Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Education Center
    2. Public-Key-Infrastruktur (PKI)

Was ist das ACME-Protokoll? Wie funktioniert das ACME-Protokoll?

Geschrieben vonManimit Haldar 5 Minuten
Was ist das ACME-Protokoll?
Inhaltsverzeichnis

Die Internet Security Research Group entwickelte ursprünglich ein ACME-Protokoll (Automated Certificate Management Environment) für ihre öffentliche Zertifizierungsstelle Let's Encrypt. ACME ist die Grundlage des gesamten Geschäftsmodells von Let's Encrypt und ermöglicht die Ausgabe von 90-tägigen, domänenvalidierten Zertifikaten. SSL Zertifikate, die ohne Eingreifen des Website-Eigentümers erneuert und ersetzt werden können.

Ziel ist die Einrichtung einer HTTPS Server, der automatisch und ohne menschliches Eingreifen vertrauenswürdige Zertifikate erhält.

Übersicht

Die IETF hat eine Automated Certificate Management Environment (ACME) für die automatische Zertifikatsverwaltung entwickelt. Das ACME-Protokoll bietet eine effiziente Möglichkeit, die Berechtigung eines Zertifikatsantragstellers für die angeforderte Domäne zu überprüfen und installiert automatisch die Zertifikate.

Diese Validierung wird durchgeführt, indem der Anforderer aufgefordert wird, eine zufällige Zeichenfolge (bereitgestellt durch die CA oder Zertifikatsmanager) auf dem Server zur Verifizierung über HTTP oder in einem Textdatensatz des Domain Name System (DNS)-Eintrags des Servers. Clientprogramme wie Certbot können automatisch alle zum Anfordern eines Zertifikats erforderlichen Vorgänge ausführen und so den manuellen Aufwand minimieren. Let’s Encrypt und mehrere andere öffentliche CAs unterstützen die automatisierte Verwaltung öffentlich zugänglicher Zertifikate mithilfe des ACME-Protokolls. Öffentliche CAs können jedoch keine ACME-Validierung für Zertifikate durchführen, die auf Systemen innerhalb von Unternehmensnetzwerken installiert sind. Externe Entitäten können keine HTTP- oder DNS-Verbindungen zu internen Systemen herstellen. Der Zertifikatsmanager kann interne HTTP- und DNS-Verbindungen herstellen und für die ACME-basierte Zertifikatsverwaltung in internen Netzwerken verwendet werden. Eine Vielzahl von CAs, Zertifikatsmanagern und Clients auf einer breiten Palette von TLS-Servern und Betriebssystemen unterstützen das ACME-Protokoll, was ihm einen Vorteil verschafft. Ein Nachteil von ACME besteht darin, dass es keine primäre Methode gibt, um einen Zertifikatsersatz als Reaktion auf ein Zertifikatsereignis (z. B. CA-Kompromittierung) auszulösen.

ACME definiert ein erweiterbares Framework zur Automatisierung des Ausstellungs- und Validierungsprozesses dieser Zertifikate. Die Server können Zertifikate ohne menschliches Eingreifen abrufen.

ACME-Protokollmodell

ACME verwendet HTTPS als Transport für JavaScript Object Notation (JSON) Web Signature (JWS)-Objekte. Diese werden auch als REST bezeichnet. API.

ACME-Server laufen auf Zertifizierungsstellen (CA) und reagieren auf die Aktionen des Clients, sofern diese autorisiert sind. Der Client verwendet das ACME-Protokoll, um Zertifikatsverwaltung Aktionen. ACME-Clients werden durch „Kontoschlüsselpaare“ dargestellt. Ein privater Schlüssel wird verwendet, um alle Nachrichten an den Server zu signieren, und der ACME-Server verwendet öffentlichen Zugriff, um die Authentizität der Nachrichten zu überprüfen und die Integrität sicherzustellen.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

So funktioniert das ACME-Protokoll

Einrichten

Ein ACME-Server muss entsprechend konfiguriert werden, bevor er Anfragen empfangen und Zertifikate installieren kann. Die Einrichtung von ACME-Servern erfolgt wie folgt:

