什么是自动证书管理环境（ACME）

本文主要是介绍什么是自动证书管理环境（ACME），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

组织的网站需要 24x7 全天候可用，以建立信任并提供信息，如果网站因证书过期而停机，那么很难恢复失去的客户信任、收入和品牌声誉，手动管理证书基础结构会使组织面临中断、中间人（MITM）攻击等的严重风险。

自动证书管理环境（ACME）是一种通信协议，无需任何人工干预即可自动颁发、安装、续订和吊销 PKI 证书，ACME 自动执行证书颁发机构（CA）与托管 PKI 证书的 Web 服务器或设备之间的交互。

ACME最初由互联网安全研究小组专门为自己的证书服务Let’s Encrypt创建，用于颁发域验证（DV）SSL / TLS证书。现在，多个 CA 越来越多地采用 ACME 协议来颁发不同类型的证书，例如扩展验证（EV）和组织验证（OV）。

ACME 遵循客户端-服务器架构，其中它们使用 JSON 消息通过加密的 HTTPS 连接安全地相互通信。

客户：ACME 客户端（也称为 ACME 代理）在需要部署 PKI 证书的任何 Web 服务器或计算机上运行，它代表安装它的 Web 服务器发送证书颁发、续订和吊销请求。
服务器：ACME 服务器在 CA 上运行，例如 Let’s Encrypt 或 Sectigo，并响应 ACME 客户端发出的请求。

与任何客户端-服务器体系结构一样，ACME 服务器响应并执行 ACME 客户端发出的证书请求（颁发、续订、吊销），用户开始使用的第一步是选择需要安装的客户端。

尽管有大量可用的客户端，但建议开始使用 Certbot，这是一个易于使用且适用于许多操作系统的 ACME 客户端。这是一个免费的开源工具，每 60 天续订一次证书。

在自动化 PKI 证书管理之前，必须彻底设置客户端和服务器，由于 ACME 服务器仅接受来自授权客户端的请求，因此必须确保客户端经过身份验证才能发出请求。因此，为了证明其真实性，ACME 客户端需要完成 ACME 服务器提出的挑战。

有两种类型的ACME挑战：HTTP和DNS。它们可以在不到 15 秒的时间内快速完成。

HTTP：当 ACME 客户端向 CA（ACME 服务器）发送请求时，CA 会发回要安装在客户端上的令牌。客户端使用该令牌创建一个文件，并在该文件后附加授权密钥的指纹。安装文件后，客户端会通知 CA。ACME 服务器检索并验证文件，从而完成质询。
域名解析：DNS 质询与 HTTP 质询类似，但需要额外的验证因素。除了使用令牌安装文件外，ACME 客户端还需要在 DNS 空间的 TXT 记录中放置一个给定值。质询完成后，服务器将执行 DNS 查找并检索 TXT 记录。