Finalmente è disponibile ACME per i certificati DV

05/apr/2024 | Jindřich Zechmeister

Automatizza il ciclo di vita dei certificati DV con DigiCert e l’SSLmarket. Abbiamo aspettato un bel po’ per avere i certificati DV in ACME. Adesso però l'attesa è finita e puoi iniziare ad automatizzarli. D’ora in poi puoi utilizzare l'automazione con tutti i tipi di certificati TLS: puoi cominciare subito. Questo articolo ti spiegherà come procedere.

Che cos'è ACME e come funziona

Automatic Certificate Management Environment (ACME) è un protocollo di comunicazione per automatizzare le operazioni tra le autorità di certificazione e i server dei loro utenti. È conforme allo standard RFC 8555 ed è supportato da diverse autorità di certificazione. Inoltre, è anche stato implementato in una serie di strumenti per diverse piattaforme (server Linux e Windows, Kubernetes). Gli agenti che comunicano con le CA utilizzando ACME, sono prevalentemente in grado anche di distribuire il certificato al server (a seconda dell'implementazione specifica). Il protocollo ACME è aperto e non risulta legato né a una tecnologia specifica né a una CA specifica, motivo per cui ha attirato una vasta comunità di utenti e si è affermato come il principale strumento di automazione per i certificati TLS.

Poiché stiamo parlando di automazione, è logico che l'intero ciclo di vita del certificato debba essere gestito senza alcun intervento da parte dell'utente. Nel caso dei certificati DV, per acquisirli non serve altro che confermare la proprietà o il diritto di gestire il dominio, cosa che viene effettuata tramite e-mail, record DNS o file. Non ha senso usare l’e-mail per l'automazione. DNS, invece, richiede un'API per il servizio che gestisce i record DNS, e questa cosa non è molto diffusa. Rimane quindi il terzo metodo che è anche quello più funzionale per DV ACME.

Il metodo che utilizza un file di autenticazione per convalidare i domini (il cosiddetto challenge) si chiama HTTP-01. L'agente ACME emette un file con un hash univoco per il dominio in questione il quale viene quindi autenticato immediatamente. Questo metodo è quello predefinito per ACME.

Non appena viene avviata una richiesta di nuovo certificato o di rinnovo sul server con l'agente ACME, l'agente crea un CSR, lo invia alla CA e convalida il dominio in base all'hash ricevuto dalla CA (impostando sul sito web il file di convalida). Eseguita la convalida che in genere richiede meno di un minuto, il certificato viene emesso, l'agente lo scarica e lo distribuisce al server web. Tu, in quanto amministratore, non devi fare nulla.

Come funziona l'ACME
Come funziona l'ACME

Come posso utilizzare ACME DV?

Il primo passaggio consiste nel selezionare e impostare un "agente" adatto sul server; il più noto agente ACME è Certbot. Prima di cominciare è necessario considerare le proprie esigenze e le funzionalità che ogni agente può offrire. Se non hai preferenze, puoi anche utilizzare l'agente di DigiCert nell’ambito del servizio Automation Manager. Prima di cominciare, è anche opportuno verificare se sia possibile far modificare all’agente la configurazione dei web server (concentrati su funzionalità non standardizzate, su impostazioni di backup ecc.).

Per far funzionare il client ACME, è necessario acquisire le credenziali ACME che saranno generate dalla CA. Abbiamo facilitato al massimo l’acquisizione delle credenziali da parte dei nostri clienti, avendo implementato questa procedura direttamente nell'account cliente dell’SSLmarket. Puoi iniziare subito a utilizzare ACME, senza la necessità della nostra assistenza.

In caso di bisogno, non esitare a contattarci in qualsiasi momento. Siamo qui per te.

Differenze tra ACME DV e OV/EV

I certificati a convalida dell'organizzazione, ossia a convalida OV e a convalida estesa EV, si basano ancora su una convalida attiva. Se la convalida dell'organizzazione non risulta essere valida al momento della richiesta del certificato, la richiesta non può andare a buon fine: non c'è nulla di strano. Per i certificati OV ed EV è però necessario convalidare precedentemente, oltre all’organizzazione, anche il dominio che sarà riportato nel certificato. Se desideri utilizzare i certificati OV ed EV con ACME, ovviamente provvederemo a effettuare per te queste convalide preliminari.

Per i certificati DV, l'organizzazione è irrilevante perché non viene riportata nel certificato; è sufficiente eseguire un DCV utilizzando il metodo HTTP-01 per ogni singola richiesta di certificato.

SSLmarket è il tuo partner per l'automazione

Possiamo aiutarti ad automatizzare il ciclo di vita dei certificati e semplificarti la vita. Automatizzati possono essere non soltanto i certificati TLS ma anche certificati S/MIME per l’apposizione di firma e apposizione di firma alle applicazioni Code Signing.

Con il nostro aiuto, troverai il metodo ideale per te che ti farà risparmiare lavoro, tempo e energia.


Ing. Jindřich Zechmeister
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz