ACME-Protokoll: Überblick & Vorteile

November 08, 2023
Sarah Topping

Angesichts des Vorschlags, die Lebensdauer von SSL-/TLS-Zertifikaten zu verkürzen, und der Aussicht auf Ausgabenkürzungen in der Technologie- und Cybersicherheitsbranche stehen IT-Teams unter zunehmendem Druck bei der Frage, wie sie die Sicherheit in Unternehmen noch gewährleisten können. Viele IT-Teams wenden sich Automatisierungslösungen zu, um diesen wachsenden Anforderungen an die Cybersicherheit in Unternehmen gerecht zu werden. Das ACME-Protokoll ist eine dieser Lösungen.

Das ACME-Protokoll (Automatic Certificate Management Environment) ist ein Werkzeug zur Automatisierung von Zertifikaten, das Zeit und Ressourcen spart, das Risiko menschlicher Fehler eliminiert und Lücken bei der Unternehmenssicherheit schließt. Ohne Automatisierung können Zertifikate verlegt oder übersehen werden, was dazu führt, dass sie ablaufen. ACME kann dazu beitragen, diese Belastung der IT-Teams zu verringern.

Werfen wir einen genaueren Blick darauf, was das ACME-Protokoll ist und wie Unternehmen es für ihr Sicherheitsmanagement nutzen.

Was ist das ACME-Protokoll (Automatic Certificate Management Environment)?

ACME ist ein Protokoll, das die Kommunikation zwischen Zertifizierungsstellen (CAs) und einem ACME-Client erleichtert, der auf dem Server eines Benutzers läuft. Sein Zweck ist es, die Ausstellung, den Widerruf und die Erneuerung von Zertifikaten zu automatisieren.

Benutzer implementieren dazu einen autorisierten Agenten, wie z. B. Certbot, der als Schnittstelle zur Zertifizierungsstelle und zur Verwaltung ihrer Certificate Signing Requests (CSRs) dient. Dadurch wird die Ausstellung und Erneuerung von Zertifikaten im Hintergrund und ohne menschliches Eingreifen verwaltet und die IT-Teams können sich auf andere Sicherheitsbereiche konzentrieren.

ACME wurde ursprünglich geschaffen, um die kürzer werdenden Lebensdauern von SSL/TLS-Zertifikaten zu verwalten, indem 90-Tage-Zertifikate kostenlos zur Verfügung gestellt werden. Seitdem haben die Zertifizierungsstellen (CAs) das ACME-Protokoll übernommen, um einen umfassenderen Bestand an Zertifikaten zu verwalten.

Erfahren Sie mehr über ACME

Wie funktioniert ACME?

Die Benutzer implementieren einen Agenten oder Client zur Zertifikatsverwaltung als Schnittstelle zu einer CA-Plattform (Server). Dazu erzeugt der Agent ein Schlüsselpaar, das von der CA validiert wird. Sobald das Schlüsselpaar validiert wurde, hat der Agent die Befugnis, CSRs zu verwalten und sie an CA-Zertifikatsverwaltungsplattformen zu senden, z. B. Atlas. Das Zertifikat wird dann an den Agenten zurückgegeben, der es installiert und den Benutzer benachrichtigt.

Hauptmerkmale von ACME

Der Einsatz von ACME als Teil Ihres Sicherheitskonzepts bietet einen wesentlich praktischeren Ansatz für die Cybersicherheit als herkömmliche Methoden, wie zum Beispiel die Organisation Ihres Zertifikatsbestands in einer Reihe von Tabellen oder die manuelle Erstellung von CSRs.

Skalierbarkeit: ACME ermöglicht dem Benutzer die Verwaltung großer Zertifikatsmengen, was bedeutet, dass viele verschiedene Zertifikatstypen gleichzeitig ausgestellt, erneuert und widerrufen werden können.
Service Level Agreements (SLAs): Im Gegensatz zu den kostenlosen ACME-Diensten bieten Anbieter wie GlobalSign ihre Unterstützung in jeder Phase der Implementierung und darüber hinaus an. Dadurch können Sie ein hohes Maß an automatisierter Sicherheit gewährleisten.
Umgang mit privaten Schlüsseln: ACME ermöglicht Unternehmen die eigene Verwaltung der Sicherheit ihrer Schlüssel, anstatt einen Dritten damit zu beauftragen.

Bei der einfachen manuellen Verwaltung Ihres Zertifikatsbestands, beispielsweise mithilfe einer Tabelle, können Zertifikate verlegt werden oder sie werden nicht vor ihrem Ablaufdatum erneuert, weil das System zu umständlich ist. Das setzt Server und Domänen Schwachstellen aus, die von böswilligen Akteuren ausgenutzt werden können.

