datei geschieht. E-Mail für die Automatisierung macht keinen Sinn, für DNS brauchen Sie eine API zu einem Dienst, der DNS-Einträge verwaltet, was nicht sehr verbreitet ist. Bleibt die dritte Methode, die für DV ACME am besten funktioniert.

Die Methode, die eine Authentifizierungsdatei zur Authentifizierung von Domains verwendet (Challenge genannt), ist HTTP-01. Der ACME-Agent gibt eine Datei mit einem eindeutigen Hash an die Domain aus und die Domain wird sofort authentifiziert. Diese Methode ist die Standardmethode für ACME.

Sobald auf dem Server im ACME-Agenten eine Anforderung für ein neues Zertifikat oder eine Zertifikatserneuerung ausgelöst wird, erstellt der Agent einen CSR, sendet ihn an die Zertifizierungsstelle und autorisiert die Domain auf der Grundlage des von der Zertifizierungsstelle erhaltenen Hashs (erstellt eine Authentifizierungsdatei für die Website). Nach erfolgreicher Authentifizierung, die in der Regel innerhalb einer Minute erfolgt, wird das Zertifikat ausgestellt, der Agent lädt es herunter und setzt es auf dem Webserver ein. Sie als Administrator müssen überhaupt nichts tun.

Wie kann ich die ACME DV verwenden?

Der erste Schritt besteht darin, einen geeigneten "Agenten" auszuwählen und auf dem Server einzusetzen; der bekannteste ACME-Agent ist Certbot. Zu Beginn müssen Sie Ihre Bedürfnisse und die Funktionen, die einzelne Agenten bieten können, berücksichtigen. Wenn Sie keinen Favoriten haben, können Sie auch den Agenten von DigiCert im Rahmen der Dienstleistung Automation Manager verwenden. Zu Beginn ist es auch ratsam, zu prüfen, ob Sie die Konfiguration der Webserver ändern lassen können (Fokus auf Nicht-Standards, Backup-Einstellungen).

Damit der ACME-Client funktioniert, müssen Sie ACME-Zugangsdaten (ACME credentials) erhalten, die von der CA generiert werden. Wir machen es unseren Kunden so einfach wie möglich, diese zu erhalten und haben die Möglichkeit direkt in das SSLmarket-Kundenkonto integriert. Sie können ACME sofort nutzen und benötigen dazu keine Unterstützung von uns.

Bitte zögern Sie nicht, uns jederzeit zu kontaktieren, wenn Sie etwas brauchen. Wir sind für Sie da.

Der Unterschied zwischen ACME DV und OV/EV

Zertifikate mit Organisationsauthentifizierung, d. h. OV- und EV-Authentifizierung, sind weiterhin auf eine aktive Authentifizierung angewiesen. Wenn die Organisationsverifizierung zum Zeitpunkt der Zertifikatsanforderung nicht gültig ist, kann die Anforderung nicht erfolgreich sein und es gibt nichts Besonderes daran. Bei OV- und EV-Zertifikaten muss jedoch nicht nur die Organisation, sondern auch die Domain, die auf dem Zertifikat aufgeführt wird, vorher überprüft werden. Wenn Sie OV- und EV-Zertifikate mit ACME nutzen möchten, werden wir diese Vorabverifizierung selbstverständlich für Sie durchführen.

Bei DV-Zertifikaten ist die Organisation irrelevant, da sie nicht im Zertifikat angegeben ist, und Sie müssen nur ein DCV mit der HTTP-01-Methode für jede einzelne Zertifikatsanforderung durchführen.

SSLmarket ist Ihr Partner für Automatisierung

Wir können Ihnen helfen, den Lebenszyklus von Zertifikaten zu automatisieren und Ihr Leben zu vereinfachen. Nicht nur TLS-Zertifikate können automatisiert werden, sondern auch S/MIME Zertifikate für elektronische Signaturen oder Code Signing-Anwendungen.

Mit unserer Hilfe finden Sie die für Sie ideale Methode, die Ihnen Arbeit, Zeit und Ärger erspart.

---