Čo je to ACME protokol?

ACME (Automated Certificate Management Environment) je celosvetovo uznávaný štandardizovaný komunikačný protokol určený na úplnú automatizáciu procesov spojených s digitálnymi TLS/SSL certifikátmi. Tradičné manuálne generovanie žiadostí (CSR), overovanie vlastníctva domén a manuálne nahrávanie certifikátov na server vďaka ACME úplne odpadá.

Náš systém využíva ACME na bezpečné, bezchybné a automatické nasadzovanie Organization Validated (OV) certifikátov priamo do vašej infraštruktúry.

Hlavné výhody pre našich klientov

Nulové riziko exspirácie

Zabudnite na výpadky služieb spôsobené exspiráciou certifikátu. Váš server sa sám postará o včasnú obnovu na pozadí.j

Maximálna bezpečnosť

Vaše privátne kľúče nikdy neopustia váš server. Poskytovateľ s nimi nedisponuje, čím je zaistená absolútna kontrola.

Úspora času a nákladov

Už žiadne manuálne vypĺňanie žiadostí a čakanie na adminov. Celý proces trvá od zadania príkazu po nasadenie iba niekoľko sekúnd.

Ako funguje proces (Životný cyklus ACME)

ACME Pre zabezpečenie najvyššej úrovne dôveryhodnosti (OV certifikáty) prebieha proces v dvoch paralelných vrstvách:

Dôležité upozornenie: Pred samotným spustením automatizácie musí vaša spoločnosť jednorazovo absolvovať Predregistráciu. Po overení vašich firemných údajov našimi audítormi vám vygenerujeme tzv. EAB (External Account Binding) kľúče, ktorými autorizujete svojho lokálneho ACME klienta.

Jednorazové prepojenie účtu (EAB)

Váš automatizovaný nástroj (napr. Certbot) sa pomocou pridelených prístupových údajov (KID a HMAC) bezpečne zaregistruje voči nášmu ACME serveru. Tým sa prepojí váš server s vopred overenou identitou vašej organizácie.

Kryptografická výzva (Challenge)

Keď požiadate o certifikát pre konkrétnu doménu, náš ACME server vygeneruje výzvu (napr. umiestnenie konkrétneho tokenu na váš webový server prostredníctvom HTTP alebo do DNS záznamu). To dokazuje, že aktívne ovládate doménu.

Vydanie a stiahnutie certifikátu

Akonáhle náš systém overí splnenie výzvy, skontroluje platnosť vášho OV profilu a okamžite vygeneruje digitálne podpísaný TLS certifikát, ktorý si váš ACME klient stiahne a automaticky aplikuje.

Príklad vydania certifikátu bez automatického nasadenia (Certbot)

Po úspešnej Predregistrácii a získaní vašich EAB kľúčov môžete na vašom Linux serveri použiť štandardného klienta Certbot na automatické získanie certifikátu jedným príkazom:

certbot certonly \
--server https://onlineissue.disig.sk/r3i1/tls/acme/v2/OV/directory \
--eab-kid "VAS_KID_KLUCOVY_IDENTIFIKATOR" \
--eab-hmac-key "VAS_TAJNY_HMAC_KLUC" \
--key-type rsa --rsa-key-size=3072 \
-d www.vasadomena.sk -d vasadomena.sk \
--webroot -w /var/www/html

Tento príkaz vás zaregistruje na automatické vydávanie certifikátov, overí kontrolu nad zadanými doménami a uloží platný OV TLS certifikát priamo do vášho systému. Následne cron alebo systemd timer zabezpečí, že kontrola a obnova bude prebiehať úplne autonómne.

Príklad vydania certifikátu s automatickou konfiguráciou Apache HTTP servera (Certbot)

Po úspešnej Predregistrácii a získaní vašich EAB kľúčov môžete na vašom Linux serveri použiť štandardného klienta Certbot na automatické získanie certifikátu jedným príkazom:

certbot --apache \
--server https://onlineissue.disig.sk/r3i1/tls/acme/v2/OV/directory \
--eab-kid "VAS_KID_KLUCOVY_IDENTIFIKATOR" \
--eab-hmac-key "VAS_TAJNY_HMAC_KLUC" \
--key-type rsa --rsa-key-size=3072 \
-d www.vasadomena.sk -d vasadomena.sk

Tento príkaz vás zaregistruje na automatické vydávanie certifikátov, overí kontrolu nad zadanými doménami a uloží platný OV TLS certifikát priamo do vášho systému. Následne cron alebo systemd timer zabezpečí, že kontrola a obnova bude prebiehať úplne autonómne.