Zertifikat mittels acme.sh beziehen

Einfach ausgestellt

Das ACME-Protokoll wird zumeist im Zusammenhang mit der Zertifizierungsstelle Let's Encrypt genannt, da sich mit diesem digitale Zertifikate für TLS-Verschlüsselung einfach ausstellen lassen. Mittlerweile unterstützen allerdings immer mehr Systeme ACME. Der Open-Source-Tipp nimmt das Protokoll unter die Lupe und stellt mit acme.sh einen leichtgewichtigen Client dafür vor.
Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet ... (mehr)

Werden Daten im Internet übertragen, sollten diese im Idealfall verschlüsselt sein. Die Organisation Let's Encrypt [1] hat einen wesentlichen Anteil dazu beigetragen, diesen Vorsatz umzusetzen. War es bis vor wenigen Jahren ein recht komplexer Vorgang, ein X.509-Zertifikat zu beziehen, wurde dieser Workflow durch die Let's-Encrypt-Zertifizierungsstelle in Zusammenhang mit dem ACME-Protokoll (Automatic Certificate Management Environment) stark vereinfacht. Somit ist es nun für jedermann möglich, ein Zertifikat für den eigenen Webdienst oder auch andere Services zu beziehen, um einen sicheren TLS-Kommunikationskanal anzubieten.

Grundsätzlich sind beim Einsatz von ACME zwei Komponenten unabdingbar: Ein ACME-Server und -Client. Das Protokoll basiert darauf, dass der Client nachweisen kann, Kontrolle über die Domäne zu besitzen, wofür der Server ein Zertifikat ausstellen soll. Kann der Client den Nachweis erbringen, stellt der Server ein sogenanntes Domain Validated Certificate (DV) aus und sendet dieses an den Client. Anders als beispielsweise bei den Zertifikatstypen Organization Validation (OV) oder Extended Validation (EV) ist keine Validierung des Antragstellers notwendig. Es sind also optimale Voraussetzungen gegeben, um den Prozess von der Antragstellung bis zur Ausstellung des Zertifikats zu automatisieren.

Unterschiedliche Challenge-Typen

Um den Nachweis zu erbringen, dass der Client die Kontrolle über eine Domäne besitzt, sendet der Server eine sogenannte Challenge an den Client. Für diese Challenges existieren unterschiedliche Typen: http-01, dns-01 und tls-alpn-01. Während die ersten beiden Typen bereits seit Anfang an Teil des ACME-Protokolls sind und somit auch im RfC8555 [2] dokumentiert sind, kam tls-alpn-01 erst im letzten Jahr als Erweiterung des Protokolls hinzu. Dieser Challenge-Typ ist im RfC 8737 beschrieben [3].

Die meisten ACME-Clients setzen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021