I client ACME sono strumenti software che automatizzano la gestione dei certificati SSL comunicando con i server ACME tramite il protocollo Automated Certificate Management Environment (ACME).
Questi client gestiscono l'intero ciclo di vita del certificato SSL, dall'emissione iniziale al rinnovo automatico.
I client ACME eliminano i processi manuali dei certificati SSL convalidando automaticamente la proprietà del dominio, richiedendo i certificati SSL e installandoli sui vostri server. Funzionano perfettamente con Trustico® Certificate as a Service (CaaS) utilizzando le vostre credenziali EAB.
Considerate i clienti ACME come i vostri assistenti automatici per i certificati SSL che lavorano 24 ore su 24, 7 giorni su 7, per mantenere i vostri domini protetti senza alcun intervento manuale.
Come funzionano i clienti ACME
I clienti ACME seguono un processo standardizzato per ottenere e gestire i certificati SSL. Innanzitutto, si registrano con il server ACME utilizzando le credenziali EAB per autenticare il Certificate as a Service (CaaS) di Trustico® pagato.
Quando richiede un certificato SSL, il cliente dimostra automaticamente la proprietà del dominio attraverso vari metodi di convalida, quali sfide HTTP, sfide DNS o sfide TLS-ALPN. Questa convalida avviene automaticamente senza processi di approvazione manuali.
Una volta completata la convalida del dominio, il server ACME rilascia il certificato SSL, che il cliente può installare automaticamente sul server web o salvare in posizioni specifiche per l'installazione manuale.
I client ACME monitorano anche le date di scadenza dei certificati SSL e li rinnovano automaticamente prima della loro scadenza, in genere con 30 giorni di anticipo, garantendo una protezione continua per i vostri siti web e le vostre applicazioni.
I client ACME più diffusi
L'ecosistema ACME offre numerose opzioni di client, ciascuna progettata per casi d'uso e ambienti diversi.
Sebbene tutti i client ACME seguano gli stessi standard di protocollo e lavorino con Certificate as a Service (CaaS) di Trustico®, si differenziano per caratteristiche, metodi di installazione e target di riferimento.
Certbot - La scelta più diffusa
Certbot è il client ACME più diffuso, sviluppato dalla Electronic Frontier Foundation, è ufficialmente raccomandato da molte Autorità di Certificazione e offre un'eccellente documentazione e supporto alla comunità.
Certbot funziona su Linux, macOS e Windows, con supporto integrato per i server web più diffusi come Apache e Nginx. Può configurare automaticamente il server web con nuovi certificati SSL o salvare i certificati per l'installazione manuale.
Scaricate Certbot dal sito ufficiale: https://certbot.eff.org 🔗
Certbot supporta le credenziali EAB attraverso i parametri della riga di comando, rendendolo perfetto per l'uso con Certificate as a Service (CaaS) di Trustico®.
ACME.sh - Leggero e versatile
acme.sh è un client ACME leggero scritto in script di shell che funziona praticamente su qualsiasi sistema Unix-like. È particolarmente apprezzato dagli amministratori di sistema che preferiscono dipendenze minime e massima compatibilità.
Questo client supporta numerosi provider DNS per la convalida automatica dei DNS e può distribuire automaticamente certificati SSL a vari servizi e applicazioni.
Scaricare acme.sh da GitHub: https://github.com/acmesh-official/acme.sh 🔗
acme.sh offre un eccellente supporto EAB e si integra senza problemi con Certificate as a Service (CaaS) di Trustico® attraverso le variabili d'ambiente.
Lego - Client ACME basato su Go
Lego è un moderno client ACME scritto in Go che si compila in un unico file binario, semplificando la distribuzione su diversi sistemi. Supporta numerosi provider DNS e piattaforme cloud.
Lego è particolarmente adatto agli ambienti containerizzati e alle distribuzioni in cloud, dove è necessario un client ACME autonomo senza dipendenze esterne.
Scaricate Lego da GitHub: https://github.com/go-acme/lego 🔗
Lego offre un solido supporto EAB e funziona in modo eccellente con Certificate as a Service (CaaS) di Trustico® in scenari di distribuzione automatizzati.
win-acme - Soluzione focalizzata su Windows
win-acme (precedentemente noto come letsencrypt-win-simple) è stato progettato specificamente per gli ambienti Windows e i server web IIS e offre un'interfaccia facile da usare per gli amministratori Windows.
Questo client offre sia modalità interattive che automatiche, rendendolo adatto sia alla configurazione iniziale che alla gestione automatizzata dei certificati SSL sui server Windows.
