ACME a EAB: podpora na webserveroch (stav k 10/2025)
14.10.2025 | Jindřich Zechmeister
Zistite, ako využiť ACME a EAB pre automatizáciu TLS certifikátov. Porovnávame podporu na Nginx, Apache, LiteSpeed a ďalších, tipy pre DigiCert a implementáciu bez starostí
ACME slúži na správu životného cyklu certifikátov - od žiadosti a inštalácie až po ich obnovu. ACME môžete na SSLmarketu využiť už niekoľko rokov. Poďme sa spoločne pozrieť na stav podpory ACME u jednotlivých webových serverov.
ACME protokol a webové servery
Protokol ACME sa pôvodne využíval samostatne formou klientov, keď ste cez nejaký program vystavili TLS certifikát a tento "ACME klient" ho aj nainštaloval na webový server. Najznámejším ACME klientom je Certbot a počiatočná podpora webservera Apache sa postupne rozrástla, napríklad aj na Windows Server a IIS.
Aktuálnym trendom je integrácia ACME klienta priamo do webového servera tak, aby si certifikát získaval a nasadzoval kompatibilným spôsobom a nepotrebovali ste ďalší softvér či zásahy. Máte tak „všetko v jednom“. Príkladom webového servera so zabudovaným ACME klientom je Caddy či OpenLiteSpeed. Nedávno získal natívnu podporu ACME aj Nginx, ale zatiaľ nevie EAB, takže ho pre DigiCert nemožno využiť.
Čo je to EAB v ACME
EAB (External Account Binding) je mechanizmus v ACME, ktorý priraďuje vášho ACME klienta ku konkrétnemu účtu u certifikačnej autority. Pri zakladaní ACME účtu klient použije dvojicu údajov od CA – identifikátor KID a tajný HMAC kľúč – a tým sa „spáruje“ s účtom vašej organizácie. Vďaka tomu CA vie, kto o certifikát žiada, môže uplatniť interné pravidlá a vydávať aj podnikové či platené certifikáty podľa nastavenia účtu. EAB nenahrádza overenie domény (HTTP-01/DNS-01); len zaisťuje, že žiadosť prichádza z autorizovaného účtu.
V SSLmarketu potom nájdete úplne unikátnu funkciu - prehľad všetkých certifikátov vydaných cez ACME, ktoré vám naimportujeme na používateľský účet so všetkými metadátami a informáciami.
Aktuálna podpora ACME u webových serverov
V tabuľke nižšie vidíte prehľad integrácie ACME protokolu u jednotlivých webových serverov. Väčšina z nich už má ACME integrované a ak vie aj EAB, tak môžete využiť certifikáty od DigiCertu a automatizovať ich. ACME prístupy získate jednoducho a zadarmo vo svojom účte SSLmarket.
| Webserver / Platforma | Natívny ACME klient | EAB podpora | Typ implementácie | Poznámka / Interný klient |
|---|---|---|---|---|
| Apache HTTP Server | Nie | Áno (cez externého klienta) | Externý (Certbot, acme.sh, lego…) | Plugin napr. certbot-apache; EAB rieši klient (funguje s DigiCert ACME). |
| NGINX (do 1.24) | Nie | Áno (cez externého klienta) | Externý (Certbot, acme.sh…) | Starší NGINX bez natívneho ACME. |
| NGINX (od 1.25) | Áno | Nie | Natívny | Natívne ACME bez EAB; pre DigiCert použij externeho klienta. |
| LiteSpeed / OpenLiteSpeed | Áno | Áno | Natívny (acme.sh interne) | Integrovaný klient na báze acme.sh; EAB plne podporované (DigiCert ACME). |
| Caddy | Áno | Áno | Natívny | Vstavaná správa certifikátov vrátane EAB. |
| Traefik | Áno | Áno | Natívny | Interne spravuje certifikáty; EAB podporované. |
| HAProxy | Čiastočne (cez hooky) | Áno (cez externého klienta) | Externý klient (acme.sh, Certbot…) | Cert vydá klient; nasadenie deploy-hookom a reload HAProxy. |
| Lighttpd | Nie | Áno (cez externého klienta) | Externý klient | acme.sh / dehydrated; EAB rieši klient. |
| IIS / Exchange (Windows) | Áno | Áno | Externý (win-acme, Certify The Web) | Úplne automatizovateľné; EAB podporované (DigiCert ACME). |
| Tomcat / Jetty / Java servery | Nie | Áno (cez externého klienta) | Externý klient + hooky | Konverzia do JKS/PKCS12; EAB rieši klient. |
| Postfix / Dovecot / Exim | Nie | Áno (cez externého klienta) | Externý klient + hooky | Nasadenie skriptom; EAB rieši klient. |
| Kubernetes (cert-manager) | Áno | Áno | Controller / issuer | Podpora EAB; vhodné aj pre DigiCert ACME issuer. |
| Envoy Proxy | Experimentálne | Čiastočne (cez externé správce) | Integrácia cez SDS/cert-manager | ACME rieši externý controller; EAB podľa klienta. |
| Cloud platformy (Cloudflare / AWS / GCP) | Áno (vlastná správa) | Interné (mimo štandardný EAB) | Cloud managed | Pre DigiCert ACME použij externeho klienta mimo týchto služieb. |
Záver
ACME môžete využiť pre automatizáciu certifikátov prakticky kdekoľvek. Základné návody nájdete v našej nápovede. Ak budete mať s použitím nejaké ťažkosti či otázky, neváhajte kontaktovať našu zákaznícku podporu.
