การปรับใช้ใบรับรอง PKI อัตโนมัติด้วย ACME

ระบบอัตโนมัติที่ราบรื่นสำหรับการจัดการใบรับรอง SSL/TLS

ขอระบบทดลองใช้งาน

ACME: การจัดการใบรับรอง SSL ทำได้ง่าย – สำหรับทุกคน

การจัดการใบรับรองเป็นภาระ แต่การเดิมพันจะสูงที่สุดเมื่อคุณสามารถจัดการใบรับรอง SSL/TLS ที่เชื่อถือได้แบบสาธารณะ ในบริบทนั้น – หากไม่มี ACME – ความผิดพลาดหมายถึงการหยุดทำงาน การสูญเสียรายได้ การสูญเสียการผลิต แม้กระทั่งความเสียหายของแบรนด์ ด้วยจำนวนใบรับรองที่ใช้งานเพิ่มขึ้นอย่างทวีคูณ การจัดการใบรับรองทั้งหมดจึงไม่เคยซับซ้อนเท่านี้มาก่อน

ได้เวลาดำเนินการให้ทุกอย่างเป็นแบบเป้นอัตโนมัติแล้ว หยุดการจัดการใบรับรองด้วยตนเอง ปรับปรุง และเรียบง่ายทั้งหมดด้วย ACME บริการ ACME ของ GlobalSign เป็นตัวเลือกที่มีประสิทธิภาพสำหรับองค์กรใดๆ – ไม่ว่าจะเล็กหรือใหญ่ – เพื่อปรับปรุงประสิทธิภาพและความปลอดภัยผ่านระบบอัตโนมัติ

ออกใบรับรอง

ออกใบรับรอง SSL/TLS ใหม่ได้อย่างง่ายดาย ไปยังจุดสิ้นสุดที่เชื่อมต่อไว้

ติดตั้งใบรับรอง

ไม่มีการติดตั้งด้วยตนเองอีกต่อไป ทุกอย่างเกิดขึ้นอย่างเรียบง่ายด้วยโปรแกรมอัตโนมัติ

การออกใบรับรองแทนที่ตัวเก่า

ไม่ว่าคุณจะต้องการต่ออายุหรือเพิกถอน ACME สามารถจัดการได้ในไม่กี่วินาที

ACME ทำงานอย่างไร?

โปรโตคอล (ACME) ตามชื่อที่แสดงถึงอย่างชาญฉลาด ทำให้การจัดการวงจรชีวิตของใบรับรองสำหรับ SSL/TLS เป็นไปโดยอัตโนมัติ ACME ได้รับการออกแบบโดย Internet Security Research Group และได้รับการสนับสนุนจาก Electronic Frontier Foundation มีเฟรมเวิร์กสำหรับไคลเอ็นต์ในการสื่อสารโดยตรงกับ CA (Certificate Authority) เพื่อออกติดตั้งเพิกถอนและแทนที่ใบรับรอง SSL

บริการ ACME ของ GlobalSign ช่วยให้ลูกค้ามีความยืดหยุ่นในการใช้ไคลเอ็นต์ ACME ที่ตรงตามข้อกำหนดที่กำหนดไว้เพื่อเชื่อมต่อโดยตรงกับ Atlas ซึ่งเป็นหน่วยงานออกใบรับรองระบบคลาวด์รุ่นต่อไปของ GlobalSign โดยทั่วไปไคลเอ็นต์จะเป็นโอเพ่นซอร์สและสร้างขึ้นเพื่อใช้บนแพลตฟอร์มเฉพะหรือกับระบบปฏิบัติการเฉพาะ

ไคลเอ็นต์จะถูกเลือกตามความต้องการขององค์กร มีการติดตั้งตัวแทนบนเว็บเซิร์ฟเวอร์

ตัวแทนถูกกำหนดค่าให้เชื่อมกับ Atlas และคู่คีย์บัญชีจะถูกสร้างขึ้น

การใช้คีย์บัญชี ACME ตัวแทนมีคำขอ, ติดตั้ง, และต่ออายุใบรับรอง SSL/TLS

ประโยชน์ของการใช้ ACME กับ GlobalSign

การใช้โปรโตคอล ACME เพื่อจัดการใบรับรองโดยอัตโนมัติด้วย GlobalSign มีประโยชน์มากมาย:

