ACME: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 9: | Zeile 9: | ||
= Validerungsprozess = | = Validerungsprozess = | ||
| + | == Registrierung des Webservers beim ACME Server == | ||
{{#drawio:acme-01}} | {{#drawio:acme-01}} | ||
| + | |||
| + | == HTTP-Challenge == | ||
| + | {{#drawio:acme-02}} | ||
| + | |||
| + | == DNS-Challenge == | ||
| + | {{#drawio:acme-03}} | ||
| + | |||
| + | == Abschluss == | ||
| + | * Sobald der ACME Server die Erfüllung der Challenge bestätigt, ist der Webserver dazu berechtigt Zertifikatsmanagement zu betreiben | ||
| + | * Für ein neues Zertifikat, würde der Webserver ein '''C'''ertificate '''S'''igning '''R'''equest erstellen | ||
| + | * Diese Anfrage signiert der Webserver zusätzlich mit dem privaten Schlüssel aus der Registrierung an den ACME-Server, um die CSR zu autorisieren | ||
| + | {{#drawio:acme-04}} | ||
= Weiterführend = | = Weiterführend = | ||
| Zeile 15: | Zeile 28: | ||
* [[OPNsense DNS-01]] | * [[OPNsense DNS-01]] | ||
* [[OPNsense HTTP-01]] | * [[OPNsense HTTP-01]] | ||
| + | * [[Step CA]] | ||
= Links = | = Links = | ||
Aktuelle Version vom 19. Februar 2024, 08:22 Uhr
Automatic Certificate Management Environment
- ACME ist eine Protokoll, um den Prozess der Domain-Validierung und Zertifikatsaustellung zu standardisieren, das von der ISRG entwickelt wurde
- Das Ziel ist es, den Datenverkehr im Internet zu verschlüsseln, indem der Erhalt und die Erneuerung von SSL/TLS-Zertifikaten vereinfacht und automatisierbar wird
- Als Validierungsverfahren gibt es entweder die DNS- oder die HTTP-Challenge
- Dadurch soll gewährleistet werden, dass die Entität, die das Zertifikat anfordert, wirklich Kontrolle über die Domain hat
- ACME unterstützt die Ausstellung von Wildcard-Zertifikaten, die eine Domain und alle ihre Subdomains mit einem einzigen Zertifikat sichern können
Validerungsprozess
Registrierung des Webservers beim ACME Server
HTTP-Challenge
DNS-Challenge
![Bearbeiten](javascript:editDrawio("1735612019", "acme-01.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("953249325", "acme-02.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1603439919", "acme-03.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
Abschluss
- Sobald der ACME Server die Erfüllung der Challenge bestätigt, ist der Webserver dazu berechtigt Zertifikatsmanagement zu betreiben
- Für ein neues Zertifikat, würde der Webserver ein Certificate Signing Request erstellen
- Diese Anfrage signiert der Webserver zusätzlich mit dem privaten Schlüssel aus der Registrierung an den ACME-Server, um die CSR zu autorisieren
acme-04
empty app.diagrams.net chart
empty app.diagrams.net chart