Zum Hauptinhalt springen

2. Deployment Model and Operator Experience (Bereitstellungsmodell und Betreibererfahrung)

Der maßgebliche Anwendungsfall für ACME ist die Beschaffung von Zertifikaten für Websites (HTTPS [RFC2818]). In diesem Kontext soll ein Webserver eine oder mehrere Domains repräsentieren, und der Zertifikatsausstellungsprozess soll überprüfen, dass der Webserver diese Domains tatsächlich repräsentiert.

Die DV-Zertifikatsvalidierung prüft typischerweise Behauptungen über Eigenschaften, die mit der Domainkontrolle zusammenhängen – Eigenschaften, die der Zertifikatsaussteller in einer rein online durchgeführten Interaktion beobachten kann. Das bedeutet, dass im typischen Fall alle Schritte im Anforderungs-, Validierungs- und Ausstellungsprozess über Internetprotokolle dargestellt und ausgeführt werden können, ohne manuelle Eingriffe außerhalb des Bandes.

Vor ACME wurde ein Serverbetreiber beim Bereitstellen eines HTTPS-Servers typischerweise aufgefordert, ein selbstsigniertes Zertifikat (Self-Signed Certificate) zu generieren. Wenn der Betreiber stattdessen einen HTTPS-Server mit ACME bereitstellt, würde die Erfahrung wie folgt aussehen:

  • Der ACME-Client des Betreibers fordert den Betreiber auf, die beabsichtigten Domainnamen einzugeben, die der Webserver repräsentieren soll.

  • Der ACME-Client präsentiert dem Betreiber eine Liste von CAs, von denen Zertifikate bezogen werden können. (Diese Liste wird sich im Laufe der Zeit ändern, wenn sich die Fähigkeiten der CAs und die ACME-Konfiguration ändern.) Der ACME-Client kann den Betreiber zu diesem Zeitpunkt nach Zahlungsinformationen fragen.

  • Der Betreiber wählt eine CA aus.

  • Im Hintergrund kontaktiert der ACME-Client die CA und fordert sie auf, ein Zertifikat für die beabsichtigten Domainnamen auszustellen.

  • Die CA überprüft, ob der Client die angeforderten Domainnamen kontrolliert, indem sie den ACME-Client bestimmte Operationen durchführen lässt, die nur möglich sind, wenn man die Domain kontrolliert. Beispielsweise kann die CA einen Client, der example.com anfordert, auffordern, einen DNS-Eintrag unter example.com oder eine HTTP-Ressource unter http://example.com zu konfigurieren.

  • Sobald die CA zufrieden ist, stellt sie das Zertifikat aus, und der ACME-Client lädt es automatisch herunter und installiert es, wobei er den Betreiber möglicherweise per E-Mail, SMS oder auf andere Weise benachrichtigt.

  • Der ACME-Client kontaktiert die CA regelmäßig, um aktualisierte Zertifikate, geheftete Online Certificate Status Protocol (OCSP) Antworten [RFC6960] oder alles andere zu erhalten, was erforderlich ist, um den Webserver funktionsfähig zu halten und seine Anmeldeinformationen aktuell zu halten.

Auf diese Weise ist die Bereitstellung mit einem von einer CA ausgestellten Zertifikat fast so einfach wie die Verwendung eines selbstsignierten Zertifikats. Darüber hinaus erfordert die Pflege dieses von der CA ausgestellten Zertifikats minimale manuelle Eingriffe. Diese enge Integration von ACME mit dem HTTPS-Server ermöglicht eine sofortige automatische Bereitstellung bei der Zertifikatsausstellung und befreit menschliche Administratoren von einem Großteil der zeitaufwändigen Arbeit, die im vorherigen Abschnitt beschrieben wurde.

Letztes Update am