  • ไม่ต้องกรอก CSR และดำเนินการตรวจสอบโดเมนด้วยตนเองอีกต่อไป
  • ไม่จำเป็นต้องเข้าถึงเซิร์ฟเวอร์เพื่อติดตั้งใบรับรองใหม่และแทนที่ใบรับรองเก่า
  • กำจัดข้อผิดพลาดของมนุษย์ที่นำไปสู่การหมดอายุและการหยุดทำงานของบริการ
  • ประหยัดเวลาและทรัพยากรโดยการกำจัดงานการจัดการใบรับรองที่ซับซ้อน
  • รับการสนับสนุนและ SLA อย่างเต็มที่จากผู้ออกใบรับรองที่เชื่อถือได้ทั่วโลก
  • เลือกระหว่างใบรับรอง OV และ DV ที่ออกโดยผู้ออกใบรับรองที่เชื่อถือได้ทั่วโลก
     

อายุขัยใบรับรองจะสั้นลงเท่านั้น! ในช่วงเวลาห้าปีที่ผ่านมา ความถูกต้องสูงสุดลดลงจากสามปีเหลือหนึ่งปี
นั่นหมายถึงการออกใบรับรองบ่อยขึ้นและมากขึ้นสำหรับองค์กรของคุณในการจัดการ ถึงเวลาที่จะเริ่มการดำเนินการอัตโนมัติในตอนนี้!

โปรโตคอล ACME คืออะไร?

(ACME) ของเราเป็นโปรโตคอลที่ช่วยลดความจำเป็นในการแทรกแซงด้วยตนเองผ่านการออกและต่ออายุใบรับรอง SSL/TLS โดยอัตโนมัติ ตัวแทนจะสามารถสื่อสารกับเราและให้ใบรับรองสำหรับระบบอัตโนมัติที่สมบูรณ์ของกระบวนการหลักที่จำเป็นในการจัดการใบรับรอง SSL/TLS ทุกรายการในทุกปลายทางในองค์กรของคุณ

หลังจากตั้งค่าและกำหนดค่า ACME แล้ว ฟังก์ชันวงจรการใช้งานที่สำคัญจะถูกเขียนสคริปต์ให้เกิดขึ้นเบื้องหลัง ACME อธิบาย - นี่คือเหตุผลว่าทำไมจึงสำคัญ:
  • ความถูกต้องของใบรับรองและระยะเวลาการนำโดเมนกลับมาใช้ใหม่ลดลงจากหลายปีเหลือหนึ่งปีและคาดว่าจะลดลงอีก
  • ระบบอัตโนมัติช่วยลดภาระจำนวนมากที่เกี่ยวข้องกับการปรักใช้ขนาดใหญ่และการจัดการวงจรชีวิตในระดับองค์กร
  • ACME ช่วยลดการหยุดทำงานของเว็บไซต์เนื่องจากใบรับรองที่หมดอายุหรือกำหนดค่าไม่ถูกต้อง พร้อมกับชื่อเสียงและผลกระทบทางการเงินต่อองค์กรของคุณ
  • ข้อกำหนดการปฏิบัติตามข้อกำหนดเกี่ยวกับการรักษาความปลอดภัยการเชื่อมต่อและพื้นที่อื่นๆที่เกี่ยวข้องนั้น มีการเปลี่ยนแปลงอยู่ตลอดเวลาและอาจทำให้องค์กรเสียค่าใช้จ่ายอย่างมากหากถูกละเมิด

ACME รองรับการจัดการวงจรชีวิตของใบนับรองอย่างไร?

ความสามารถในการจัดการวงจรชีวิตของใบรับรองของ ACME ทำให้การจัดการใบรับรองง่ายขึ้นและทำให้มีประสิทธิภาพมากขึ้นสำหรับทั้งผู้ใช้และผู้ออกใบรับรองโดยเฉพาะใน:
  1. การต่ออายุใบรับรอง – คุณสามารถต่ออายุใบรับรองของคุณโดยอัตโนมัติและป้องกันไม่ให้เว็บไซต์หยุดทำงานเนื่องจากใบรับรองหมดอายุ
  2. การเพิกถอนใบรับรอง – คุณสามารถเพิกถอนใบรับรองของคุณได้เมื่อไม่จำเป็นอีกต่อไปหรือได้รับการประนีประนอม
  3. การดึงข้อมูลใบรับรอง – คุณสามารถดึงข้อมูลใบรับรอง เช่น วันหมดอายุและการออกใบรับรองได้อย่างง่ายดาย
  4. การจัดการใบรับรองหลายรายการ – คุณสามารถจัดการใบรับรองจำนวนมากสำหรับเว็บไซต์ของคุณได้อย่างง่ายดาย

โปรโตคอล ACME ทำงานอย่างไร?

