DigiCert predstavil ACME klienta DC-ACME pre automatizáciu.
2.1.2026 | Jindřich Zechmeister
Nový ACME klient DC-ACME od DigiCert umožňuje automatickú obnovu certifikátov bez nástrojov tretích strán. Nemusíte sa teda spoliehať na Certbota či iné programy. ACME EAB údaje získate ľahko v účte SSLmarketu a môžete ho hneď začať používať.
Nový ACME klient priamo od CA DigiCert
Automatizácia správy TLS certifikátov sa v posledných rokoch stala bežnou súčasťou prevádzky serverovej infraštruktúry. Protokol ACME (Automatic Certificate Management Environment) umožňuje automatizované vystavovanie, inštaláciu aj obnovu certifikátov bez potreby manuálnych zásahov. U komerčných certifikačných autorít však bola táto automatizácia dlhú dobu postavená predovšetkým na použití ACME klientov tretích strán.
DigiCert teraz tento model významne rozširuje. Predstavil vlastný oficiálny ACME klient s označením DC-ACME, ktorý umožňuje využívať ACME služby DigiCertu bez nutnosti nasadenia externých nástrojov. Inštalačné skripty a dokumentácia sú dostupné na oficiálnej stránke DigiCert Automation Service.
ACME u DigiCertu: jednoduchší prevádzkový model
Doposiaľ DigiCert odporúčal využitie štandardných ACME klientov kompatibilných s ACMEv2 protokolom. Tento prístup je naďalej podporovaný a zostáva plne funkčný. V praxi však znamenal nutnosť voľby vhodného klienta, jeho inštaláciu, údržbu a integráciu do prevádzkového prostredia.
DC-ACME predstavuje alternatívu, ktorá tieto kroky zjednocuje. Ide o oficiálny ACME klient priamo od DigiCertu, navrhnutý tak, aby bol plne kompatibilný s jeho ACME službou a zároveň poskytoval predvídateľné správanie naprieč platformami. K dispozícii sú inštalačné skripty pre Linux aj Windows, vrátane podpory behu ako systémovej služby.
Podrobnosti k architektúre a princípom ACME automatizácie u DigiCertu sú popísané v oficiálnej dokumentácii: DigiCert – ACME Automation Service.
External Account Binding (EAB) ako súčasť bezpečnosti
Súčasťou ACME integrácie u DigiCertu je použitie mechanizmu External Account Binding (EAB). Ten slúži na bezpečné prepojenie ACME účtu s konkrétnym zákazníckym oprávnením a produktovým nastavením. Pri registrácii ACME účtu sa používa dvojica údajov – Key ID (KID) a HMAC kľúč.
Pre zákazníkov SSLmarketu je získanie EAB údajov veľmi jednoduché. ACME EAB credentials sú dostupné priamo v zákazníckom účte SSLmarketu, kde ich možno vygenerovať a následne použiť pri konfigurácii ACME klienta DC-ACME.
Overovanie domén a podpora DNS-01
Automatizácia vystavovania certifikátov je založená na overovaní vlastníctva domény pomocou validačných metód definovaných protokolom ACME. Vzhľadom na to, že pre získanie certifikátu v budúcnosti bude nutné využiť len automatické metódy overenia, je dobré začať používať práve v ACME dostupné metódy HTTP a DNS. V prostrediach, kde nie je vhodné alebo možné vystavovať HTTP služby priamo do internetu, sa veľmi často využíva metóda DNS-01.
DigiCert poskytuje k DC-ACME rozsiahlu dokumentáciu k integrácii DNS-01 výziev vrátane návodov pre jednotlivých DNS poskytovateľov. To výrazne uľahčuje nasadenie automatizácie aj v komplexnejších infraštruktúrach, vrátane podpory wildcard certifikátov.
Prehľad a technické detaily k DNS-01 výzvam sú dostupné tu: DC-ACME DNS-01 Challenge Guide.
Záver
Nový ACME klient DC-ACME predstavuje pre zákazníkov DigiCertu ďalšiu možnosť, ako zaviesť automatizovanú správu certifikátov s menšou prevádzkovou zložitosťou. Zostáva zachovaná kompatibilita so štandardom ACMEv2, zároveň však pribúda oficiálne podporovaný nástroj priamo od certifikačnej autority.
Zákazníci SSLmarketu môžu tento prístup využiť bez zložitej konfigurácie – potrebné EAB údaje sú dostupné v zákazníckom účte a DC-ACME možno nasadiť pomocou oficiálnych inštalačných skriptov. Pre organizácie, ktoré hľadajú stabilné a predvídateľné riešenie automatizácie certifikátov, ide o zaujímavý a praktický krok vpred.
