Eine leichte, bequeme Möglichkeit, den SSL/TLS-Lebenszyklus zu verwalten
Das ACME-Protokoll Automated Certificate Management Environment ist ein Protokoll zur Automatisierung der Anmeldung für SSL/TLS-Zertifikate sowie deren Ausstellung und Installation.
Es wurde ursprünglich von der Internet Security Research Group (ISRG) entwickelt und als RFC 8555 standardisiert. Es wurde von Let's Encrypt – der kostenlosen Open-Source-Zertifizierungsstelle (CA) - populär gemacht. Mit der Veröffentlichung von ACME v2 hat sich die Funktionalität des Protokolls erweitert, und nun nutzt GlobalSign es aufgrund seiner Benutzerfreundlichkeit und Einfachheit.
Nach einer Beta-Testphase freuen wir uns, die erste Iteration unseres ACME-Service zu veröffentlichen, der Domain Validated (DV) SSL/TLS-Zertifikate für unsere Kunden bereitstellen wird. Dies ist ein großartiger erster Schritt zur Automatisierung von SSL/TLS-Lebenszyklen und zum Einstieg in umfassendere Automatisierungsstrategien für die Verwaltung Ihrer gesamten Public Key-Infrastruktur (PKI).
Warum ACME?
Haben Sie schon einmal ein SSL/TLS-Zertifikat installiert? Ohne Automatisierung ist das ein langwieriger Prozess. Sie müssen eine Zertifikatsignaturanforderung (Certificate Signing Request (CSR)) erstellen, d. h. eine serverseitige Anforderung generieren und sie dann in ein Feld für Ihre Zertifizierungsstelle kopieren/einfügen. Danach müssen Sie eine manuelle Domänenüberprüfung durchführen, indem Sie gewöhnlich Ihre Website oder Ihren DNS-Eintrag mit einem Wert aktualisieren, der von der Zertifizierungsstelle (Certificate Authority (CA)) bereitgestellt wird. Dann müssen Sie auf die Ausstellung des Zertifikats warten, das Zertifikat auf den Server bringen, auf dem es installiert werden soll, es installieren und sicherstellen, dass alles richtig konfiguriert ist. Für eine einzige Website kann dies bis zu 40 Minuten dauern. Bei großen Mengen kann dies viel Zeit und Ressourcen in Anspruch nehmen.
ACME ändert das. Mit dem ACME-Protokoll können Sie SSL/TLS-Zertifikate für jeden Server bereitstellen, auf dem ein ACME-Agent installiert ist, auch für Nicht-Microsoft-Rechner. Nach der Installation und Konfiguration des ACME-Agenten erledigt GlobalSigns ACME-Service den Rest für Sie - alles von der CSR-Generierung über die Domänenüberprüfung bis zur Installation des Zertifikats. Alles völlig unbemerkt im Hintergrund.
OK, aber warum GlobalSigns ACME-Service?
Let's Encrypt ist großartig. Sie sind die Urheber von ACME und bieten einen unschätzbaren Service für den Rest des Internets. Aber Unternehmen und Dienstleister haben unterschiedliche Bedürfnisse. Sie wollen Zertifikate in großen Mengen bereitstellen, daher sind kostenlose 90-Tage-Zertifikate weniger nützlich als Support, Service Level Agreements (SLAs) und die Möglichkeit, Zertifikate mit längerer Gültigkeit auszustellen.
Und das ist es, was GlobalSign auszeichnet - während die Nutzung eines kostenlosen Dienstes Sie dazu zwingt, Foren zu durchforsten, um einen im Wesentlichen crowdsourced Support zu erhalten und ohne SLAs zu arbeiten - müssen Sie sich bei uns darüber keine Gedanken machen. Außerdem wird es von Atlas unterstützt, unserer Cloud CA der nächsten Generation für große Mengen, die einen unglaublichen Durchsatz und 24/7-Verfügbarkeit bietet.
Mit GlobalSign erhalten Sie eine weltweit vertrauenswürdige Zertifizierungsstelle und einen EU-Vertrauensdiensteanbieter mit über 25 Jahren Erfahrung in dieser Branche. Wir wechseln nicht den Besitzer zwischen Risikokapitalfirmen, wir sind nicht von unserer Bewertung besessen (und unsere Preisgestaltung spiegelt dies wider) und wir sind nicht in mehreren anderen Geschäftsbereichen tätig. PKI ist das, was wir tun, das ist alles, was wir wissen – es ist schrecklich, mit uns auf Partys zu reden. Aber wir sind ein guter Ansprechpartner, wenn Sie Hilfe beim Einstieg in unseren ACME-Service benötigen oder wenn Sie auf dem Weg dorthin Unterstützung brauchen.
Wie funktioniert ACME?
