在現(xiàn)代商業(yè)運營快速發(fā)展的環(huán)境中，證書管理的自動化變得不可或缺。尤其是考慮到為物聯(lián)網(wǎng)設(shè)備、云系統(tǒng)、API、容器和應(yīng)用程序等各種應(yīng)用程序所需的機器身份數(shù)量呈指數(shù)級增長。在本博客中，我們將探討自動證書管理環(huán)境（ACME）的關(guān)鍵作用。

揭秘ACME 

ACME（Automated Certificate Management Environment）是一種通信協(xié)議，旨在自動化證書發(fā)放和域驗證中的復(fù)雜流程。

它使組織能夠輕松部署公鑰基礎(chǔ)設(shè)施，而無需用戶進行交互。最初由互聯(lián)網(wǎng)安全研究組（ISRG）為其Let's Encrypt服務(wù)構(gòu)想而成， 該協(xié)議通過HTTPS協(xié)議傳輸JSON格式的信息，并已由專門的IETF工作組在RFC 8555中規(guī)范為一個互聯(lián)網(wǎng)標準。

ACME的關(guān)鍵版本及其相應(yīng)的里程碑如下：

1、ACMEv1（2016年4月12日）

ACME的首次發(fā)布主要以單域證書發(fā)放為重點。它標志著ACME自動化證書管理之旅的開始。

2、ACMEv2（2018年3月13日）

ACMEv2是一個重要的更新，帶來了重大改變。它引入了對通配符SSL/TLS證書的支持，并通過優(yōu)化現(xiàn)有功能提高了用戶體驗。ACMEv2旨在使證書自動化更加多樣化和用戶友好。

3、ACME成為RFC 8555（2019年3月11日）

該里程碑將ACME的地位提升，并將其作為RFC 8555進行了標準化。它鞏固了ACME作為公認的用于互聯(lián)網(wǎng)上的證書發(fā)放和管理的協(xié)議的地位。

4、ACMEv1的生命周期結(jié)束（2021年6月）

ACMEv1的官方生命周期結(jié)束公告標志著它的停用，推動用戶過渡到更先進的ACMEv2協(xié)議。這個變化確保ACME與不斷發(fā)展的安全需求保持一致。

探索ACME證書管理協(xié)議 

ACME主要用于獲取域驗證（DV）證書，這種證書經(jīng)過最小的驗證。DV證書僅驗證域名的存在，不需要手動干預(yù)。盡管ACME也可以用于獲取更高價值的證書，如組織驗證（OV）和擴展驗證（EV）證書，但這些情況需要與ACME代理一起使用額外的支持機制。

ACME協(xié)議的核心目標是建立HTTPS服務(wù)器并自動信任證書，消除了容易出錯的手動程序的潛在問題。要使用該協(xié)議，需要兩個關(guān)鍵組件：

• 1、ACME客戶端，在任何需要可信SSL/TLS證書的服務(wù)器或設(shè)備上運行，啟動證書管理操作，如發(fā)放和撤銷。
• 2、ACME服務(wù)器，位于諸如Sectigo之類的證書頒發(fā)機構(gòu)（CA）中，響應(yīng)經(jīng)授權(quán)的客戶端的請求。

（注意：客戶端和服務(wù)器之間的通信通過HTTPS上的JSON消息進行。）

ACME在選擇CA提供商方面提供了靈活性，前提是他們支持該協(xié)議。雖然Let's Encrypt推薦使用用戶友好的certbot客戶端，因為它具有廣泛的兼容性和強大的文檔，但也可以在GitHub等平臺上找到其他可選的ACME客戶端，如ACMESharp、acme-client、GetSSL等，以滿足不同的偏好和需求。

配置ACME客戶端 

在將ACME集成到您的操作中之前，您需要選擇一個ACME客戶端，這有各種不同編程語言和環(huán)境的實現(xiàn)可供選擇。ACME的設(shè)計允許靈活選擇CA，前提是他們支持該協(xié)議。設(shè)置ACME客戶端涉及以下步驟：

• 1、客戶端要求用戶指定他們希望管理的域名。
• 2、客戶端提供與協(xié)議兼容的證書頒發(fā)機構(gòu)（CA）的選擇。
• 3、客戶端選擇后，它與選擇的CA建立通信并創(chuàng)建授權(quán)密鑰對。
• 4、CA提供涉及DNS或HTTPS的挑戰(zhàn)，以驗證客戶端對其域名的控制權(quán)。
• 5、CA提供一個隨機生成的數(shù)字（nonce），客戶端使用其私鑰對其進行簽名，以確認其對密鑰對的所有權(quán)。

