Vergleich von ACME-Clients und Unterstützung bei der Auswahl eines Clients für EAB ACME
Was ist das ACME-Protokoll und der ACME-Client
ACME (Automated Certificate Management Environment) ist ein Protokoll, das eine vollständig automatisierte Ausstellung, Erneuerung und Verwaltung von SSL/TLS-Zertifikaten ermöglicht. In der Praxis eliminiert es die Notwendigkeit des manuellen Erstellens von Anfragen (CSR), der Domainvalidierung und der Installation von Zertifikaten, was den gesamten Prozess erheblich vereinfacht und das Risiko von Fehlern verringert. ACME kommuniziert direkt mit der Zertifizierungsstelle und verifiziert mit standardisierten Herausforderungen (z.B. HTTP-01 oder DNS-01), dass der Antragsteller die betreffende Domain tatsächlich besitzt. Dadurch können Zertifikate in wenigen Sekunden erhalten und automatisch regelmäßig erneuert werden, bevor sie ablaufen.
Ein ACME-Client ist ein Werkzeug oder eine Software, die dieses Protokoll auf der Benutzerseite implementiert. Seine Aufgabe ist es, mit dem ACME-Server (z.B. einer Zertifizierungsstelle) zu kommunizieren, Schlüssel zu generieren, Validierungsherausforderungen zu lösen und die ausgestellten Zertifikate auf dem Server oder in der Infrastruktur zu installieren. Bekannte ACME-Clients sind beispielsweise Certbot, acme.sh oder integrierte Tools in modernen Hosting-Plattformen. Ein richtig konfigurierter ACME-Client ermöglicht einen vollständig unbemannten Betrieb - Zertifikate werden automatisch ausgestellt und erneuert, was eine ideale Lösung für skalierbare Umgebungen und die sichere Verwaltung von Webdiensten darstellt.
Funktionsübersicht der ACME-Clients
Alle in der Tabelle aufgeführten ACME-Clients können automatisch ein Zertifikat mit ACME verifizieren und ausstellen, einschließlich der Integration mit DigiCert EAB. Dies ist die grundlegende Voraussetzung für die Nutzung eines ACME-Clients, und wenn dies nicht unterstützt würde, hätte es keinen Sinn, ihn in der Übersicht zu erwähnen.
| Client | Allgemeine Informationen und Komplexität | Zertifikatautomatisierung | Technische Parameter | Zusammenfassung | |||||
|---|---|---|---|---|---|---|---|---|---|
| Betriebssystem | Unterstützung EAB ACME | Installationsmethode | Installation auf dem Server | Erneuerungsplanung | Unterstützung DNS API | Sprache | Getestet | Geeignet für | |
| Certbot | Linux, macOS | ✅ Ja | Systempaket (apt / snap) | ✅ Vollständig (Apache, Nginx) | ✅ Automatisch (systemd timer) | 50+ (Plugins) ⚡ | Python | JA | Wir empfehlen, Linux-Web-Server (Apache / Nginx) |
| win-acme | Windows Server | ✅ Ja | Installationsassistent (.exe) | ✅ Vollständig (IIS) | ✅ Automatisch (Task Scheduler) | 30+ ⚡ | C# (.NET) | JA | Windows Server / IIS |
| Certify The Web | Windows | ✅ Ja | Installer (.msi) | ✅ Vollständig (IIS, Exchange, SQL, API) | ✅ Automatisch (eigener Service) | 100+ (einschließlich lokaler Skripte) | C# (.NET) | JA | Anfänger auf Windows, hat GUI und Post-Processing |
| SimpleACME (WACS) | Windows Server | ✅ JA | Zip / Binär .exe | ✅ Vollständig (IIS, RDS, Exchange) | ✅ Automatisch (Task Scheduler) | 40+ (inkl. Posh-ACME Plugins) ⚡ | C# (.NET) | JA | Nachfolger von win-acme für Windows/IIS |
| Cert-manager | Kubernetes (Linux) | ✅ Ja | Helm chart / Manifeste | ✅ Vollständig (Ingress / Gateway API) | ✅ Automatisch (Controller Loop) | 60+ (nativ + Plugins) | Go | NEIN | Kubernetes und Cloud-native Umgebungen |
| acme.sh | Linux, macOS, Unix | ✅ Ja | Installationsskript (curl) | ⚙️ Teilweise (Deploy-Hook) | ✅ Automatisch (cron) | 150+ (nativ) ⚡ | Shell (Bash) | JA | Wir empfehlen, ideal für DNS-Automatisierung und DevOps |
| Lego | Linux, macOS, Windows | ✅ Ja | Binäre Datei herunterladen | ⚙️ Teilweise (Deploy-Hook) | ⚙️ Externen Scheduler konfigurieren | 180+ (nativ) ⚡ | Go | JA | Cloud, Docker, CI/CD |
| Posh-ACME | Windows, Linux (PS Core) | ✅ Ja | PowerShell Gallery | ⚙️ Teilweise (Skripte) | ✅ Automatisch (Task Scheduler) | 100+ | PowerShell | Windows-Automatisierung und Skripting | |
| dc-acme | Linux, Windows | ✅ Ja | Installationsskript (curl / PS) | ⚙️ Teilweise (Filesystem / Custom Handlers) | ✅ Automatisch (Systemdienst) | UltraDNS, Cloudflare, Route53, Azure | Java / TOML | Enterprise-Umgebungen (DigiCert MPKI / ONE) | |
✅ Vollautomatisch - alles geschieht ohne Benutzereingriff.
