一种轻量级、便捷的方式来管理SSL/TLS生命周期
ACME协议(或自动化证书管理环境)是一个用于自动化SSL/TLS证书注册及其签发和安装的协议。
最初由互联网安全研究小组(ISRG)创建,并标准化为RFC 8555。它是由Let 's Encrypt——一个免费、开源的证书颁发机构(CA)推广开来的。随着ACME v2的发布,该协议的功能有所增加,现在GlobalSign开始利用它的易用性和便利性。
经过一段时间的beta测试后,我们很高兴发布我们的ACME服务的第一个迭代,它将为我们的客户提供域验证(DV) SSL/TLS证书。这代表着自动化SSL/TLS生命周期的伟大的第一步,并进入管理整个公钥基础设施(PKI)的更大的自动化策略。
为什么是ACME?
你以前安装过SSL/TLS证书吗?如果没有自动化,这将是一个乏味的过程。你必须创建一个证书签名请求(Certificate Signing Request, CSR),这意味着生成一个服务器端,然后将其复制/粘贴到CA的某个字段中。之后,你必须执行手动域名验证,通常是通过更新你的网站或DNS记录,使用证书颁发机构(Certificate Authority, CA)提供的值。然后你必须等待证书被签发,把证书拿到安装它的服务器上,安装它,并确保所有配置都正确。对于单个网站来说,这可能需要40分钟。在规模上,它会消耗大量的时间和资源。
ACME改变了这一点。使用ACME协议使您能够为安装了ACME代理的任何服务器(包括非Microsoft机器)提供SSL/TLS证书。在安装和配置ACME代理之后,GlobalSign的ACME服务将完成剩下的工作——从CSR生成到域验证再到为您安装证书。一切都在幕后默默进行。
好吧,但为什么是GlobalSign的ACME服务?
Let 's Encrypt很棒。他们是ACME的发起者,并为互联网的其他部分提供了宝贵的服务。但企业和服务提供商的需求是多样化的。他们希望提供大量的证书,所以免费的90天证书不如提供支持、服务水平协议(service level agreements, SLA)和签发更长的有效期证书有用。
这就是GlobalSign的不同之处,而使用免费服务需要你从论坛中筛选本质上是众包支持的服务,并在没有服务等级协议的情况下操作——有了我们,你不必担心这些。此外,它由我们的下一代高容量云CA Atlas提供支持,提供惊人的吞吐量和24/7可用性。
GlobalSign在这一行业拥有超过25年的经验,您将获得全球受信任的证书颁发机构和欧盟信任服务提供商。我们不在风险投资公司之间转手,我们不痴迷于我们的估值(我们的定价反映了这一点),我们也不涉足其他几项业务。PKI是我们所做的,这是我们所知道的——我们在派对上很不适合交谈。但是,如果您需要帮助开始使用我们的ACME服务,或者如果您需要一路上的支持,您可以与之交谈。
ACME是如何工作的?
ACME是一个用于自动化SSL/TLS生命周期的非常轻量级的框架。ACME本身是一种协议,组织根据自己的需求选择客户端。每个网络环境都是不同的——组织机构使用不同的服务器和不同的需求。ACME的美妙之处在于,无论服务器类型如何,您都可以找到正确的客户机。
一些最受欢迎的ACME客户端是:
- Certbot
- ACMESharp
- acme-client
- GetSSL
- Posh-ACME
- Caddy
- Sewer
- nginx ACME
还有一个叫彼得·斯勒斯,向这位因出演《奇爱博士》和《粉红豹》而出名的演员致敬,他和GlobalSign一样来自朴茨茅斯——尽管他在英国,而不是新罕布什尔州。
客户端通常是开源且免费的。GlobalSign的ACME服务支持任何使用IETF ACME标准的客户端。一旦选择了客户端,代理就会在您要保护的每个端点上安装和配置。
ACME客户端和代理之间有什么区别?
