新网站建设教程,网站设计平台 动易,品牌策划公司口号,互联斗士网站建站组织的网站需要 24x7 全天候可用#xff0c;以建立信任并提供信息#xff0c;如果网站因证书过期而停机#xff0c;那么很难恢复失去的客户信任、收入和品牌声誉#xff0c;手动管理证书基础结构会使组织面临中断、中间人 #xff08;MITM#xff09; 攻击等的严重风险。…组织的网站需要 24x7 全天候可用以建立信任并提供信息如果网站因证书过期而停机那么很难恢复失去的客户信任、收入和品牌声誉手动管理证书基础结构会使组织面临中断、中间人 MITM 攻击等的严重风险。
自动证书管理环境 ACME 是一种通信协议无需任何人工干预即可自动颁发、安装、续订和吊销 PKI 证书ACME 自动执行证书颁发机构 CA 与托管 PKI 证书的 Web 服务器或设备之间的交互。
ACME最初由互联网安全研究小组专门为自己的证书服务Let’s Encrypt创建用于颁发域验证DVSSL / TLS证书。现在多个 CA 越来越多地采用 ACME 协议来颁发不同类型的证书例如扩展验证 EV 和组织验证 OV。
使用 ACME 协议的优势
无许可费;开源工具需要最少的集成时间;易于设置和使用为组织节省时间、成本和劳动密集型手动工作防止由于中断而导致的MITM攻击和安全风险直接联系 CA消除冗长的等待队列无需人工干预由开源社区持续增强敏捷且可扩展快速将受损证书替换为新证书灾难发生时轻松切换到其他 CA
ACME 协议如何工作
ACME 遵循客户端-服务器架构其中它们使用 JSON 消息通过加密的 HTTPS 连接安全地相互通信。
客户ACME 客户端也称为 ACME 代理在需要部署 PKI 证书的任何 Web 服务器或计算机上运行它代表安装它的 Web 服务器发送证书颁发、续订和吊销请求。服务器ACME 服务器在 CA 上运行例如 Let’s Encrypt 或 Sectigo并响应 ACME 客户端发出的请求。
如何设置 ACME 客户端-服务器体系结构
与任何客户端-服务器体系结构一样ACME 服务器响应并执行 ACME 客户端发出的证书请求颁发、续订、吊销用户开始使用的第一步是选择需要安装的客户端。
尽管有大量可用的客户端但建议开始使用 Certbot这是一个易于使用且适用于许多操作系统的 ACME 客户端。这是一个免费的开源工具每 60 天续订一次证书。
在自动化 PKI 证书管理之前必须彻底设置客户端和服务器由于 ACME 服务器仅接受来自授权客户端的请求因此必须确保客户端经过身份验证才能发出请求。因此为了证明其真实性ACME 客户端需要完成 ACME 服务器提出的挑战。
ACME挑战
有两种类型的ACME挑战HTTP和DNS。它们可以在不到 15 秒的时间内快速完成。
HTTP当 ACME 客户端向 CAACME 服务器发送请求时CA 会发回要安装在客户端上的令牌。客户端使用该令牌创建一个文件并在该文件后附加授权密钥的指纹。安装文件后客户端会通知 CA。ACME 服务器检索并验证文件从而完成质询。域名解析DNS 质询与 HTTP 质询类似但需要额外的验证因素。除了使用令牌安装文件外ACME 客户端还需要在 DNS 空间的 TXT 记录中放置一个给定值。质询完成后服务器将执行 DNS 查找并检索 TXT 记录。
配置 ACME 客户端
选择 ACME 客户端后下一步是在需要由 PKI 证书保护的服务器或计算机上对其进行配置。概述如下 确定域后从支持 ACME 的 CA 列表中选择所需的 CA。ACME 客户端联系 CAACME 服务器并生成授权密钥对。CA 为客户端发出质询HTTP 或 DNS以验证其身份它还发送一个随机数随机生成的数字。客户端使用其生成的私钥对随机数进行签名。验证域的所有权并完成客户端-服务器设置。配置 ACME 客户端应联系 CA 以续订证书的频率。ACME 客户端可以代表域执行自动证书颁发、续订和吊销。
ACME 客户端如何请求证书颁发和续订
ACME 客户端为域生成证书签名请求 CSR。ACME 客户端对 CSR 和用自己的私钥生成的公钥进行签名。CA 在验证签名后颁发所需的证书。ACME 客户端在域服务器上安装证书。
ACME 客户端如何请求证书吊销
ACME 客户端发送使用其私钥签名的撤销请求。CA 验证签名并吊销证书。CA 将信息发送到标准吊销通道以便浏览器不接受吊销的证书。
使用 Key Manager Plus 进行自动化证书生命周期管理Key Manager Plus 使用自动证书管理环境 ACME 协议直接与第三方 CA 集成例如 Let’s Encrypt、Bypass Go SSL 和 ZeroSSL。
