IETF 批准 自动证书管理环境 (ACME),这将有助于自动接收 SSL 证书。 让我们告诉您它是如何工作的。
/flickr/ /
为什么需要这个标准?
每个设置的平均值 对于一个域,管理员可能需要花费一到三个小时。 如果填写错误,则需要等到申请被拒绝后才能重新提交。 所有这些都使得大规模系统的部署变得困难。
每个证书颁发机构的域验证程序可能有所不同。 缺乏标准化有时会导致安全问题。 著名的 由于系统中的错误,一个 CA 验证了所有声明的域。 在这种情况下,SSL 证书可能会颁发给欺诈性资源。
IETF批准的ACME协议(规范 )应该使获得证书的过程自动化和标准化。 而消除人为因素将有助于提高域名验证的可靠性和安全性。
该标准是开放的,任何人都可以为其开发做出贡献。 在 相关指示已发布。
怎么开动这个
请求在 ACME 中使用 JSON 消息通过 HTTPS 进行交换。 要使用该协议,您需要在目标节点上安装 ACME 客户端;它会在您第一次访问 CA 时生成唯一的密钥对。 随后,它们将用于对来自客户端和服务器的所有消息进行签名。
第一条消息包含有关域所有者的联系信息。 它用私钥签名并与公钥一起发送到服务器。 它验证签名的真实性,如果一切正常,则开始颁发 SSL 证书的过程。
要获得证书,客户端必须向服务器证明他拥有该域。 为此,他执行某些只有所有者才能执行的操作。 例如,证书颁发机构可以生成唯一的令牌并要求客户端将其放置在站点上。 接下来,CA 发出 Web 或 DNS 查询以从此令牌检索密钥。
例如,对于 HTTP,令牌中的密钥必须放置在将由 Web 服务器提供服务的文件中。 在 DNS 验证过程中,证书颁发机构将在 DNS 记录的文本文档中查找唯一密钥。 如果一切正常,服务器确认客户端已通过验证,并且 CA 颁发证书。
/flickr/ /
意见
上 IETF、ACME 对于必须使用多个域名的管理员来说非常有用。 该标准将帮助将它们中的每一个链接到所需的 SSL。
在该标准的优点中,专家还指出了几个 。 他们必须确保 SSL 证书仅颁发给真正的域名所有者。 特别是,使用一组扩展来防止 DNS 攻击 ,并且为了防止 DoS,该标准限制了单个请求的执行速度 - 例如,方法的 HTTP 。 ACME 开发者自己 为了提高安全性,请向 DNS 查询添加熵并从网络上的多个点执行它们。
类似的解决方案
协议也用于获取证书 и .
第一个是由思科系统公司开发的。 其目标是简化颁发 X.509 数字证书的程序并使其尽可能具有可扩展性。 在 SCEP 之前,此过程需要系统管理员的积极参与,并且扩展性不佳。 如今,该协议是最常见的协议之一。
至于EST,它允许PKI客户端通过安全通道获取证书。 它使用 TLS 进行消息传输和 SSL 颁发,并将 CSR 绑定到发送方。 此外,EST 支持椭圆加密方法,这创建了额外的安全层。
上 ,像 ACME 这样的解决方案需要变得更加广泛。 它们提供了简化且安全的 SSL 设置模型,并加快了该过程。
我们公司博客的其他帖子:
来源: habr.com