Scaricare win-acme da GitHub: https://github.com/win-acme/win-acme 🔗
win-acme supporta le credenziali EAB e si integra bene con le distribuzioni Certificate as a Service (CaaS) di Trustico® basate su Windows.
Scelta del client ACME giusto
La scelta del client ACME dipende dal sistema operativo, dal server web, dalle competenze tecniche e dai requisiti specifici. Considerate questi fattori quando scegliete un client ACME per il vostro Certificate as a Service (CaaS) di Trustico®.
Per i principianti, Certbot offre la migliore documentazione, il supporto della comunità e le opzioni di configurazione automatica del server web.
Per gli amministratori di sistema, ACME.sh offre la massima flessibilità e requisiti di sistema minimi, supportando al contempo scenari di implementazione avanzati.
Per le distribuzioni nel cloud, il design a singolo binario e l'ampio supporto dei provider cloud di Lego lo rendono ideale per le applicazioni containerizzate e cloud-native.
Per gli ambienti Windows, win-acme offre l'integrazione nativa di Windows e il supporto di IIS per le infrastrutture basate su Microsoft.
Impostazione del client ACME con le credenziali EAB
Tutti i moderni client ACME supportano le credenziali EAB necessarie per il Certificate as a Service (CaaS) di Trustico®. Il processo di configurazione prevede la configurazione del client con l'ID della chiave EAB, la chiave MAC EAB e l'URL del server ACME.
La maggior parte dei client ACME richiede la configurazione dell'EAB durante il processo di registrazione iniziale dell'account. Una volta configurato, il client può richiedere e rinnovare automaticamente i certificati SSL per i domini autorizzati.
Ecco alcuni esempi di configurazione di base per i client ACME più diffusi:
Configurazione EAB di Certbot
Registrare l'account Certbot con le credenziali EAB utilizzando questa struttura di comandi:
certbot register --server YOUR_ACME_SERVER_URL --eab-kid YOUR_EAB_KEY_ID --eab-hmac-key YOUR_EAB_MAC_KEY --email your@email.com
Dopo la registrazione, richiedere i certificati SSL normalmente utilizzando i comandi certbot certonly o certbot run.
ACME.sh Configurazione EAB
Impostare le variabili d'ambiente per le credenziali EAB:
export ACME_EAB_KID="YOUR_EAB_KEY_ID"
export ACME_EAB_HMAC_KEY="YOUR_EAB_MAC_KEY"
Quindi registrare e richiedere certificati SSL con l'URL del server ACME:
acme.sh --register-account --server YOUR_ACME_SERVER_URL
Configurazione Lego EAB
Utilizzare i parametri della riga di comando per specificare le credenziali EAB:
lego --server YOUR_ACME_SERVER_URL --eab --kid YOUR_EAB_KEY_ID --hmac YOUR_EAB_MAC_KEY --email your@email.com --domains example.com run
I client ACME possono essere installati con vari metodi, a seconda del sistema operativo e delle preferenze. La maggior parte dei client offre più opzioni di installazione per adattarsi a diversi ambienti.
Gestori di pacchetti: molti client ACME sono disponibili attraverso gestori di pacchetti di sistema come apt, yum, brew o chocolatey per facilitare l'installazione e gli aggiornamenti.
Download binari: per client come Lego e win-acme sono disponibili binari precompilati, che consentono una semplice installazione senza necessità di compilazione.
Installazione da sorgente: gli utenti avanzati possono compilare i client ACME dal codice sorgente per ottenere la massima personalizzazione e le funzioni più recenti.
Immagini di container: i container Docker sono disponibili per la maggior parte dei client ACME, consentendo una facile distribuzione in ambienti containerizzati.
Automatizzazione dell'emissione di certificati SSL
Uno dei principali vantaggi dei client ACME è la gestione della convalida automatica del dominio e dell'emissione di certificati SSL senza soluzione di continuità mentre il prodotto Certificate as a Service (CaaS) di Trustico® è attivo.
I client ACME tentano l'installazione 30 giorni prima della scadenza del certificato SSL, fornendo così tutto il tempo necessario per risolvere eventuali problemi prima della scadenza dei certificati SSL.
Impostare il rinnovo automatico utilizzando il pianificatore del sistema per eseguire il comando di rinnovo del client ACME giornalmente o settimanalmente. Il client rinnoverà solo i certificati SSL prossimi alla scadenza.
Testare regolarmente il processo di rinnovo per assicurarsi che funzioni correttamente con il Certificate as a Service (CaaS) di Trustico® e che non si verifichino problemi di configurazione.