Die Nutzung von ACME bietet viele Funktionen, die den Druck durch die Zertifikatsverwaltung auf die IT-Teams verringern können.

Was sind die Vorteile der Implementierung von ACME?

Mehr Sicherheit: Die Einführung von ACME beseitigt das Risiko menschlichen Versagens. Mit ACME werden Ihre Zertifikate in einem zentralen Inventar gespeichert und können nicht verlegt oder übersehen werden, wie es bei Verwendung einer Tabellenkalkulation möglich ist. Dadurch wird das Risiko durch abgelaufene Zertifikate und die damit verbundenen potenziellen Ausfallzeiten und Sicherheitsverletzungen erheblich reduziert.
Geschwindigkeit und Automatisierung: Die Implementierung von ACME nimmt nicht viel Zeit in Anspruch. Sobald es eingerichtet ist, erfolgt die Ausstellung, Erneuerung und der Widerruf von Zertifikaten automatisch innerhalb weniger Sekunden, ohne dass zu irgendeinem Zeitpunkt manuell eingegriffen werden muss. Dadurch können sich die IT-Teams auf andere Sicherheitsanforderungen konzentrieren.
Vereinfachte Zertifikatsverwaltung: ACME vereinfacht einen Bereich, in dem IT-Teams sonst komplexe manuelle Prozesse durchführen müssen. Dadurch müssen sie sich kaum noch um CSRs kümmern und der Implementierungsprozess ist relativ einfach.
Flexibilität der CA: ACME bietet Flexibilität beim Wechsel zwischen Zertifizierungsstellen (CAs). Wenn Sie also mehr als eine CA für Ihre Zertifikatsanforderungen benötigen, können Sie zwischen ihnen wechseln, ohne an eine CA und eine begrenzte Zertifikatsbereitstellung gebunden zu sein. Dadurch verbessert sich Ihre gesamte Sicherheitslage. Gewöhnlich ist es in einem solchen Fall am besten, eine CA als primären, vertrauenswürdigen Dienst hinzuzufügen, z. B. GlobalSign, um bei Bedarf mit anderen CAs zu kommunizieren.

Anwendungsfälle für ACME

Domain Validation (DV)-Zertifikate: Auf einer grundlegenden Ebene kann ACME CSRs für DV-Zertifikate zur Validierung von Domänen erstellen. Dies ist die Mindestüberprüfung, die für den Nachweis des Eigentums an einer Domain oder einem Server erforderlich ist, und erfordert keine weitere Überprüfung.
Organization Validation (OV)-Zertifikate: Organization Validated-Zertifikate werden mit einer umfassenderen Überprüfung als ein einfaches DV-Zertifikat validiert und bieten Unternehmen und Organisationen dadurch eine umfassendere Authentifizierung. GlobalSign bietet Unterstützung für ACME OV-Zertifikate.
DevSecOps: Intensive Sicherheitsprozesse sind in jeder Phase der DevOps-Pipeline unverzichtbar. Daher müssen die IT-Ingenieure alle ihre Zertifikate im Auge behalten und dürfen sich keine Fehler erlauben. Dank der Geschwindigkeit, mit der ACME Zertifikate verwalten kann, müssen Ingenieure keine Zeit dafür aufwenden, sich um Sicherheitsrisiken zu kümmern, sondern sie können sich auf andere Aufgaben konzentrieren.

Implementierung des ACME-Protokolls

1. Wählen und Installieren eines Agenten

Zunächst muss der Benutzer einen Agenten auswählen. Es gibt dabei eine große Auswahl, die viele verschiedene Umgebungen und Betriebssysteme unterstützen. Das sollten Sie bei der Auswahl Ihres Agenten berücksichtigen. Zu beachten ist auch die Art der zu verwaltenden Zertifikate. Viele ACME-Agenten unterstützen die Ausstellung und Erneuerung von Domain Validated (DV)- und Organization Validated (OV)-Zertifikaten ohne manuellen Eingriff.

Damit ein Agent mit der Zertifizierungsstelle kommunizieren kann, muss der Benutzer ein Konto für die Zertifikatsverwaltung einrichten, wie z. B. Atlas. Es ist also wichtig, einen Agenten zu wählen, der dies unterstützt.

Sie sollten sich darüber im Klaren sein, welche Arten von Zertifikaten Sie verwalten wollen und wie hoch deren Wert ist. Damit lässt sich sicherstellen, dass alle Ihre Sicherheitsanforderungen erfüllt werden. Nach der Auswahl kann der ACME-Agent auf dem Server installiert werden, auf dem die Zertifikate bereitgestellt werden sollen.

