Hvad er ACME-protokollen?
ACME (Automatic Certificate Management Environment) er en åben protokol, standardiseret i RFC 8555, der automatiserer hele processen omkring digitale certifikater: bestilling, domænevalidering, udstedelse og fornyelse. Protokollen blev udviklet til Let's Encrypt, som med den har gjort gratis TLS-certifikater til standard på nettet. Det manuelle arbejde, hvor en administrator bestiller, henter og installerer certifikater i hånden, erstattes af en klient, der taler direkte med en Certificate Authority og klarer det hele selv.
Hvordan virker ACME i praksis?
Kernen i ACME er, at klienten skal bevise kontrol over domænet, før CA'en udsteder et certifikat. Det sker via såkaldte challenges:
- HTTP-01: CA'en beder klienten lægge en bestemt fil på en bestemt adresse under domænet. Kan CA'en hente filen, er kontrollen bevist. Enkelt, men kræver at serveren er tilgængelig fra internettet på port 80.
- DNS-01: Klienten opretter en bestemt TXT-record i domænets DNS. Det virker også for interne servere og wildcard-certifikater, men kræver at klienten kan opdatere DNS automatisk.
Når en challenge er bestået, udsteder CA'en certifikatet, og klienten installerer det. Hele forløbet tager sekunder og gentages automatisk, typisk når en tredjedel af levetiden er tilbage.
Hvorfor er automatisk fornyelse blevet nødvendigt?
Certifikaters maksimale levetid er blevet forkortet ad flere omgange, og branchen bevæger sig mod levetider så korte, at manuel fornyelse reelt er umulig at drifte pålideligt. Et glemt certifikat betyder nedetid, browseradvarsler og tabt tillid, og det rammer typisk fredag aften. Vi har beskrevet hele forløbet fra udstedelse til udløb i artiklen om TLS-certifikaters livscyklus. Pointen er enkel: Når fornyelse skal ske hyppigt og fejlfrit, er automatisering ikke længere et bekvemmeligt tilvalg, men en forudsætning for stabil drift.
ACME i virksomheden: mere end Let's Encrypt
Mange forbinder ACME med gratis certifikater til offentlige websites, men protokollen er leverandørneutral. Kommercielle CA'er tilbyder ACME-endpoints, og interne CA'er i en PKI kan også tale ACME, fx via ACME-tjenester oven på Active Directory Certificate Services eller dedikerede PKI-platforme (se Microsoft Learn for dokumentation af certifikattjenesterne). Dermed kan interne servere, load balancere og containere forny deres certifikater lige så automatisk som et offentligt website. I den sammenhæng hører nøglebeskyttelse også med: CA'ens egne nøgler bør ligge i et HSM, så automatiseringen hviler på et sikkert fundament. Vil I dybere ned i, hvordan automatiseret certifikathåndtering og nøglebeskyttelse spiller sammen, har vi samlet det hele i e-bogen PKI og HSM i praksis.
Sådan hjælper MI Support IT
Vi har mangeårig specialisterfaring med enterprise-PKI og certifikatautomatisering og hjælper både SMV'er og større organisationer med at indføre ACME, fra valg af klienter og CA til overvågning af fornyelser. Læs mere under PKI Management, eller kontakt os for en snak om jeres certifikatdrift.