RFC 8555 - Automatische Zertifikatsverwaltungsumgebung (ACME)

Internet Engineering Task Force (IETF) Request for Comments: 8555 Kategorie: Standards Track ISSN: 2070-1721

Autoren: R. Barnes (Cisco) J. Hoffman-Andrews (EFF) D. McCarney (Let's Encrypt) J. Kasten (University of Michigan)

Veröffentlicht: März 2019

Zusammenfassung

Public Key Infrastructure using X.509 (PKIX)-Zertifikate werden für verschiedene Zwecke verwendet, wobei die Authentifizierung von Domainnamen am wichtigsten ist. Daher wird Zertifizierungsstellen (CAs) im Web-PKI vertraut, zu überprüfen, dass ein Antragsteller für ein Zertifikat die Domainnamen im Zertifikat rechtmäßig vertritt. Zum Zeitpunkt dieser Schrift wird diese Überprüfung durch eine Sammlung von Ad-hoc-Mechanismen durchgeführt. Dieses Dokument beschreibt ein Protokoll, das eine CA und ein Antragsteller verwenden können, um den Überprüfungs- und Zertifikatsausstellungsprozess zu automatisieren. Das Protokoll bietet auch Funktionen für andere Zertifikatsverwaltungsfunktionen wie Zertifikatswiderruf.

Status dieses Memos

Dies ist ein Internet Standards Track-Dokument.

Dieses Dokument ist ein Produkt der Internet Engineering Task Force (IETF). Es stellt den Konsens der IETF-Community dar. Es wurde öffentlich überprüft und von der Internet Engineering Steering Group (IESG) zur Veröffentlichung genehmigt.

Hauptmerkmale

ACME-Protokoll-Vorteile:

⚡ Vollständig automatisiert: Keine manuelle Intervention von der Anfrage bis zur Erneuerung
🔄 Häufige Updates: Unterstützt kurzlebige Zertifikate (Let's Encrypt Standard: 90 Tage)
💰 Kostenreduzierung: Eliminiert Kosten manueller Prozesse
🔒 Erhöhte Sicherheit: Kurzlebige Zertifikate reduzieren Expositionsrisiken

Typischer ACME-Workflow:

Client (ACME-Client)                    ACME-Server (CA)
       |                                        |
       |  1. Konto erstellen                    |
       |--------------------------------------->|
       |     <-- Konto-URL                      |
       |                                        |
       |  2. Zertifikatsbestellung senden       |
       |--------------------------------------->|
       |     <-- Bestellungsobjekt + Challenges |
       |                                        |
       |  3. Domain-Validierung abschließen     |
       |     (HTTP-01 oder DNS-01)             |
       |--------------------------------------->|
       |     <-- Validierung erfolgreich        |
       |                                        |
       |  4. Abschließen (CSR senden)           |
       |--------------------------------------->|
       |     <-- Zertifikats-URL                |
       |                                        |
       |  5. Zertifikat herunterladen           |
       |--------------------------------------->|
       |     <-- PEM-Format Zertifikatskette    |

Kernkomponenten

Ressourcentypen

Directory: Verzeichnis der Server-API-Endpunkte
Account: Client-Kontoinformationen
Order: Zertifikatsbestellung
Authorization: Domain-Autorisierung
Challenge: Validierungs-Challenge
Certificate: Ausgestelltes Zertifikat

Validierungsmethoden

HTTP-01 Challenge: Datei unter spezifischem HTTP-Pfad bereitstellen
DNS-01 Challenge: Spezifischen DNS-TXT-Eintrag bereitstellen

Beliebte ACME-Clients

Certbot (EFF Offiziell)
acme.sh (Shell-Skript)
Lego (Go-Sprache)
win-acme (Windows)

Referenzen

Offizieller RFC: RFC 8555
IETF DataTracker: RFC 8555 DataTracker
Let's Encrypt: https://letsencrypt.org/de/docs/

Für detaillierte technische Spezifikationen siehe bitte das offizielle RFC 8555-Dokument.

Zusammenfassung​

Status dieses Memos​

Hauptmerkmale​

Kernkomponenten​

Ressourcentypen​

Validierungsmethoden​

Beliebte ACME-Clients​

Verwandte RFCs​

Referenzen​