ด้วยการใช้ประโยชน์จาก ACME องค์กรสามารถปรับปรุงและทำให้กระบวนการที่ใช้เวลานานเป็นไปโดยอัตโนมัติ เช่น การสร้าง CSR การยืนยันความเป็นจ้าของโดเมน การออกใบรับรอง และการติดตั้ง

การออก/การต่ออายุ

กระบวนการออก/การต่ออายุนั้นง่าย:

  1. ตัวแทนส่งคำขอสั่งซื้อและลงนามแบบดิจิทัลด้วยบัญชีคีย์คู่
  2. Atlas Certificate Authority ของเราส่งคำท้าการตรวจสอบความถูกต้องของโดเมนเพื่อตรวจสอบว่าตัวแทนได้รับอนุญาตให้ดำเนินการในนามของเซิร์ฟเวอร์ ข้อมูลการตรวจสอบความถูกต้องของโดเมนสามารถนำกลับมาใช้ใหม่ได้เป็นเวลา 397 วัน
  3. ตัวแทนส่งการตอบกลับที่ระบุว่าได้ตอบสนองต่อความท้าทายการอนุญาต และลงนามอีกครั้งด้วยบัญชีคีย์คู่ Atlas จะตรวจสอบสิ่งนี้
  4. หลังจากการตรวจสอบ ตัวแทนจะสร้าง CSR ในนามของเว็บเซิร์ฟเวอร์และส่งไปยัง Atlas หลังจากลงนามด้วยบัญชีคีย์คู่
  5. Atlas ตรวจสอบลายเซ็นต์ดิจิทัล และเราออกใบรับรอง SSL/TLS
  6. ตัวแทนได้รับใบรับบรองและติดตั้ง/กำหนดค่าบนเซิร์ฟเวอร์
โปรโตคอล ACME ทำการต่ออายุอย่างไร
กระบวนการเพิกถอนยังต้องมีสิ่งต่อไปนี้:
  1. ตัวแทนสร้างคำขอเพิกถอนในนามของเซิร์ฟเวอร์และเซ็นชื่อแบบดิจิทัลด้วยคีย์บัญชีหรือคีย์ส่วนตัวของใบรับรอง SSL ที่คุณต้องการเพิกถอน
  2. Atlas ตรวจสอบลายเซ็นดิจิทัล
  3. เราเพิกถอนใบรับรอง
  4. เราเผยแพร่ใบรับรองที่ถูกเพิกถอนไปยังรายการเพิกถอนใบรับรอง (CRLs) และโปรโตคอลสถานะใบรับรองออนไลน์ (OCSPs) ที่จำเป็น
กระบวนการเพิกถอนใบรับรอง Globalsign Acme
ปรับปรุงกระบวนการ SSL ของฉัน

ลูกค้าที่เข้ากันได้กับ ACME

ความงามของ ACME คือคุณสามารถค้นหาลูกค้าที่เหมาะสมโดยไม่คำนึงถึงประเภทของเซิร์ฟเวอร์

ลูกค้า ACME ที่ได้รับความนิยมมากที่สุด ได้แก่:
  • Certbot
  • ACMESharp
  • acme-client
  • Posh-ACME
  • Caddy
  • nginx ACME

การตรวจสอบความถูกต้องทำงานอย่างไร?

การตรวจสอบความถูกต้องของ ACME ทำงานโดยตรวจสอบว่าเอนทิตีที่ร้องขอใบรับรอง SSL/TLS ได้รับอนุญาตให้ใช้ชื่อโดเมนที่มีการร้องขอใบรับรอง เมื่อตรวจสอบความถูกต้องสำเร็จ จะได้รับใบรับรองสำหรับโดเมน

ระยะเวลาการใช้โดเมนซ้ำ

โดเมนที่ผ่านการจรจสอบผ่าน ACME สามารถนำกลับมาใช้ใหม่ได้เป็นเวลา 397 วันก่อนที่จะต้องได้รับการตรวจสอบอีกครั้ง

จำเป็นต้องมีการตรวจสอบความถูกต้องเพื่อใช้ ACME

การตรวจสอบความถูกต้องของ ACME ได้รับการออกแบบมาให้เป็นไปโดยอัตโนมัติ ซึ่งหมายความว่ากระบวนการทั้งหมดสามารถทำได้ในพริบตา การตรวจสอบความถูกต้องนี้ทำได้โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้:
  1. การตรวจสอบ HTTP