⚙️ Teilweise automatisch - erfordert manuelle Konfiguration oder Skripting.
⚡ Sie können ein DNS-Plugin für CZECHIA.COM/RegZone verwenden; entweder ist es im Projekt enthalten oder separat auf Github erhältlich.
Wie man den richtigen ACME-Client auswählt
Die Auswahl eines ACME-Clients hängt von den Zielen ab, die Sie haben. Möglicherweise möchten Sie ein Zertifikat nur ausstellen und manuell oder über Skripte weiter damit arbeiten, oder Sie möchten die vollständige Automatisierung des Lebenszyklus des Zertifikats auf einem Webserver einrichten und sich nicht mehr darum kümmern. Dies sind die Kriterien, die für die Auswahl wichtig sind.
Die Automatisierung des gesamten Lebenszyklus des Zertifikats besteht aus mehreren Teilen, die vom ACME-Client gelöst werden müssen:
- Kommunikation mit der CA - für OV- und EV-Zertifikate ist die Unterstützung von EAB ACME auf Seiten des Clients erforderlich. Nicht jeder Client unterstützt EAB; beispielsweise unterstützt die native ACME-Implementierung in nginx EAB nicht.
- Automatische Domainvalidierung - bei jeder Zertifikatsausstellung muss eine Domainvalidierung (DCV) erfolgen oder die Domain muss vorab validiert werden. Ohne automatische Domainvalidierung wird es in Zukunft nicht möglich sein, Zertifikate auszustellen.
- HTTP-01: Ein Validierungsfile wird auf dem Server bereitgestellt und von der CA überprüft, es wird Port 80 verwendet.
- DNS-01: Ein Validierungseintrag wird in der DNS-Zone der Domain eingerichtet. Für die Änderung des DNS-Eintrags ist ein Plugin für das API des DNS-Anbieters erforderlich (Cloudflare, CZECHIA.COM).
- Ausstellung des Zertifikats - DV-Zertifikate werden sofort ausgestellt, für OV und EV muss die verwendete Organisation überprüft werden, was durch Vorprüfung gelöst wird. Das ausgestellte Zertifikat speichert der ACME-Client lokal auf der Festplatte, wo sich bereits der private Schlüssel befindet. Mit dem Zertifikat kann weiter mit Hilfe von Skripten gearbeitet werden (deploy-hook).
- Installation/Konfiguration des Zertifikats auf dem Server - Konfiguration (Installation) des Zertifikats bei der richtigen Dienstleistung auf dem Webserver. Dies erfordert die Anpassung und Änderung von Konfigurationsdateien und Neustart des Dienstes. Installation ist typischerweise nur für Apache-, nginx- und IIS-Webserver möglich.
Nicht jeder ACME-Client erfüllt alle Anforderungen. Deshalb haben wir eine Übersichtstabelle erstellt, die die Auswahl erleichtert.
Was tun, wenn der ACME-Client meinen Server nicht unterstützt
Typisch für ACME-Clients ist, dass sie das ausgestellte Zertifikat auf die am weitverbreitetsten Webserver - Apache, nginx und IIS - einstellen können. Meist enden hier ihre Fähigkeiten. Wenn Sie Zertifikate auf einem Server automatisieren müssen, der nicht von ACME-Clients unterstützt wird, sollte die Automatisierung in Stufen der Ausstellung und der Zertifikatsbereitstellung unterteilt werden.
Die Ausstellung können Sie immer mit acme.sh und DNS automatisieren; das Zertifikat können Sie somit auf jedem Server ausstellen lassen und müssen ACME nicht direkt auf dem Server ausführen, wie es HTTP-01 erfordert. Das ausgestellte Zertifikat müssen Sie dann auf den Zielserver bringen und dort installieren, was spezifisch je nach Typ des Webservers geskriptet werden muss.
Fragen Sie unser Support-Team um Rat
Falls dieser Artikel nicht alle Fragen beantwortet hat, zögern Sie nicht, sich an unseren SSLmarket-Support zu wenden. Lebendige Experten stehen Ihnen täglich zur Verfügung.