2. Auswahl einer Zertifizierungsstelle (CA)

Während der Installation erstellt der Agent eine Liste der unterstützten CAs, aus welcher der Client wählen kann. Bei der Auswahl der CA ist darauf zu achten, dass die CA die für den Server oder die Domäne erforderlichen Zertifikatstypen unterstützt. Dies sollte auch die gleiche CA sein, die der Benutzer bereits für sein Zertifikatsverwaltungskonto benannt hat.

Nach der Auswahl erzeugt der Agent ein Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht, und kontaktiert die CA. Der private Schlüssel wird später von dem Agenten verwendet, um seine Berechtigung zur Verwaltung von Certificate Signing Requests (CSRs), also Anforderungen zur Zertifikatssignierung, zu verifizieren.

3. Verifizierung

Die ausgewählte CA prüft dann die Autorität des Agenten für die Client-Domäne(n), indem sie Herausforderungen ausstellt. Die letzte dieser Herausforderungen ist ein von der CA generiertes Nonce. Ein Nonce ist eine zufällig generierte Zahl, die die CA an den Agenten sendet, der sie dann mit seinem privaten Schlüssel signiert und damit den Verifizierungsprozess abschließt.

Darüber hinaus sind External Account Bindings (EAB) erforderlich, um Ihr ACME-Konto mit einem externen Konto zu verknüpfen, in diesem Fall ist das der Server einer Zertifizierungsstelle. EABs bieten bei der Automatisierung von Zertifikatsverwaltungsprozessen eine zusätzliche Sicherheitsebene für Geräte und Dienste. Denn sie verhindern zum Beispiel, dass nicht verknüpfte ACME-Clients Zertifikate von Ihrer ausgewählten CA bereitstellen. Wenn Sie Ihren ACME-Server so einrichten, dass EABs erforderlich sind, können nur ausgewählte ACME-Clients mit gültigen EAB-Anmeldedaten mit dem ACME-Server (in diesem Fall Atlas) verbunden werden und Zertifikate erhalten.

4. Verwaltung Ihrer Certificate Signing Requests

Der ACME-Agent kann nun CSRs für die Ausstellung, Erneuerung und den Widerruf von Zertifikaten in Sekundenschnelle und ohne menschliches Zutun versenden. Der Server erstellt die CSRs für die Ausstellung oder Erneuerung eines Zertifikats mithilfe des Agenten im Namen der validierten Domäne und unter Verwendung des Schlüsselpaars.

Die CSR wird dann an die Zertifizierungsstelle weitergeleitet, welche die Schlüsselsignaturen prüft und das Zertifikat ausstellt und an den Agenten zurücksendet.

Bei einem Widerruf wird die Zertifikatsanforderung wie bei der Ausstellung oder Erneuerung erneut mit dem Schlüsselpaar signiert und an die CA gesendet, die sie dann validiert. Die CA veröffentlicht die Widerrufsinformationen in einer Certificate Revocation List (CRL), so dass das widerrufene Zertifikat vom Browser nicht mehr akzeptiert wird.

Warum IT-Teams und Unternehmen ACME implementieren sollten

Angesichts der aktuellen Probleme, mit denen Cybersecurity-Experten konfrontiert sind, wie z. B. die abnehmende Lebensdauer von Zertifikaten und die schrumpfenden Budgets für IT-Teams, wird die Automatisierung für Unternehmen unverzichtbar. Es gibt verschiedene Automatisierungslösungen mit verschiedenen Funktionen in Bezug auf die Cybersicherheit und das Certificate Lifecycle Management (CLM).

Das ACME-Protokoll wurde entwickelt, um viele dieser Belastungen für Cybersicherheitsexperten zu mindern, indem es die Zertifikatsverwaltungsprozesse automatisiert und organisiert. Die Implementierung eines Agenten, der über eine Zertifikat-Management-Plattform mit einer Zertifizierungsstelle kommuniziert, entlastet die IT-Teams von der ständigen Überwachung der Hunderte von Zertifikaten, die für die Unternehmenssicherheit eingesetzt werden.

ACME beseitigt nicht nur diesen Druck, sondern ist auch mit minimalen Kosten verbunden. Es spart erheblich an Ressourcen ein und schützt vor Verlusten durch Sicherheitsverletzungen. ACME ist schnell, skalierbar, zeit- und ressourcensparend und erhöht gleichzeitig die Unternehmenssicherheit.

Entdecken Sie ACME mit GlobalSign

Verwaltung und Automatisierung

Zertifikate

Konformität

Technologie-Allianzen

Zertifikatsverwaltung und Automatisierung

Unterzeichnung von Dokumenten

Benutzerdefinierte CA/Private PKI

Website- und Serversicherheit (SSL/TLS)

Zugangskontrolle und Authentifizierung

Signieren von Zertifikaten

Werden Sie ein GlobalSign Partner

Unsere Partner

Partner-Programme