2. 展開モデルと運用者の体験 (Deployment Model and Operator Experience)
ACME の主要なユースケースは Web サイトの証明書取得(HTTPS [RFC2818])です。この場合、Web サーバーは 1 つ以上のドメイン名を代表することを意図しており、証明書発行プロセスはその Web サーバーが実際にこれらのドメイン名を代表していることを検証することを目的としています。
DV 証明書の検証は通常、ドメイン名の制御に関連する属性の主張を確認します。これらの属性は、証明書発行者が純粋にオンラインで行われる対話プロセスで観察できます。これは、典型的なケースでは、リクエスト、検証、発行プロセスのすべてのステップがインターネットプロトコルを通じて表現・実行でき、帯域外の手動介入が不要であることを意味します。
ACME 以前は、HTTPS サーバーを展開する際、サーバー運営者は通常、自己署名証明書(Self-Signed Certificate)を生成するよう促されていました。運営者が代わりに ACME を使用して HTTPS サーバーを展開する場合、体験は以下のようになります。
-
運営者の ACME クライアントが、Web サーバーが代表する予定のドメイン名の入力を運営者に促します。
-
ACME クライアントは、証明書を取得できる CA のリストを運営者に提示します。ACME クライアントはこの時点で支払い情報の入力を促す場合があります。
-
運営者が CA を選択します。
-
バックグラウンドで、ACME クライアントが CA に連絡し、意図したドメイン名の証明書の発行を要求します。
-
CA は、ACME クライアントにドメイン名を制御している場合にのみ完了できる特定の操作を実行させることで、クライアントが要求されたドメイン名を制御していることを検証します。例えば、CA は example.com を要求するクライアントに example.com の下に DNS レコードを設定するか、
http://example.comの下に HTTP リソースを設定するよう要求する場合があります。 -
CA が満足すると、証明書を発行し、ACME クライアントが自動的にダウンロードしてインストールします。電子メール、SMS などで運営者に通知する場合があります。
-
ACME クライアントは定期的に CA に連絡して、更新された証明書、OCSP レスポンス、または Web サーバーの機能を維持するために必要なその他のコンテンツを取得します。
このようにして、CA が発行した証明書を使用した展開は、自己署名証明書を使用するのとほぼ同じくらい簡単になります。