GlobalSign Blog

ACME : Présentation de l'environnement de gestion automatisée des certificats de GlobalSign

ACME : Présentation de l'environnement de gestion automatisée des certificats de GlobalSign
Patrick Nohe

Un moyen simple et pratique de gérer le cycle de vie SSL/TLS

Le protocole ACME, ou Automated Certificate Management Environment, est un protocole permettant d'automatiser l'inscription aux certificats SSL/TLS ainsi que leur émission et leur installation.

Créé à l'origine par l'Internet Security Research Group (ISRG) et normalisé en tant que RFC 8555. Il a été popularisé par Let's Encrypt - l'autorité de certification (CA) gratuite et open-source. Avec la sortie de ACME v2, la fonctionnalité du protocole a augmenté et maintenant GlobalSign commence à l'exploiter pour sa facilité d'utilisation et sa commodité.

Après une période de test bêta, nous sommes heureux de publier la première itération de notre service ACME, qui fournira des certificats SSL/TLS validés par le domaine (DV) à nos clients. Il s'agit d'une première étape importante vers l'automatisation des cycles de vie SSL/TLS et vers des stratégies d'automatisation plus larges pour la gestion de l'ensemble de votre infrastructure à clé publique (PKI).

issue-install-replace;-ssl-tls-certificate-management

Pourquoi ACME ?

Avez-vous déjà installé un certificat SSL/TLS ? Sans automatisation, c'est un processus fastidieux. Vous devez créer une demande de signature de certificat (CSR), c'est-à-dire en générer une, côté serveur, puis la copier/coller dans un champ pour votre autorité de certification. Ensuite, vous devez effectuer une validation manuelle du domaine, généralement en mettant à jour votre site Web ou votre enregistrement DNS avec une valeur fournie par l'autorité de certification (CA). Ensuite, vous devez attendre que le certificat soit émis, l'amener sur le serveur sur lequel il est installé, l'installer et vous assurer que tout est configuré correctement. Pour un seul site Web, cela peut prendre jusqu'à 40 minutes. À l'échelle, cela peut prendre beaucoup de temps et de ressources.

ACME change cela. L'utilisation du protocole ACME vous permet de provisionner des certificats SSL/TLS pour tout serveur sur lequel est installé un agent ACME, y compris les machines non Microsoft. Après avoir installé et configuré l'agent ACME, le service ACME de GlobalSign s'occupera du reste, de la génération de la RSC à la validation du domaine en passant par l'installation du certificat pour vous. Tout cela en silence, dans les coulisses.

OK, mais pourquoi le Service ACME de GlobalSign ?

Let's Encrypt est génial. Ils sont à l'origine du service ACME et fournissent un service inestimable au reste de l'Internet. Mais les entreprises et les fournisseurs de services ont des besoins différents. Ils cherchent à fournir des certificats en masse, donc des certificats gratuits de 90 jours sont moins utiles qu'une assistance, des accords de niveau de service (SLA) et la possibilité d'émettre des certificats à validité plus longue.

Et c'est ce qui différencie GlobalSign, alors que l'utilisation d'un service gratuit vous oblige à passer en revue les forums pour ce qui est essentiellement un soutien de la foule et à fonctionner sans accords de niveau de service - avec nous, vous n'avez pas à vous soucier de cela. De plus, il est alimenté par Atlas, notre AC sur le cloud, de nouvelle génération, pour les gros volumes, offrant un débit incroyable et une disponibilité 24 heures sur 24, 7 jours sur 7.

Avec GlobalSign, vous bénéficiez d'une autorité de certification de confiance mondiale et d'un fournisseur de services de confiance européen avec plus de 25 ans d'expérience dans ce secteur. Nous ne changeons pas de mains entre les sociétés de capital-risque, nous ne sommes pas obsédés par notre évaluation (et nos prix le reflètent), et nous ne sommes pas impliqués dans plusieurs autres secteurs d'activité. La PKI, c'est ce que nous faisons, c'est tout ce que nous savons - essayez de nous adresser la parole lors d'une fête!!. Mais vous pouvez nous contacter si vous avez besoin d'aide pour démarrer avec notre service ACME ou si vous avez besoin d'assistance en cours de route.

