Automatischer Zertifikatsbezug über ACME

<< Klicken Sie, um das Inhaltsverzeichnis anzuzeigen >>

Navigation:  Technisches >

Automatischer Zertifikatsbezug über ACME

Gültig für: die EMIL-Plattform und darauf aufbauende Systeme (RheDAT u.a.), serverseitiger Betrieb mit eigenen Zertifikaten.

Dieses Kapitel richtet sich an Administratoren, die den Bezug und die Erneuerung eigener Server-Zertifikate vollständig automatisieren möchten. Die Grundlagen des Eigenzertifikat-Betriebs (CUSTOMCERT, Dateiformate, Import einer P12-Datei) finden Sie unter Eigene Server-Zertifikate.

Zusammenfassung

Der Server liest die TLS-Zertifikate aus zwei PEM-Dateien in einem festgelegten Ordner (certs) aus. Dadurch lässt sich der Bezug und die Erneuerung von Zertifikaten vollständig einem kundenseitig betriebenen ACME-Client überlassen: Dieser bezieht die Zertifikate und legt sie als PEM-Dateien im Zielordner ab, der Server übernimmt sie beim nächsten Neustart.

Was ist ACME?

ACME (Automatic Certificate Management Environment, RFC 8555) ist ein standardisiertes Protokoll zur automatisierten Ausstellung und Erneuerung von TLS-Zertifikaten. Der Ablauf umfasst Kontoerstellung, Order, Nachweis der Domänenkontrolle, Einreichung des CSR und Bezug des Zertifikats - ohne manuelles Zutun.

Voraussetzungen auf Systemseite

Der Server erwartet im vorgesehenen Ordner (certs) zwei Dateien:

eine PEM-Datei mit der Zertifikatskette (Serverzertifikat plus Zwischenzertifikate) - owncert.pem

eine PEM-Datei mit dem privaten Schlüssel - ownkey.pem

Die Umschaltung auf diese Dateien erfolgt über CUSTOMCERT=1 in der config.ini, siehe Eigene Server-Zertifikate.

Aufgabe des Kunden: der ACME-Client

Betrieb und Konfiguration des ACME-Clients liegen beim Kunden. Als ausstellende Stelle (CA / ACME-Endpoint) kommen u.a. in Frage:

step-ca (smallstep)

Microsoft ADCS - spricht nicht nativ ACME; benötigt eine ACME-Erweiterung, sonst kommen andere Enrollment-Protokolle wie SCEP zum Einsatz

öffentliche CAs wie Let's Encrypt oder ZeroSSL

Für den Nachweis der Domänenkontrolle (Challenge) stehen je nach CA verschiedene Verfahren zur Verfügung:

HTTP-01 (Port 80)

DNS-01 (TXT-Records)

TLS-ALPN-01 (Port 443)

External Account Binding (EAB): Interne CAs verlangen häufig eine Vorab-Registrierung des ACME-Kontos mit Schlüssel und HMAC.

Empfohlene Standard-Clients

acme.sh

win-acme

Certify The Web

step-cli

Ablauf der Anbindung

1.ACME-Client konfigurieren (CA, Challenge-Verfahren, ggf. EAB).

2.Erstmaligen Bezug testen.

3.Server auf eigene Zertifikate umstellen (CUSTOMCERT=1).

4.Post-Hook einrichten, der die bezogenen PEM-Dateien in den Ordner certs kopiert (owncert.pem / ownkey.pem).

5.Zertifikat-Übernahme prüfen.

6.Automatische Erneuerung aktivieren.

7.Der Server übernimmt erneuerte Zertifikate beim nächtlichen Neustart.

Verantwortungsabgrenzung

ITC stellt ausschließlich den Zertifikats-Import-Mechanismus bereit (Auslesen der PEM-Dateien). Auswahl, Betrieb und Konfiguration des ACME-Clients liegen vollständig beim Kunden.