Porovnanie protokolov ACME, EST, SCEP a CMPv2 na získavanie certifikátov
25.6.2025 | Jindřich Zechmeister
Automatizácia správy digitálnych certifikátov je kľúčová pre moderné IT prostredie – od webových serverov cez mobilné zariadenia až po podnikové PKI. Existuje niekoľko protokolov, ktoré slúžia na získavanie certifikátov od certifikačných autorít (CA). V tomto článku si porovnáme štyri najrozšírenejšie protokoly: ACME, EST, SCEP a CMPv2.
Porovnanie protokolov na automatizáciu certifikátov
Dnešným IT svetom hýbe téma automatizácie TLS certifikátov, ktorá je motivovaná ich nadchádzajúcim skrátením platnosti na 47 dní. Poďme sa spoločne pozrieť na najrozšírenejšie protokoly na získanie TLS certifikátov a ako ich môžete využiť. Všetky uvedené protokoly umožňujú automatizované získavanie certifikátov – či už ide o jednoduché webové nasadenie pomocou ACME, správu zariadení cez SCEP alebo EST, či enterprise scenáre s plnou kontrolou pomocou CMPv2.
Poďme sa spoločne pozrieť na jednotlivé protokoly.
ACME – Automatic Certificate Management Environment
ACME je moderný protokol, ktorý automatizuje získavanie a obnovovanie certifikátov; podporujú ho veľké CA ako DigiCert. Komunikuje cez HTTPS a používa doménovú validáciu (DNS alebo HTTP).
- Výhody: jednoduchosť, rozšírená podpora, plná automatizácia
- Nevýhody: obmedzené použitie mimo TLS/web certifikáty
EST – Enrollment over Secure Transport
EST je bezpečnejší nástupca SCEP. Využíva HTTPS a umožňuje overenie pomocou TLS klientských certifikátov alebo tzv. enrollment kódov. Často sa používa v IoT a podnikových sieťach.
- Výhody: silné šifrovanie, podpora obojstrannej autentizácie
- Nevýhody: náročnejšia implementácia, menej rozšírený
SCEP – Simple Certificate Enrollment Protocol
SCEP je starší a jednoduchší protokol, ktorý sa široko použív v sieťových zariadeniach (napr. Cisco) a MDM riešeniach. Autentizácia prebieha pomocou statického hesla nazývaného challenge password.
- Výhody: široká podpora, jednoduchosť
- Nevýhody: slabšia bezpečnosť, obmedzená funkcionalita
CMPv2 – Certificate Management Protocol v2
CMPv2 je komplexný protokol, ktorý slúži na správu certifikátov v celom ich životnom cykle – vrátane vydania, obnovy, revokácie a aktualizácie kľúčov. Je určený predovšetkým pre enterprise prostredia a telco.
- Výhody: robustný, flexibilný, kompletná PKI podpora
- Nevýhody: vyššia komplexnosť, zložitejšie nasadenie
Porovnávacia tabuľka
| Vlastnosť / Protokol | ACME | EST | SCEP | CMPv2 |
|---|---|---|---|---|
| Primárne použitie | Web/TLS certifikáty | IoT, zariadenia | MDM, siete | Enterprise PKI |
| Transport | HTTPS (REST) | HTTPS | HTTP | HTTP(S), TCP |
| Autentizácia | DNS/HTTP validácia | TLS cert., enrollment kód | Challenge password | Flexibilná (PKI) |
| Obnova certifikátu | ✅ Áno | ✅ Áno | ⚠️ Obmedzená | ✅ Plná |
| Revokácia certifikátu | ⚠️ Obmedzená | ⚠️ Možná | ❌ Nie | ✅ Áno |
| Podpora šifrovania | Moderný | Moderný | Zastaraný | Moderný |
| Jednoduchosť | ✅ Jednoduchý | ⚠️ Stredná | ✅ Jednoduchý | ❌ Zložitý |
| Štandardizácia | RFC 8555 | RFC 7030 | Cisco/IETF draft | RFC 4210 |
| Automatizácia certifikátov | ✅ Plná automatizácia | ✅ Čiastočná automatizácia | ✅ Základná automatizácia | ✅ Plná automatizácia |
Ako využiť tieto protokoly?
Protokol ACME je dostupný každému zákazníkovi zdarma SSLmarketu. Vďaka tomu si môžete automatizovať vydávanie a obnovu TLS certifikátov bez dodatočných nákladov a zložitej konfigurácie. Stačí sa prihlásiť do svojej zákazníckej administrácie a kliknúť na odkaz ACME v hornom menu. Potom si zdarma vytvoríte prístupy do EAB ACME DigiCertu.
Všetky štyri zmienené protokoly – ACME, EST, SCEP a CMPv2 – sú podporované v riešení DigiCert Trust Lifecycle Manager, ktoré slúži ako centrálna platforma na správu certifikátov a kľúčového materiálu v rámci celej organizácie. Umožňuje bezpečné a automatizované nasadenie certifikátov v rôznych prostrediach (on-premise, cloud, hybrid) a podporuje integráciu s MDM, DevOps aj sieťovou infraštruktúrou. Viac informácií o DigiCert Trust Lifecycle Manager nájdete na jeho produktovej stránke.
Záver
Voľba správneho protokolu závisí závisí od konkrétneho scenára. ACME je ideálny pre automatizáciu TLS certifikátov, EST pre moderné IoT a zariadenia, SCEP pre staršie infraštruktúry a CMPv2 pre plne riadené PKI v enterprise prostrediach. Správna integrácia týchto protokolov môže výrazne zjednodušiť správu certifikátov a zvýšiť bezpečnosť celej infraštruktúry.
ACME môže využiť každý zákazník SSLmarketu zdarma, pre komplexné riešenie odporúčame DigiCert Trust Lifecycle Manager. Radi vám ho predvedieme – kontaktujte nás..
