热门问题
时间线
聊天
视角

自動憑證更新環境

用於在憑證授權單位與網路伺服器間自動互動的協定 来自维基百科,自由的百科全书

自動憑證更新環境
Remove ads

自動證書管理環境(英語:Automatic Certificate Management Environment,縮寫ACME)是一種通信協議,用於證書頒發機構與其用戶的Web服務器之間的自動化交互,允許以極低成本自動化部署公鑰基礎設施[1][2]該協議由網際網路安全研究小組英語Internet Security Research Group(ISRG)為Let's Encrypt服務設計。[1]

Thumb
ACME標誌

該協議通過HTTPS協議傳輸JSON格式的信息[2] [3],並已由專門的IETF工作組在RFC 8555中規範為一個互聯網標準[4][5]

客戶端實現

ISRG提供了自由且開源的ACME實現軟體certbot,它是一個基於Python編寫的使用ACME協議的服務器證書管理軟件[6] [7] [8],另有用Go語言編寫的證書頒發機構實現boulder[9]。其他ACME客戶端實現還包括Smallstep[10]、step-ca和Keyon Enterprise PKI頁面存檔備份,存於網際網路檔案館)。

自2015年以來,各操作系統上已出現眾多可供選擇的客戶端。[11]

更多信息 客戶端, 類型 ...
Remove ads

ACME服務提供商

支持基於ACME的免費或低成本的證書服務提供商包括Let's EncryptBuyPass Go SSL頁面存檔備份,存於網際網路檔案館)、ZeroSSL頁面存檔備份,存於網際網路檔案館)和SSL.com頁面存檔備份,存於網際網路檔案館)。其他許多憑證頒發機構和程式供應商將ACME服務作為付費PKI解決方案的一部分,例如EntrustDigiCert

API版本

API v1

API v1規範於2016年4月12日發布。該版本支持為完整網域名稱頒發證書,例如example.comcluster.example.com,但不支持例如*.example.com的通用憑證。Let's Encrypt於2021年6月1日結束了API v1的支持。[12]

API v2

API v2在多次推遲後於2018年3月13日發布。ACME v2不向下兼容v1。版本2支持通用域名憑證,例如*.example.com,允許單個域下的專用網絡中的大量子域用一個共享的「通配符」證書獲得受信任的TLS,例如https://cluster01.example.comhttps://cluster02.example.comhttps://example.com[13]v2中的一個主要的新要求是請求通用域名憑證需要修改域名服務的TXT記錄英語TXT record,以驗證域名所有權。

自v1以來對ACME v2協議的更改包括:[14]

  1. 授權/發行流程已更改。
  2. JWS請求授權已更改。
  3. JWS請求正文的「resource」字段替換為新的JWS標頭「url」。
  4. 目錄端點/資源重命名。
  5. 驗證資源中的URI更名為URL。
  6. 帳戶創建和ToS協議從兩步變為一步。
  7. 實現一種新的驗證類型TLS-ALPN-01。由於安全問題,早期的挑戰類型TLS-SNI-01和TLS-SNI-02因安全問題已移除。[15] [16]
Remove ads

參見

參考文獻

外部連結

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads