ACME 是一种互联网协议,旨在使企业能够与证书颁发机构(CA)进行通信,并自动执行 TLS 证书的生命周期。这种无需接触的环境可实现低成本、高速度的证书签发。ACME 的强大之处在于,ACME 客户端可向由 GlobalSign 等 CA 运营的 ACME 服务器发送证书请求,从而共同实现关键证书生命周期管理 (CLM) 功能的自动化。
在本博客中,我们将探讨 GlobalSign ACME 服务的最新更新;为内部域签发 IntranetSSL 证书。
ACME 协议的演变
ACME 协议 自诞生以来已发生了重大演变。ACME 最初是为简化 TLS 证书的签发和管理而开发的,如今已发展成为可应对企业在可扩展性、安全性和敏捷性方面面临的日益严峻的挑战。ACME 支持更短的证书生命周期、改进的自动化功能以及与容器化和云计算等新兴技术的集成,使企业能够在不断变化的安全威胁和合规要求面前保持领先。
GlobalSign 的 ACME 解决方案 - 近期更新和增强功能
适应不断变化的安全要求是企业保持合规性和安全性的必要条件。GlobalSign 最近对其 ACME 服务进行了更新,包括子域验证重用、支持 ACME KeyChange 端点以及内部 ACME Nonce 更新。此后,我们继续努力加强 ACME 服务,并很高兴在 IntranetSSL 产品线上推出通过 ACME 支持内部域证书的功能。
这意味着什么?
随着这项功能的推出,GlobalSign 将为企业提供一项前所未有的功能:通过 ACME 为使用非官方域后缀(如 .internal 或 .lan )的内部域和私有域签发证书。企业可将这些内部域用于开发网络或其他非生产环境;它们还可用于私有设备网络和 Active Directory 域(不过,对于 AD 域,建议的做法是使用企业控制的公开注册域的子域)。
ACME 挑战通常依靠公共 DNS 查询 TXT 记录或解析服务器地址。但是,非官方域名后缀没有公共 DNS。在此之前,这一直是发布域名的障碍。对于希望实现证书管理自动化并在关键业务领域采用更好的 PKI 敏捷性的企业来说,这是一个改变游戏规则的机会。
为什么重要?
确保内部域上端点的安全对于处理敏感信息和内部通信、保护这些端点免受潜在的供应链攻击以及其他威胁和漏洞至关重要。GlobalSign 使其强大的 IntranetSSL 产品能够通过 ACME 协议自动配置,以确保内网/非公开域的安全。
通过自动部署和更新非公开 TLS/证书,企业可以确保专用端点保持加密标准并满足内部合规性要求,从而防止未经授权的访问、数据泄露和对内部运营的潜在干扰。
我们认识到内部网络隐私和安全的重要性。像 IntranetSSL 这样的私有层次结构不受公众信任证书的合规性要求的限制;因此,通过该层次结构签发的证书不会发布到 CT 日志中,从而保持了您的内部域的私密性。此外,由于我们可以跳过内部域的域挑战,因此来自 ACME 客户端的证书请求都是从您的网络向外发出的,无需为域挑战打开入站防火墙;证书签发后,ACME 客户端就会下载它!
通过 ACME 提供 IntranetSSL 的好处
集中管理:利用 ACME 协议的内置功能和 GlobalSign 的最新更新,可对公共证书和私人证书进行集中管理。使用相同的流程管理所有端点的证书可简化管理并降低漏洞风险。
合规性:企业可以执行一致的安全策略和合规标准。企业不必再依赖内部人员创建自签名信任链来保护重要的内部端点。现在,企业可以与可信 CA 分担重任,CA 拥有行业知识和专业技能,可以签发非公开证书,以适应非公开用例。
可扩展性:GlobalSign 的 ACME 服务提供可扩展的证书管理功能,使企业能够为任意数量的私有端点有效管理证书,并随着基础架构的发展和成熟而扩展和定制其解决方案。
通过 ACME 自动配置 IntranetSSL 证书,可以提高运行效率,改善安全状况,减轻安全团队的负担。
