Spring til hovedindhold

IT-sikkerhed

Hvad er ACME-protokollen?

ACME automatiserer udstedelse og fornyelse af TLS-certifikater, kendt fra Let's Encrypt. Se hvordan protokollen virker, og hvorfor den bliver et krav.

Kort sagt

ACME (Automatic Certificate Management Environment) er en åben protokol, standardiseret som RFC 8555, der automatiserer udstedelse, validering og fornyelse af digitale certifikater.

Protokollen blev kendt gennem Let's Encrypt, som bruger den til at udstede gratis TLS-certifikater til millioner af websites uden manuel sagsbehandling. I praksis kører en ACME-klient på jeres server, beviser kontrol over domænet via en såkaldt challenge og henter derefter certifikatet automatisk, typisk fornyet længe før udløb.

Det er relevant for alle, der drifter websites og services, fordi certifikatlevetiderne i branchen forkortes markant, og manuel fornyelse dermed bliver en driftrisiko frem for en rutineopgave. Nøglepointerne er: automatisering fjerner menneskelige fejl, ACME kan bruges med både offentlige og interne CA'er, og udrulning kræver styr på DNS og infrastruktur. MI Support IT har mangeårig specialisterfaring med PKI og hjælper danske virksomheder med at indføre ACME-baseret certifikatautomatisering i praksis.

Tilbage til ordbogen

Hvad er ACME-protokollen?

ACME (Automatic Certificate Management Environment) er en åben protokol, standardiseret i RFC 8555, der automatiserer hele processen omkring digitale certifikater: bestilling, domænevalidering, udstedelse og fornyelse. Protokollen blev udviklet til Let's Encrypt, som med den har gjort gratis TLS-certifikater til standard på nettet. Det manuelle arbejde, hvor en administrator bestiller, henter og installerer certifikater i hånden, erstattes af en klient, der taler direkte med en Certificate Authority og klarer det hele selv.

Hvordan virker ACME i praksis?

Kernen i ACME er, at klienten skal bevise kontrol over domænet, før CA'en udsteder et certifikat. Det sker via såkaldte challenges:

  1. HTTP-01: CA'en beder klienten lægge en bestemt fil på en bestemt adresse under domænet. Kan CA'en hente filen, er kontrollen bevist. Enkelt, men kræver at serveren er tilgængelig fra internettet på port 80.
  2. DNS-01: Klienten opretter en bestemt TXT-record i domænets DNS. Det virker også for interne servere og wildcard-certifikater, men kræver at klienten kan opdatere DNS automatisk.

Når en challenge er bestået, udsteder CA'en certifikatet, og klienten installerer det. Hele forløbet tager sekunder og gentages automatisk, typisk når en tredjedel af levetiden er tilbage.

Hvorfor er automatisk fornyelse blevet nødvendigt?

Certifikaters maksimale levetid er blevet forkortet ad flere omgange, og branchen bevæger sig mod levetider så korte, at manuel fornyelse reelt er umulig at drifte pålideligt. Et glemt certifikat betyder nedetid, browseradvarsler og tabt tillid, og det rammer typisk fredag aften. Vi har beskrevet hele forløbet fra udstedelse til udløb i artiklen om TLS-certifikaters livscyklus. Pointen er enkel: Når fornyelse skal ske hyppigt og fejlfrit, er automatisering ikke længere et bekvemmeligt tilvalg, men en forudsætning for stabil drift.

ACME i virksomheden: mere end Let's Encrypt

Mange forbinder ACME med gratis certifikater til offentlige websites, men protokollen er leverandørneutral. Kommercielle CA'er tilbyder ACME-endpoints, og interne CA'er i en PKI kan også tale ACME, fx via ACME-tjenester oven på Active Directory Certificate Services eller dedikerede PKI-platforme (se Microsoft Learn for dokumentation af certifikattjenesterne). Dermed kan interne servere, load balancere og containere forny deres certifikater lige så automatisk som et offentligt website. I den sammenhæng hører nøglebeskyttelse også med: CA'ens egne nøgler bør ligge i et HSM, så automatiseringen hviler på et sikkert fundament. Vil I dybere ned i, hvordan automatiseret certifikathåndtering og nøglebeskyttelse spiller sammen, har vi samlet det hele i e-bogen PKI og HSM i praksis.

Sådan hjælper MI Support IT

Vi har mangeårig specialisterfaring med enterprise-PKI og certifikatautomatisering og hjælper både SMV'er og større organisationer med at indføre ACME, fra valg af klienter og CA til overvågning af fornyelser. Læs mere under PKI Management, eller kontakt os for en snak om jeres certifikatdrift.

Skal vi tage en snak om din virksomhed og jeres behov?

Rigtige mennesker taler til rigtige mennesker. Vi vender tilbage samme dag.