|
<< Klicken Sie, um das Inhaltsverzeichnis anzuzeigen >> Navigation: Technisches > Automatischer Zertifikatsbezug über ACME |
Gültig für: die EMIL-Plattform und darauf aufbauende Systeme (RheDAT u.a.), serverseitiger Betrieb mit eigenen Zertifikaten.
Dieses Kapitel richtet sich an Administratoren, die den Bezug und die Erneuerung eigener Server-Zertifikate vollständig automatisieren möchten. Die Grundlagen des Eigenzertifikat-Betriebs (CUSTOMCERT, Dateiformate, Import einer P12-Datei) finden Sie unter Eigene Server-Zertifikate.
Der Server liest die TLS-Zertifikate aus zwei PEM-Dateien in einem festgelegten Ordner (certs) aus. Dadurch lässt sich der Bezug und die Erneuerung von Zertifikaten vollständig einem kundenseitig betriebenen ACME-Client überlassen: Dieser bezieht die Zertifikate und legt sie als PEM-Dateien im Zielordner ab, der Server übernimmt sie beim nächsten Neustart.
ACME (Automatic Certificate Management Environment, RFC 8555) ist ein standardisiertes Protokoll zur automatisierten Ausstellung und Erneuerung von TLS-Zertifikaten. Der Ablauf umfasst Kontoerstellung, Order, Nachweis der Domänenkontrolle, Einreichung des CSR und Bezug des Zertifikats - ohne manuelles Zutun.
Der Server erwartet im vorgesehenen Ordner (certs) zwei Dateien:
•eine PEM-Datei mit der Zertifikatskette (Serverzertifikat plus Zwischenzertifikate) - owncert.pem
•eine PEM-Datei mit dem privaten Schlüssel - ownkey.pem
Die Umschaltung auf diese Dateien erfolgt über CUSTOMCERT=1 in der config.ini, siehe Eigene Server-Zertifikate.
Betrieb und Konfiguration des ACME-Clients liegen beim Kunden. Als ausstellende Stelle (CA / ACME-Endpoint) kommen u.a. in Frage:
•step-ca (smallstep)
•Microsoft ADCS - spricht nicht nativ ACME; benötigt eine ACME-Erweiterung, sonst kommen andere Enrollment-Protokolle wie SCEP zum Einsatz
•öffentliche CAs wie Let's Encrypt oder ZeroSSL
Für den Nachweis der Domänenkontrolle (Challenge) stehen je nach CA verschiedene Verfahren zur Verfügung:
•HTTP-01 (Port 80)
•DNS-01 (TXT-Records)
•TLS-ALPN-01 (Port 443)
External Account Binding (EAB): Interne CAs verlangen häufig eine Vorab-Registrierung des ACME-Kontos mit Schlüssel und HMAC.
•acme.sh
•win-acme
•Certify The Web
•step-cli
1.ACME-Client konfigurieren (CA, Challenge-Verfahren, ggf. EAB).
2.Erstmaligen Bezug testen.
3.Server auf eigene Zertifikate umstellen (CUSTOMCERT=1).
4.Post-Hook einrichten, der die bezogenen PEM-Dateien in den Ordner certs kopiert (owncert.pem / ownkey.pem).
5.Zertifikat-Übernahme prüfen.
6.Automatische Erneuerung aktivieren.
7.Der Server übernimmt erneuerte Zertifikate beim nächtlichen Neustart.
ITC stellt ausschließlich den Zertifikats-Import-Mechanismus bereit (Auslesen der PEM-Dateien). Auswahl, Betrieb und Konfiguration des ACME-Clients liegen vollständig beim Kunden.