使用ACME的自動化證書管理環(huán)境可以極大地簡化證書的獲取和管理過程。它提供了一種靈活、安全和用戶友好的方法，在現(xiàn)代業(yè)務(wù)操作中發(fā)揮著關(guān)鍵的作用。(銳成提供基于ACME服務(wù)的證書自動化部署，具體請聯(lián)系我們獲得支持)

如何利用ACME發(fā)放和撤銷證書？

對于發(fā)放或續(xù)訂，配備ACME代理的Web服務(wù)器生成一個證書簽名請求（CSR），然后將其轉(zhuǎn)發(fā)給證書頒發(fā)機構(gòu)（CA）進行處理。

以下是證書發(fā)放的步驟：

1、代理將一個證書簽名請求（CSR）發(fā)送給CA，請求為授權(quán)的領(lǐng)域發(fā)放證書，并指定一個特定的公鑰。

2、CSR使用相應(yīng)的私鑰和與該領(lǐng)域關(guān)聯(lián)的授權(quán)密鑰進行安全簽名。

3、在收到請求后，CA驗證兩個簽名。如果所有檢查都通過，CA會為授權(quán)的領(lǐng)域發(fā)放一個證書，并使用CSR中指定的公鑰，并迅速將證書發(fā)送回代理。

（圖：證書頒發(fā)/更新）

以下是證書撤銷過程的步驟：

代理使用與該領(lǐng)域關(guān)聯(lián)的授權(quán)密鑰對發(fā)起證書撤銷過程，以創(chuàng)建一個撤銷請求。

• 1、這個撤銷請求使用密鑰對進行簽名，以提供必要的身份驗證。
• 2、CA接收到撤銷請求后，進行徹底驗證以確認其授權(quán)。
• 3、一旦CA確認授權(quán)并驗證了撤銷請求，它將采取措施阻止接受被撤銷的證書。 
• 4、為了實現(xiàn)這一點，CA通過廣泛認可的撤銷渠道，如證書撤銷列表（CRL）或在線證書狀態(tài)協(xié)議（OCSP）來傳播撤銷信息。

（圖：證書撤銷）

揭示ACME協(xié)議的好處和應(yīng)用 

ACME倡議的愿景，由ISRG發(fā)起，旨在實現(xiàn)100%的HTTPS網(wǎng)站，強調(diào)加密的重要性。ACME通過自動化證書的獲取和管理，簡化HTTPS部署，并增強基于PKIX的認證，為一系列基于TLS的協(xié)議提供了支持，實現(xiàn)了這一愿景。

ACME具有以下優(yōu)勢：

• 1、它自動化了整個證書的生命周期，從發(fā)放和續(xù)訂到撤銷。 
• 2、它促進了CA和站點運營商實施TLS安全最佳實踐。 
• 3、它作為開放標準運行，促進了廣泛的采用。 
• 4、它代表了一個跨越任何單個組織影響的合作努力。 

ACME在證書自動化協(xié)議中的優(yōu)越性在于其作為開放標準的地位，強大的錯誤處理能力，遵循TLS和PKI管理的行業(yè)最佳實踐，以及來自專門社區(qū)的持續(xù)支持、處理備份CA的靈活性和成本效益。與其他替代協(xié)議不同，ACME提供了一種全面、安全、協(xié)作的方法，使其成為企業(yè)的首選。

通過集中平臺簡化證書管理。它自動化整個證書的生命周期，從發(fā)放到續(xù)訂和撤銷，減少了錯誤和安全漏洞的風(fēng)險。這種自動化增強了各種規(guī)模組織在當(dāng)今數(shù)字化環(huán)境中的安全性和可擴展性。

結(jié)論 

總之，ACME在PKI和數(shù)字安全領(lǐng)域是一股革命力量。該協(xié)議自動化和簡化證書管理，使其成為現(xiàn)代企業(yè)在處理數(shù)字安全和加密的復(fù)雜性時不可或缺的工具。

接受ACME不僅是朝著更安全的在線環(huán)境邁出的一步，而且是朝著更安全、高效和經(jīng)濟有效的證書管理方法邁出的一大步。

來源｜Encryptionconsulting
圖源｜Encryptionconsulting
編輯｜公鑰密碼開放社區(qū)
重要聲明：本文來自公鑰密碼開放社區(qū)，經(jīng)授權(quán)轉(zhuǎn)載，有部分增減，版權(quán)歸原作者所有，不代表銳成觀點，轉(zhuǎn)載的目的在于傳遞更多知識和信息。