  • Einrichten einer CA: ACME wird in einer CA installiert, daher müssen wir eine CA in der Domäne auswählen, in der ACME verfügbar sein soll.
    • Geben Sie die Domäne ein, in der ACME installiert wird
    • Wählen Sie aus, auf welcher Zertifizierungsstelle es installiert werden soll
  • Genehmigung
    • Der Client kontaktiert die CA und generiert ein autorisiertes Schlüsselpaar
    • CA stellt DNS- oder HTTPS-Herausforderungen, auf die der Client antwortet und die er löst, um Autorität und Kontrolle nachzuweisen.
    • Die CA sendet außerdem einen Nonce, eine Zufallszahl, die mit dem privaten Schlüssel des Clients signiert und zur Überprüfung an die CA zurückgesendet wird.

Damit ist die Einrichtung von ACME abgeschlossen. Nach der Installation beginnt die Automatisierung zu arbeiten. ACME führt dazu einige Schritte aus:

  • Ausstellen/Erneuern von ZertifikatenACME ist berechtigt, Zertifikate für autorisierte Benutzer auszustellen oder zu erneuern. Zunächst generiert der Client (oder Agent) eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) und sendet diese an die Zertifizierungsstelle (CA). Die CSR wird vom Agenten signiert, und die Zertifizierungsstelle bestätigt, dass sie echt ist und vom Agenten stammt. Nach der Überprüfung stellt die Zertifizierungsstelle das Zertifikat für die Domäne aus und sendet es an den Agenten zurück.
Ausstellung und Erneuerung von Zertifikaten
  • Widerruf: Wie beim vorherigen Prozess signiert der Agent eine an die Zertifizierungsstelle gesendete Widerrufsanfrage. Die Zertifizierungsstelle bestätigt erneut die Authentizität der Anfrage und widerruft dann das Zertifikat. Es wird auf CRL, OCSP usw. veröffentlicht, für die PKI-Infrastruktur.
Widerrufszertifikate

ACME-Protokollfunktionen

ACME verwendet verschiedene URLs und Ressourcen für verschiedene Verwaltungsfunktionen. Einige Funktionen umfassen:

  • Neuer Nonce
  • Neuanmeldung
  • Neue Bewerbung
  • Neue Autorisierung
  • Zertifikat widerrufen
  • Tonartwechsel

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Vorteile

ACME bietet eine automatisierte Möglichkeit, Zertifikate schnell und ohne menschliche Fehler auszustellen und zu widerrufen. Darüber hinaus gibt es einige Vorteile, die Sie beachten sollten …

  • ACME ist kostenlos, sodass jeder Domäneninhaber kostenlos ein vertrauenswürdiges Zertifikat erhält.
  • Wie bereits erwähnt, automatisiert ACME den Zertifikatslebenszyklus ohne menschliche Fehler.
  • ACME kann von jedem verwendet werden, da es einheitliche Protokolle für alle Funktionen anstelle separater APIs unterstützt.
  • Sie werden durch Open Source unterstützt, was dazu beiträgt, die gesamte Community zu beeinflussen und wirkungsvollere Projekte zu entwickeln, wodurch die Sicherheit verbessert wird.
  • Im Falle einer Kompromittierung kann ACME dabei helfen, das Problem schnell zu beheben, die alten Zertifikate durch neue zu ersetzen und zu einer neuen Zertifizierungsstelle zu wechseln.

Fazit

Das ACME-Framework bietet eine effektive und effiziente Möglichkeit zur Verwaltung von SSL/TLS-Zertifikaten. Dadurch werden manuelle Eingriffe reduziert und menschliche Fehler minimiert. ACME-Domaininhaber profitieren von der schnellen und kostenlosen Ausstellung und Freigabe von Zertifikaten. Verschlüsselungsberatung unterstützt Sie bei der Implementierung und Umsetzung ACME-basierter Zertifikatsmanagementlösungen und gewährleistet so ein nahtloses und sicheres Zertifikatslebenszyklusmanagement.

Entdecken

Weitere Themen