Metodi di convalida del dominio
I client ACME supportano diversi metodi di convalida del dominio per dimostrare il controllo dei domini per i quali si richiedono i certificati SSL. Scegliete il metodo che meglio si adatta alla vostra infrastruttura e ai vostri requisiti di sicurezza.
Sfida HTTP-01: colloca un file sul server web che il server ACME recupera per verificare il controllo del dominio. Questo metodo richiede che la porta 80 sia accessibile.
Sfida DNS-01: crea un record DNS TXT per dimostrare la proprietà del dominio. Questo metodo funziona per i domini dietro i firewall e consente l'emissione di certificati SSL wildcard.
Sfida TLS-ALPN-01 : utilizza un certificato TLS speciale sulla porta 443 per la convalida. Questo metodo è utile quando la porta 80 non è disponibile.
Il client ACME gestirà automaticamente il metodo di convalida scelto quando richiede certificati SSL dall'account Certificate as a Service (CaaS) di Trustico®.
Risoluzione dei problemi comuni del client ACME
La maggior parte dei problemi del client ACME riguarda la connettività di rete, la convalida del dominio o problemi di configurazione. La comprensione dei problemi comuni aiuta a risolverli rapidamente.
Fallimenti di autenticazione EAB: verificare che le credenziali EAB siano corrette e che il Certificate as a Service (CaaS) di Trustico® sia attivo. Assicurarsi di utilizzare l'URL corretto del server ACME.
Errori di convalida del dominio: verificare che il dominio punti al server corretto e che i firewall consentano le porte necessarie per il metodo di convalida scelto.
Limitazione della velocità: i server ACME implementano limiti di velocità per prevenire gli abusi. Distanziare le richieste di certificati SSL ed evitare inutili richieste duplicate.
Problemi di permessi: assicurarsi che il client ACME disponga dei permessi appropriati sul file system per scrivere i certificati SSL e i file di sfida nelle posizioni richieste.
Funzionalità avanzate del client ACME
I moderni client ACME offrono funzionalità avanzate che vanno oltre l'emissione e il rinnovo di certificati SSL di base e che aiutano a integrare i client ACME in ambienti infrastrutturali complessi.
Hook e script: esecuzione di script personalizzati prima e dopo le operazioni di emissione di certificati SSL per l'integrazione con le pipeline di distribuzione e i sistemi di notifica.
Supporto per domini multipli: richiesta di certificati SSL per più domini o sottodomini in un unico certificato per una gestione semplificata.
Integrazione con i provider DNS: gestione automatica dei record DNS per la convalida DNS-01 tramite API con i principali provider DNS e piattaforme cloud.
Distribuzione dei certificati: distribuzione automatica dei certificati SSL a bilanciatori di carico, CDN e altri servizi dopo l'emissione o il rinnovo.
Ottenere supporto per i client ACME
Ogni cliente ACME ha i propri canali di supporto e le proprie risorse di documentazione. La maggior parte dei clienti offre una documentazione completa, forum della comunità e sistemi di tracciamento dei problemi.
Per i problemi specifici di Certificate as a Service (CaaS) di Trustico® , il nostro team di supporto può aiutare a risolvere i problemi di autenticazione e configurazione EAB, tuttavia è importante esaminare la documentazione del client ACME scelto e della propria infrastruttura.
Quando si richiede assistenza, includere la versione del client ACME, il sistema operativo ed eventuali messaggi di errore. Non condividere mai la chiave MAC EAB nelle comunicazioni di assistenza.
Continuità e rinnovo del servizio
L'installazione e la gestione automatizzata dei certificati SSL attraverso il Certificate as a Service (CaaS) di Trustico® funziona senza problemi solo finché il servizio a pagamento rimane attivo.
Il vostro client ACME continuerà a rinnovare automaticamente i certificati SSL e a mantenere una protezione continua finché l'abbonamento al servizio sarà attivo.
Per garantire una gestione dei certificati SSL senza interruzioni, è essenziale rinnovare il proprio Certificate as a Service (CaaS) di Trustico® prima della scadenza o considerare la possibilità di impostare la fatturazione automatica per garantire la continuità del servizio.
Se il vostro servizio scade, il vostro client ACME non sarà in grado di rinnovare i certificati SSL, causando potenzialmente la scadenza del certificato SSL e il downtime del sito web fino al ripristino del servizio.
Al di sotto del prezzo di listino CaaS
Al di sotto del prezzo di listino CaaS
