应用PKI——揭秘ACME协议

在现代商业运营快速发展的环境中，证书管理的自动化变得不可或缺。尤其是考虑到为物联网设备、云系统、API、容器和应用程序等各种应用程序所需的机器身份数量呈指数级增长。在本博客中，我们将探讨自动证书管理环境（ACME）的关键作用。

揭秘ACME 

ACME（Automated Certificate Management Environment）是一种通信协议，旨在自动化证书发放和域验证中的复杂流程。

它使组织能够轻松部署公钥基础设施，而无需用户进行交互。最初由互联网安全研究组（ISRG）为其Let's Encrypt服务构想而成， 该协议通过HTTPS协议传输JSON格式的信息，并已由专门的IETF工作组在RFC 8555中规范为一个互联网标准。

ACME的关键版本及其相应的里程碑如下：

1、ACMEv1（2016年4月12日）

ACME的首次发布主要以单域证书发放为重点。它标志着ACME自动化证书管理之旅的开始。

2、ACMEv2（2018年3月13日）

ACMEv2是一个重要的更新，带来了重大改变。它引入了对通配符SSL/TLS证书的支持，并通过优化现有功能提高了用户体验。ACMEv2旨在使证书自动化更加多样化和用户友好。

3、ACME成为RFC 8555（2019年3月11日）

该里程碑将ACME的地位提升，并将其作为RFC 8555进行了标准化。它巩固了ACME作为公认的用于互联网上的证书发放和管理的协议的地位。

4、ACMEv1的生命周期结束（2021年6月）

ACMEv1的官方生命周期结束公告标志着它的停用，推动用户过渡到更先进的ACMEv2协议。这个变化确保ACME与不断发展的安全需求保持一致。

探索ACME证书管理协议 

ACME主要用于获取域验证（DV）证书，这种证书经过最小的验证。DV证书仅验证域名的存在，不需要手动干预。尽管ACME也可以用于获取更高价值的证书，如组织验证（OV）和扩展验证（EV）证书，但这些情况需要与ACME代理一起使用额外的支持机制。

ACME协议的核心目标是建立HTTPS服务器并自动信任证书，消除了容易出错的手动程序的潜在问题。要使用该协议，需要两个关键组件：

• 1、ACME客户端，在任何需要可信SSL/TLS证书的服务器或设备上运行，启动证书管理操作，如发放和撤销。
• 2、ACME服务器，位于诸如Sectigo之类的证书颁发机构（CA）中，响应经授权的客户端的请求。

（注意：客户端和服务器之间的通信通过HTTPS上的JSON消息进行。）

ACME在选择CA提供商方面提供了灵活性，前提是他们支持该协议。虽然Let's Encrypt推荐使用用户友好的certbot客户端，因为它具有广泛的兼容性和强大的文档，但也可以在GitHub等平台上找到其他可选的ACME客户端，如ACMESharp、acme-client、GetSSL等，以满足不同的偏好和需求。

配置ACME客户端 

在将ACME集成到您的操作中之前，您需要选择一个ACME客户端，这有各种不同编程语言和环境的实现可供选择。ACME的设计允许灵活选择CA，前提是他们支持该协议。设置ACME客户端涉及以下步骤：

• 1、客户端要求用户指定他们希望管理的域名。
• 2、客户端提供与协议兼容的证书颁发机构（CA）的选择。
• 3、客户端选择后，它与选择的CA建立通信并创建授权密钥对。
• 4、CA提供涉及DNS或HTTPS的挑战，以验证客户端对其域名的控制权。
• 5、CA提供一个随机生成的数字（nonce），客户端使用其私钥对其进行签名，以确认其对密钥对的所有权。

使用ACME的自动化证书管理环境可以极大地简化证书的获取和管理过程。它提供了一种灵活、安全和用户友好的方法，在现代业务操作中发挥着关键的作用。(锐成提供基于ACME服务的证书自动化部署，具体请联系我们获得支持)

如何利用ACME发放和撤销证书？

对于发放或续订，配备ACME代理的Web服务器生成一个证书签名请求（CSR），然后将其转发给证书颁发机构（CA）进行处理。

以下是证书发放的步骤：

1、代理将一个证书签名请求（CSR）发送给CA，请求为授权的领域发放证书，并指定一个特定的公钥。

2、CSR使用相应的私钥和与该领域关联的授权密钥进行安全签名。

3、在收到请求后，CA验证两个签名。如果所有检查都通过，CA会为授权的领域发放一个证书，并使用CSR中指定的公钥，并迅速将证书发送回代理。

（图：证书颁发/更新）

以下是证书撤销过程的步骤：

代理使用与该领域关联的授权密钥对发起证书撤销过程，以创建一个撤销请求。

• 1、这个撤销请求使用密钥对进行签名，以提供必要的身份验证。
• 2、CA接收到撤销请求后，进行彻底验证以确认其授权。
• 3、一旦CA确认授权并验证了撤销请求，它将采取措施阻止接受被撤销的证书。 
• 4、为了实现这一点，CA通过广泛认可的撤销渠道，如证书撤销列表（CRL）或在线证书状态协议（OCSP）来传播撤销信息。

（图：证书撤销）

揭示ACME协议的好处和应用 

ACME倡议的愿景，由ISRG发起，旨在实现100%的HTTPS网站，强调加密的重要性。ACME通过自动化证书的获取和管理，简化HTTPS部署，并增强基于PKIX的认证，为一系列基于TLS的协议提供了支持，实现了这一愿景。

ACME具有以下优势：

• 1、它自动化了整个证书的生命周期，从发放和续订到撤销。 
• 2、它促进了CA和站点运营商实施TLS安全最佳实践。 
• 3、它作为开放标准运行，促进了广泛的采用。 
• 4、它代表了一个跨越任何单个组织影响的合作努力。 

ACME在证书自动化协议中的优越性在于其作为开放标准的地位，强大的错误处理能力，遵循TLS和PKI管理的行业最佳实践，以及来自专门社区的持续支持、处理备份CA的灵活性和成本效益。与其他替代协议不同，ACME提供了一种全面、安全、协作的方法，使其成为企业的首选。

通过集中平台简化证书管理。它自动化整个证书的生命周期，从发放到续订和撤销，减少了错误和安全漏洞的风险。这种自动化增强了各种规模组织在当今数字化环境中的安全性和可扩展性。

结论 

总之，ACME在PKI和数字安全领域是一股革命力量。该协议自动化和简化证书管理，使其成为现代企业在处理数字安全和加密的复杂性时不可或缺的工具。

接受ACME不仅是朝着更安全的在线环境迈出的一步，而且是朝着更安全、高效和经济有效的证书管理方法迈出的一大步。

来源｜Encryptionconsulting
图源｜Encryptionconsulting
编辑｜公钥密码开放社区
重要声明：本文来自公钥密码开放社区，经授权转载，有部分增减，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。