Comment fonctionne ACME ?

ACME est un outils très léger pour l'automatisation du cycle de vie SSL/TLS. ACME lui-même est un protocole, les organisations choisissent un client en fonction de leurs propres besoins. Chaque environnement réseau est différent - les organisations utilisent des serveurs différents et des exigences différentes. La beauté d'ACME est que vous pouvez trouver le bon client quel que soit le type de serveur.

Voici quelques-uns des clients ACME les plus populaires :

  • Certbot
  • ACMESharp
  • acme-client
  • GetSSL
  • Posh-ACME
  • Caddy
  • Égout
  • nginx ACME

Il y en a aussi un nommé Peter SSLers, en hommage à l'acteur célèbre pour ses rôles dans Dr. Strangelove et la Panthère rose.

Les clients sont généralement des logiciels libres et gratuits. Le service ACME de GlobalSign prend en charge tout client qui utilise la norme ACME de l'IETF. Une fois qu'un client a été sélectionné, des agents sont installés et configurés sur chaque point final que vous allez sécuriser.

Quelle est la différence entre un client ACME et un agent ?

Excellente question, le client fait référence au cadre qui garantit que ce type spécifique de serveur peut communiquer avec GlobalSign - l'agent est la partie de ce système qui agit au nom de ce serveur en faisant des choses comme fournir une RSC et passer un test de validation de domaine.

Maintenant, entrons enfin dans le fonctionnement d'ACME.

Création d'un compte ACME

Une fois que les agents sont tous installés, ils interagissent avec GlobalSign et s'authentifient (prouvant qu'ils sont autorisés à agir au nom du serveur) en utilisant la fonction ACME appelée External Account Binding (EAB) pour lier la clé publique de l'agent à son compte Atlas. Cette opération s'effectue à l'aide d'un code d'authentification de message (Message Authentication Code ou MAC) à sécurité cryptographique, généré par GlobalSign pour signer la paire de clés du compte. Dès lors, tous les messages sont signés avec cette paire de clés, ce qui permet une émission et une révocation sécurisées. Tout cela se fait via le portail Atlas de GlobalSign.

Une fois que tout est configuré, la magie commence. Pas vraiment, c'est hyperbolique - c'est beaucoup moins grandiose que cela.

Demande d'un certificat SSL/TLS

Une fois que les agents sont installés sur leurs serveurs Web respectifs et qu'ils sont liés à votre compte Atlas, ils peuvent commencer à demander des certificats SSL/TLS.

Je sais que vous allez simplement regarder le diagramme, mais pour des raisons de rigueur (et de référencement), je vais également inclure la description. N'oubliez pas que nous avons condensé certaines étapes et simplifié un peu la procédure :

  1. L'agent envoie une demande de commande et la signe numériquement avec sa paire de clés de compte.
  2. L'AC Atlas de nouvelle génération de GlobalSign envoie un défi de validation de domaine pour vérifier que l'agent est autorisé à agir au nom du serveur. Les informations de validation de domaine peuvent être réutilisées pendant 397 jours.
  3. L'agent envoie une réponse indiquant qu'il a répondu au défi d'autorisation, en le signant une fois de plus avec sa paire de clés de compte. Atlas vérifie ensuite cette réponse
  4. Après vérification, l'agent génère une CSR au nom de son serveur web et l'envoie à Atlas après l'avoir signée avec sa paire de clés de compte.
  5. Atlas vérifie la signature numérique et GlobalSign émet les certificats SSL/TLS.
  6. L'agent reçoit le certificat et l'installe/le configure sur le serveur.

acme-agent-installed-configured-certs-installed-renewed.PNG

L'avantage est que vous n'avez rien à faire, tout se passe silencieusement, en coulisse, sans que vous ayez à y penser.

