2. Deployment Model and Operator Experience (部署模型和操作体验)
ACME 的指导性用例是为网站获取证书 (HTTPS [RFC2818])。在这种情况下, Web 服务器旨在代表一个或多个域名, 证书颁发过程旨在验证该 Web 服务器确实代表这些域名。
DV 证书验证通常检查与域名控制相关的属性声明——这些属性可以由证书颁发者在纯在线进行的交互过程中观察到。这意味着在典型情况下, 请求、验证和颁发过程中的所有步骤都可以通过互联网协议表示和执行, 无需带外人工干预。
在 ACME 之前, 当部署 HTTPS 服务器时, 服务器操作员通常会收到生成自签名证书 (Self-Signed Certificate) 的提示。如果操作员改为使用 ACME 部署 HTTPS 服务器, 体验将如下所示:
-
操作员的 ACME 客户端提示操作员输入 Web 服务器要代表的预期域名。
-
ACME 客户端向操作员呈现可以从中获取证书的 CA 列表。(此列表将根据 CA 的能力和 ACME 配置的更新而随时间变化。) ACME 客户端可能会在此时提示操作员提供付款信息。
-
操作员选择一个 CA。
-
在后台, ACME 客户端联系 CA 并请求其为预期域名颁发证书。
-
CA 通过让 ACME 客户端执行某些只能在控制域名的情况下才能完成的操作来验证客户端控制所请求的域名。例如, CA 可能要求请求 example.com 的客户端在 example.com 下配置 DNS 记录或在
http://example.com下配置 HTTP 资源。 -
一旦 CA 满意, 它就会颁发证书, ACME 客户端会自动下载并安装它, 可能通过电子邮件、短信等方式通知操作员。
-
ACME 客户端定期联系 CA 以获取更新的证书、装订的在线证书状态协议 (Online Certificate Status Protocol, OCSP) 响应 [RFC6960], 或保持 Web 服务器功能正常及其凭据最新所需的任何其他内容。
通过这种方式, 使用 CA 颁发的证书进行部署几乎与使用自签名证书一样容易。此外, 维护该 CA 颁发的证书将需要最少的手动干预。ACME 与 HTTPS 服务器的这种紧密集成允许在证书颁发时立即自动部署, 使人类管理员免于前一节中描述的大部分耗时工作。