在服务器室工作的人员

ACME协议:它是什么以及它如何简化Web服务器证书管理

Web服务器使用加密协议传输层协议(TLS)来证明其合法性,保护敏感数据,并通过使用数字证书来增加信任。不幸的是,随着web服务器数量的持续增长,颁发、管理和更新这些证书可能会变得复杂。2021年,组织管理的证书数量平均达到58639个,波耐蒙研究所的数据.更重要的是,TLS/SSL证书的寿命在过去几年中一直在缩短。现在,公共信任TLS/SSL证书的最大有效期只有398天。

这就是自动证书管理环境(ACME)的作用。ACME是一种帮助自动化数字证书生命周期管理的协议,专门设计用于处理web服务器证书。

在这篇博客中,我们将回顾ACME的基础知识,该协议如何自动化web服务器的证书管理过程,以及HID的PKI-as-a-Service如何帮助公司简化这一过程。金宝搏官网188金宝搏

ACME协议基础

什么是ACME?
ACME(即自动化证书管理环境)是一种协议,它支持自动化耗时的证书生命周期管理任务。ACME可用于请求新证书、更新或撤销现有证书。该协议可以支持任何类型的TLS/SSL证书,如DV(域验证)、OV(组织验证)或EV(扩展验证)证书。

ACME是什么时候开发的?
ACME是由互联网安全研究小组于2016年开发的,用于自己的证书颁发服务,让我们加密.鉴于自动化在复杂、不断变化的web证书和PKI需求世界中的优势,ACME很快被其他ca、PKI服务和web服务器所采用。2019年,IETF更新并标准化了该协议,它在全球企业中越来越受欢迎。

ACME如何自动化证书管理?
有几个ACME客户端实现支持证书生命周期管理的自动化。的certbot是最流行的协议之一,但其他客户端也可以使用或与该协议集成。ACME客户端安装在必须部署证书的服务器上;经过配置和身份验证后,它们就可以发送证书管理请求并使用授权的密钥对对其进行签名。

自动化 与ACMEv2 保护服务器 使用TLS 证书 连接到 证书的主机 服务器 安装ACMEv2 客户端 应用程序 运行配置 实用程序或更新 配置文件 配置更新 时间通过 Systemd或cron 调用ACMEv2 客户端生成, 请求和安装 证书 测试应用程序 端点 证书将会 自动 续订30天 在到期之前

超越基础知识:ACME如何简化证书管理

ACME变得如此流行的原因之一是它被设计得尽可能灵活。在本节中,我们将回顾组织在实现ACME时拥有的一些选项,从模型和语言到客户机和配置。然后,我们将解释HID PKI-as-a-Service金宝搏官网188金宝搏如何处理这些选择——以及为什么它可以帮助公司充分利用ACME的功能。

语言和环境
ACME协议是一种多功能工具,可以使用您的企业平台中使用的许多相同的语言和环境来实现它。

ACME客户端(在服务器和证书颁发机构之间进行通信的插件)的选项也很多。如前所述,certbot是最流行的ACME客户端,因为它易于使用,可以在多个操作系统上工作,并且有大量的文档。由Let’s Encrypt设计和构建的certbot可以安装在任何您想要实现ACME的服务器上。一旦安装,它会自动标记即将过期的证书,然后请求新的证书并在服务器上替换它们。

金宝搏官网188金宝搏HID PKI-as-a-Service (PKIaaS)帮助组织充分利用这种灵活性,支持所有可用的开源ACME客户端,并促进与已经部署的web服务器的直接连接。这种方法有很多好处——从节省时间和资源到减少服务中断和it干预。开源库还提供了广泛的选项,消除了单一供应商证书颁发机构的限制。

设置和配置
在选择了适合组织需求的ACME客户机之后,安装过程就很简单了。您将安装客户端,输入域并指定组织的证书策略(包括证书类型、有效期和其他属性)。一旦您的域被预先批准,您的证书就可以通过ACME客户机颁发,从而取代由员工颁发和管理每个证书的手工劳动。

挑战与授权
安装ACME之后,协议必须完成一个挑战。该过程确认请求证书的组织实际上拥有该域,并被授权代表其请求和撤销证书。挑战完成后,您的ACME客户端就可以配置为自动化证书管理了。

金宝搏官网188金宝搏HID PKI-as-a-Service使组织能够预先验证其域,并绕过质疑和授权的初始步骤。这使组织能够将ACME与公共信任的TLS/SSL证书以及私有PKI证书颁发机构一起使用,而无需打开任何传入防火墙连接。

充分利用ACME

金宝搏官网188金宝搏HID对ACME协议的技术不确定性方法提供了广泛的选择和选项,使组织能够在高度安全的环境中根据自己的需要定制自动化证书生命周期管理。其他福利包括:

  • 可伸缩性。从小规模开始,逐渐扩大规模。证书自动化具有无限的可扩展性,允许组织在未来轻松扩展其用例。
  • 速度。PKIaaS可在几天内投入使用,而不是几周或几个月,从而带来近乎即时的投资回报。
  • 控制。在外包操作复杂性的同时,保持对私有根密钥的控制。
  • 可预测的定价。金宝搏官网188金宝搏HID利用基于订阅的定价-没有隐藏的费用-使预算简单和可预测。
  • 简单。将IT部门从耗时的手动证书生命周期管理中解放出来,以便他们能够专注于其他关键任务系统和软件。

自动化PKI简化了证书管理,同时增强了安全性和敏捷性。阅读我们的电子书,PKI自动化策略,为您的组织找到完美的适合了解更多。

Mrugesh Chandarana是HID Global身份和访问管理解决方案的产品管理总监,他专注于物联网和PKI解决方案。金宝搏官网188金宝搏他在风险管理、威胁和漏洞管理、应用安全和PKI等领域拥有十多年的网络安全行业经验。他曾在RiskSense、WhiteHat Security(被NTT Security收购)和RiskVision(被Resolver, Inc.收购)担任产品管理职位。

最近的帖子