    วิธีการตรวจสอบโดเมน HTTP (http-01) อสศัยตัวแทนของ ACME ที่วางค่าแบบสุ่มที่ตำแหน่งเฉพาะบนเว็บไซต์เป้าหมาย Certbot ทำการตรวจสอบ HTTP ตามค่าเริ่มต้น ใช้ตัวอย่างรหัสต่อไปนี้เมื่อลงทะเบียนบัญชี GlobalSign Atlas ของคุณกับ Certbot และขอใบรับรองโดยใช้วิธีการตรวจสอบ HTTP

    certbot certonly --webroot -w <YOUR DOMAIN ROOT FOLDER ADDRESS> -d <YOURDOMAIN.COM> -n --agree-tos --eab-kid <YOUR-API-KEY> --eab-hmac-key <YOUR-MAC-KEY> -m <YOUR@EMAIL.COM> --server https://emea.acme.atlas.globalsign.com/directory

    หากบัญชี Atlas ของคุณได้รับการลงทะเบียนในลูกค้า Certbot ของคุณ แล้วคุณสามารถใช้ตัวอย่างรหัสต่อไปนี้เพื่อขอใบรับรองโดยใช้วิธีการตรวจสอบ HTTP

    certbot certonly --webroot -w <YOUR DOMAIN ROOT FOLDER ADDRESS> -d <YOURDOMAIN.COM> --server https://emea.acme.atlas.globalsign.com/directory

    หากคุณต้องการออกใบรับรองผ่าน CSR โปรดสร้าง CSR ด้วยอัลกอริธึมการแฮช SHA-256, SHA384 หรือ SHA-512

    ถ้าคุณต้องการตรวจสอบสัญลักษณ์ SAN แล้วคุณต้องใช้วิธีการ DNS เนื่องจากห้ามใช้วิธีการ HTTP สำหรับการออกสัญลักษณ์ใบรับรองตามข้อกำหนดพื้นฐานของ CA/Browser Forum

  2. การตรวจสอบ DNS

    วิธีการตรวจสอบ DNS (dns-01) ขอให้เซิร์ฟเวอร์ GlobalSign ACME ตรวจสอบบันทึกของ DNS TXT บนเว็บไซต์ของคุณ เมื่อคุณส่งคำขอนี้ คุณจะได้รับโทเค็นที่ต้องอัพโหลดไปยังบันทึก DNS TXT ของเว็บไซต์ของคุณ Certbot จะเลือกวิธีการตรวจสอบ HTTP โดยอัตโนมัติสำหรับการตรวจสอบโดเมนทั้งหมด ดังนั้นคุณต้องระบุในคำสั่งนี้เพื่อใช้วิธีการตรวจสอบ DNS คำสั่งที่ใช้จะขึ้นอยู่กับวิธีการกำหนดค่าลูกค้าของ ACME ของคุณ

    หมายเหตุ: การตรวจสอบ DNS ต้องมีการกำหนดค่าด้วยตนเองหรือต้องการปลั๊กอินเพิ่มเติม สำหรับข้อมูลเพิ่มเติม โปรดไปที่ https://eff-certbot.readthedocs.io/en/stable/using.html#dns-plugins

  3. วิธีการตรวจสอบโดเมนอื่นๆ

    แพลตฟอร์ม GlobalSign Atlas รองรับวิธีการตรวจสอบความถูกต้องของโดเมนอื่นๆอีกหลายวิธีซึ่งสามารถใช้เพื่อตรวจสอบความถูกต้องของโดเมนกับโปรไฟล์ข้อมูลประจำตัวที่ระบุ จากนั้นใช้โดย ACME ในภายหลัง สำหรับข้อมูลเพิ่มเติม โปรดดูคู่มือ Atlas API guide.

แจ้งกรณีการใช้งานของคุณให้เราทราบ แล้วเราจะบอกคุณว่า ACME สามารถช่วยคุณได้อย่างไร

มาทำให้ใบรับรองของคุณเป็นแบบอัตโนมัติด้วยวิธีดารแก้ไข ACME ของ GlobalSign พูดคุยกับเรา!

ดูว่า ACME ทำให้การจัดการใบรับรองเป็นเรื่องง่ายได้อย่างไร:

  • ติดตั้ง
  • ออกใบ
  • ทดแทน

...ในชั่วพริบตา!