ACME ist ein sehr einfaches Framework zur Automatisierung des SSL/TLS-Lebenszyklus. ACME selbst ist ein Protokoll, Organisationen wählen einen Client nach ihren eigenen Bedürfnissen aus. Jede Netzwerkumgebung ist anders – Organisationen verwenden unterschiedliche Server und haben unterschiedliche Anforderungen. Das Schöne an ACME ist, dass man unabhängig vom Servertyp den richtigen Client finden kann.
Einige der beliebtesten ACME-Clients sind:
- Certbot
- ACMESharp
- acme-client
- GetSSL
- Posh-ACME
- Caddie
- Sewer
- nginx ACME
Es gibt auch einen Client namens Peter SSLers, eine Hommage an den Schauspieler Peter Sellers, der durch seine Rollen in Dr. Strangelove und Der Rosarote Panther berühmt wurde und der wie GlobalSign aus Portsmouth stammt - in seinem Fall allerdings in England, nicht in New Hampshire.
Clients sind im Allgemeinen Open Source und kostenlos. GlobalSigns ACME Service unterstützt jeden Client, der den IETF ACME Standard verwendet. Nachdem ein Client ausgewählt wurde, werden Agenten auf jedem Endpunkt, den Sie sichern wollen, installiert und konfiguriert.
Was ist der Unterschied zwischen einem ACME-Client und einem Agenten?
Gute Frage. Der Client bezieht sich auf das Framework, das sicherstellt, dass ein bestimmter Servertyp mit GlobalSign kommunizieren kann – der Agent ist der Teil dieses Systems, der im Namen dieses Servers handelt, indem er Dinge wie die Bereitstellung eines CSR und das Bestehen eines Domänenüberprüfungstests durchführt.
Kommen wir nun endlich dazu, wie ACME funktioniert.
Erstellen eines ACME-Kontos
Nachdem alle Agenten installiert sind, interagieren sie mit GlobalSign und authentifizieren sich (sie beweisen, dass sie berechtigt sind, im Namen des Servers zu handeln), indem sie die ACME-Funktion namens External Account Binding (EAB) verwenden, um den öffentlichen Schlüssel des Agenten an ihr Atlas-Konto zu binden. Dies geschieht mit einem kryptographisch sicheren Message Authentication Code oder MAC-Schlüssel, der von GlobalSign generiert wird, um das Konto-Schlüsselpaar zu signieren. Von da an werden alle Nachrichten mit diesem Schlüsselpaar signiert, was eine sichere Ausstellung und Widerrufung ermöglicht. All dies erfolgt über das Atlas-Portal von GlobalSign.
Nachdem alles eingerichtet ist, beginnt die Magie. Nicht wirklich, das ist übertrieben – es ist weit weniger grandios als das.
Anfordern eines SSL/TLS-Zertifikats
Nachdem die Agenten auf ihren jeweiligen Webservern installiert und an Ihr Atlas-Konto gebunden sind, können sie damit beginnen, SSL/TLS-Zertifikate anzufordern. Ich weiß, dass Sie sich nur das Diagramm ansehen werden, aber der Gründlichkeit halber (und wegen des SEO) füge ich auch die Beschreibung bei. Und denken Sie daran, dass wir einige Schritte zusammengefasst und das Ganze etwas vereinfacht haben:
- Der Agent sendet eine Bestellanfrage und signiert diese digital mit seinem Kontoschlüsselpaar
- GlobalSigns Atlas CA der nächsten Generation sendet eine Domänenüberprüfungsanfrage, um zu überprüfen, ob der Agent berechtigt ist, im Namen des Servers zu handeln. Domänenüberprüfungsinformationen können 397 Tage lang wiederverwendet werden
- Der Agent sendet eine Antwort, die anzeigt, dass er auf die Autorisierungsabfrage geantwortet hat, und signiert sie erneut mit seinem Kontoschlüsselpaar. Atlas überprüft dies dann
- Nach der Überprüfung generiert der Agent im Namen seines Webservers eine CSR und sendet sie an Atlas, nachdem er sie mit seinem Kontoschlüsselpaar signiert hat
- Atlas verifiziert die digitale Signatur und GlobalSign stellt die SSL/TLS-Zertifikate aus
- Der Agent erhält das Zertifikat und installiert/konfiguriert es auf dem Server.
Das Schöne daran ist, dass Sie nichts tun müssen, alles passiert völlig unbemerkt im Hintergrund – und Sie müssen nicht darüber nachdenken.
Ein paar Anmerkungen: Erstens, Erneuerungen erfolgen auf die gleiche Weise, und wie oben erwähnt, können Domänenüberprüfungsinformationen 397 Tage lang wiederverwendet werden, sodass alle Zertifikate, die nach der ersten Domänenüberprüfung ausgestellt wurden, nachfolgende Überprüfungsanfragen für die nächsten 397 Tage überspringen können. In Anbetracht der Best Practice, Zertifikate häufiger als einmal pro Jahr zu erneuern, um die Sicherheit zu erhöhen und die Krypto-Agilität zu verbessern, bietet ACME eine sehr bequeme Möglichkeit, dies zu erreichen.