Tout d'abord, les renouvellements se déroulent de la même manière et, comme mentionné ci-dessus, les informations de validation du domaine peuvent être réutilisées pendant 397 jours. Ainsi, tout certificat émis après la première validation du domaine peut ignorer les défis de validation ultérieurs pendant les 397 jours suivants. Si l'on considère que la meilleure pratique est de les faire tourner plus fréquemment qu'une fois par an au nom d'une meilleure posture de sécurité et d'une plus grande crypto-agilité, ACME offre un moyen très pratique d'y parvenir.

Révoquer un certificat

L'étape suivante est la révocation, surtout lorsque votre rotation implique l'échange de certificats plus fréquemment qu'une fois par an, vous allez inévitablement révoquer certains certificats. C'est également le cas pour les certificats compromis et une foule d'autres problèmes liés aux certificats. ACME vous facilite la tâche. Voici comment :

  1. L'agent génère une demande de révocation au nom du serveur et la signe numériquement avec la clé de compte ou la clé privée du certificat TLS que vous voulez révoquer.
  2. Atlas vérifie la signature numérique
  3. GlobalSign révoque le certificat
  4. GlobalSign publie le certificat révoqué dans les listes de révocation de certificats (CRL) et le protocole de statut de certificat en ligne (OCSP) requis.

Comment pouvez-vous utiliser ACME ?

Le service ACME de GlobalSign représente une première étape incroyable vers l'automatisation pour toute organisation. L'élimination du stress et des tracas liés à la gestion des certificats SSL/TLS réduit la charge de travail de votre équipe informatique et évite de nombreux pièges potentiels liés à la gestion des certificats publics. Une erreur humaine peut entraîner l'expiration des certificats avant qu'ils ne puissent être remplacés, ce qui peut causer une myriade de problèmes.

  • Pannes/temps d'arrêt - Si vous ne pouvez pas accéder à un certain site Web ou serveur, personne ne peut l'utiliser. Il peut s'agir d'une vitrine de site de commerce électronique, d'un portail de réseau pour les employés à distance ou d'un serveur de jeux vidéo. Quoi qu'il en soit, vous perdez de la productivité et des revenus.
  • Dégradation de la marque - Vous vous énervez contre votre opérateur téléphonique pour un simple appel interrompu ou une mauvaise qualité de réseau. Il en va de même pour les sites web et les services en ligne. Vous pouvez penser qu'être indisponible pendant quelques heures n'est pas anodin, mais vos clients auront une opinion bien différente. Vos employés n'y verront peut-être pas d'inconvénient, même s'ils ne l'admettront jamais.
  • Problèmes de conformité/réglementation - Selon votre emplacement ou votre secteur d'activité, il existe certaines exigences en matière de TLS/HTTPS et de cybersécurité générale. Des expirations non planifiées peuvent entraîner des problèmes de conformité. Même si elles n'entraînent pas de pénalités, elles peuvent vous placer sur les radars réglementaires, ce qui n'est pas vraiment idéal.

De plus, une fois que vous aurez compris l'intérêt d'automatiser les cycles de vie SSL/TLS, vous vous demanderez quelles autres parties de la PKI de votre organisation vous pourriez automatiser ensuite. Cela fait toute la différence, surtout à grande échelle.

Voulez-vous parler d'ACME à GlobalSign ?

C'est génial, et nous avons des vendeurs qui attendent votre e-mail ou votre appel. Littéralement, ils sont debout. Nous ne leur achetons pas de chaises - c'est ainsi que nous maintenons nos prix bas et que nos employés restent debout (littéralement). Ce n'est pas vrai. Mais ils sont vraiment debout, prêts à parler de notre automatisation et de la façon dont notre service ACME peut apporter un trésor d'avantages à votre organisation. Il vous suffit de DEMANDER UNE DÉMO et quelqu'un vous contactera.

Ou vous pouvez toujours prendre le téléphone et appeler. Ou est-ce bizarre de nos jours ? Dans tous les cas, nous sommes prêts à parler d'ACME et d'automatisation quand vous le souhaitez !

Share this Post

Blogs récents