问得好,客户端指的是确保特定类型的服务器可以与GlobalSign通信的框架——代理是该系统的一部分,它代表该服务器执行诸如提供CSR和通过域名验证测试等操作。
现在让我们了解一下ACME是如何工作的。
创建ACME帐户
一旦代理全部安装完毕,它们将与GlobalSign交互,并使用称为外部帐户绑定(EAB)的ACME特性对自己进行身份验证(证明它们被授权代表服务器行事),以将代理公钥绑定到它们的Atlas帐户。这是通过使用GlobalSign生成的加密安全的消息验证码或MAC密钥来签署帐户密钥对。从那时起,所有消息都使用该密钥对进行签名,从而实现安全的发布和撤销。所有这些都是通过GlobalSign的Atlas门户完成的。
一旦一切就绪,魔法就开始了。不完全是,这是夸张的,远没有那么浮夸。
请求SSL/TLS证书
一旦代理安装在各自的web服务器上,并将它们绑定到您的Atlas帐户,它们就可以开始请求SSL/TLS证书。我知道你只是想看一下图表,但为了彻彻性(和SEO),我也会包括描述。请记住,我们已经简化了一些步骤:
- 代理发送订单请求并使用其帐户密钥对对其进行数字签名
- GlobalSign的下一代Atlas CA发送一个域验证挑战,以验证代理是否被授权代表服务器行事。域名验证信息可以重复使用397天
- 代理发送一个响应,表明它已经响应了授权挑战,并再次使用其帐户密钥对对其进行签名。Atlas验证了这一点
- 验证之后,代理代表其web服务器生成CSR文件,并在使用其帐户密钥对进行签名后将其发送给Atlas
- Atlas验证数字签名,GlobalSign颁发SSL/TLS证书
- 代理接收证书并在服务器上安装/配置它
好处是你不需要做任何事情,这一切都在幕后默默地发生——你不需要去想它。
注意,首先,续签的方式是一样的,如上所述,域名验证信息可以在397天内重复使用,所以在第一次域名验证之后签发的证书可以在接下来的397天内跳过后续的验证挑战。考虑到最佳实践是每年以改进安全姿态和提高加密敏捷性的名义更频繁地轮换它们,ACME提供了一种非常方便的方法来实现这一点。
此外,GlobalSign支持基于DNS和http的域名验证挑战。DNS挑战涉及用GlobalSign提供的值更新网站DNS记录的特定部分。同样,基于http的验证需要将值放在网站上某个地方的。txt文件中。
吊销证书
接下来是证书吊销,特别是当证书轮换涉及到一年交换一次以上的频率时,你不可避免地会吊销一些证书。这种情况同样适用于被篡改的证书以及其他一系列与证书相关的问题。ACME让它变得简单。方法如下:
- 代理代表服务器生成撤销请求,并使用您希望撤销的TLS证书的帐户密钥或私钥对其进行数字签名
- Atlas验证数字签名
- GlobalSign吊销证书
- GlobalSign将被吊销的证书发布到所需的证书吊销列表(crl)和在线证书状态协议(OCSPs)
如何使用ACME?
GlobalSign的ACME服务为任何组织向自动化迈出了不可思议的第一步。消除了管理SSL/TLS证书的压力和麻烦,为IT团队减轻了巨大的负担,并防止了公共证书管理带来的许多潜在陷阱。人为的错误可能会导致证书在被替换之前就过期了,这可能会导致很多问题。
- 宕机/停机 – 如果你无法访问某个网站或服务器,那么没有人可以使用它。这可能是一个电子商务网站storefront,一个远程员工的网络门户,或者一个视频游戏服务器。无论如何,你正在失去生产力和收入——或者更准确地说:金钱
- 品牌受损 – 你因为一次电话掉线或网络强度差而对你的手机运营商感到失望。人们对网站和在线服务也没有什么不同。你可能不认为几个小时都没空是小事,但你的客户/客户会有不同的意见。你的员工可能不会那么介意——尽管他们永远不会承认
- 合规性/监管问题 – 根据您的位置或行业,对TLS/HTTPS和一般网络安全有一定的要求。有计划外的过期可能导致合规性问题。即使他们不相当于惩罚,他们也可以让你进入监管雷达,这并不理想
另外,一旦你掌握了自动化SSL/TLS生命周期的便利,你就会想知道接下来你可以自动化组织中的PKI的哪些其他部分。它带来了一个不同的世界——尤其是在规模上。
你想跟GlobalSign谈谈ACME的事吗?
太好了,我们有销售人员在旁边等你的电子邮件或电话。实际上,他们是站着的。我们不给他们买椅子——这是我们压低价格,让我们的员工站起来的方法(真的)。这不是真的。但是他们确实随时准备讨论我们的自动化以及我们的ACME服务如何为您的组织提供宝贵的好处。只要请求一个演示,我们就会有人联系你。
或者你也可以随时拿起电话。或者现在这很奇怪吗?无论哪种方式,我们都准备好随时讨论ACME和自动化!