Zusätzlich unterstützt GlobalSign sowohl DNS- als auch HTTP-basierte Domain-Validierungsherausforderungen. Eine DNS-Herausforderung beinhaltet das Aktualisieren eines bestimmten Teils des DNS-Eintrags einer Website mit einem von GlobalSign bereitgestellten Wert. Ebenso beinhaltet die HTTP-basierte Validierung die Platzierung dieses Wertes in einer .txt-Datei irgendwo auf Ihrer Website.
Ein Zertifikat widerrufen
Der nächste Punkt ist der Widerruf. Insbesondere wenn Sie Ihre Zertifikate häufiger als einmal pro Jahr austauschen, werden Sie unweigerlich einige Zertifikate widerrufen müssen. Dies gilt auch für kompromittierte Zertifikate und eine Reihe anderer zertifikatsbezogener Probleme. ACME macht es Ihnen leicht: Und so geht's:
- Der Agent generiert eine Widerrufsanforderung im Namen des Servers und signiert sie digital entweder mit dem Kontoschlüssel oder dem privaten Schlüssel des TLS-Zertifikats, das Sie widerrufen möchten.
- Atlas verifiziert die digitale Signatur
- GlobalSign widerruft das Zertifikat
- GlobalSign veröffentlicht das widerrufene Zertifikat in den nötigen Certificate Revocation Lists (CRLs) und Online Certificate Status Protocol (OCSPs).
Wie können Sie ACME einsetzen?
GlobalSigns ACME-Service stellt für jede Organisation einen unglaublichen ersten Schritt in Richtung Automatisierung dar. Die Eliminierung des Stresses und Ärgers bei der Verwaltung von SSL/TLS-Zertifikaten entlastet Ihr IT-Team erheblich und verhindert viele der potenziellen Fallstricke, die mit der Verwaltung öffentlicher Zertifikate einhergehen. Menschliche Fehler können dazu führen, dass Zertifikate ablaufen, bevor sie ersetzt werden können, und das kann unzählige Probleme verursachen.
- Ausfälle/Abschaltzeiten – Wenn man eine bestimmte Website oder einen Server nicht erreichen kann, kann sie/ihn niemand nutzen. Dies könnte eine E-Commerce-Website, ein Netzwerkportal für remote Mitarbeiter oder ein Videospielserver sein. In jedem Fall entgehen Ihnen Produktivität und Einnahmen - oder anders ausgedrückt: Geld.
- Markenschaden – Sie ärgern sich über Ihren Telefonanbieter wegen eines einzigen unterbrochenen Anrufs oder einer schlechten Netzwerkstärke. Bei Websites und Online-Diensten ist das nicht anders. Sie denken vielleicht, dass es unbedeutend ist, ein paar Stunden nicht erreichbar zu sein, aber Ihre Kunden/Klienten werden das ganz anders sehen. Ihre Mitarbeiter stört das vielleicht nicht so sehr - auch wenn sie das nie zugeben würden.
- Probleme mit Compliance/Rechtsvorschriften – Je nach Ihrem Standort oder Ihrer Branche gibt es bestimmte Anforderungen in Bezug auf TLS/HTTPS und allgemeine Cybersicherheit. Ungeplante Ablaufzeiten können zu Compliance-Problemen führen. Selbst wenn sie keine Strafen nach sich ziehen, können sie dazu führen, dass Sie ins Visier der Behörden geraten, was nicht gerade ideal ist.
Und wenn Sie erst einmal die Vorteile der Automatisierung von SSL/TLS-Lebenszyklen erkannt haben, werden Sie sich fragen, welche anderen Teile der PKI Ihrer Organisation Sie als nächstes automatisieren können. Es macht einen himmelweiten Unterschied – besonders im großen Maßstab.
Möchten Sie mit GlobalSign über ACME reden?
Das ist großartig, und wir haben Vertriebsmitarbeiter, die bereitstehen und auf Ihre E-Mail oder Ihren Anruf warten. Sie stehen im wahrsten Sinne des Wortes. Wir kaufen ihnen keine Stühle – so halten wir unsere Preise niedrig und unsere Leute auf den Beinen (buchstäblich). Das ist nicht wahr. Aber sie stehen wirklich bereit, um über unsere Automatisierung zu sprechen und darüber, wie unser ACME-Service Ihrer Organisation eine Fülle von Vorteilen bieten kann. FORDERN SIE EINFACH EINE DEMO AN und jemand von uns wird sich mit Ihnen in Verbindung setzen.
Oder Sie können auch einfach zum Telefon greifen und anrufen. Oder ist das heutzutage nicht mehr zeitgemäß? Wie auch immer, wir sind bereit, über ACME und Automatisierung zu sprechen, wann immer Sie es wünschen!
