什么是 ACME?它为何至关重要?
发布日期:2025-09-05数字证书的手动管理很快将无法满足实际需求,而且证书的有效期还会进一步缩短。
多年来,许多系统管理员一直以每年一次的频率续订证书,这个周期对于手动续订而言较为合理。但到 2026 年 3 月
15 日,证书的最长有效期将缩短至 200 天,2027 年将进一步缩短至 100 天,2029 年则仅为 47 天。一旦这些调整落
地,手动跟踪和续订证书将不再可行。
如果您尚未实现证书续订自动化,那么未来证书有效期的缩短将给您带来重大的管理难题。这些调整意味着证书需要更
频繁地续订,而手动流程根本无法应对这样的频率。
不过,有一种解决方案可供选择:自动化证书管理环境(ACME,Automated Certificate Management
Environment)。
这是一项得到广泛支持的开放标准。DigiCert CertCentral(数字认证证书中心)的客户甚至可以在所有传输层安全协议
(TLS)订阅中免费使用 ACME 支持功能。
实现证书续订自动化并非需要开展大型项目。ACME 能够自动完成多项关键的证书操作,包括证书申请、域名控制权验
证以及证书安装。
ACME 的应用范围并非仅限于为浏览器提供内容服务的 Web 服务器,但其设计初衷主要是为这类场景服务。如果您的
工作是确保 Web 服务器的可用性和安全性,那么 ACME 是实现自动化的可行方案,尽管掌握它可能需要一个学习过
程。一旦成功部署,您便无需再担心证书续订问题 —— 即便不再是每年一次,您也可以直接过渡到 30 天的续订周期,
并且能够从容应对未来几年即将到来的各项调整。
ACME 的支持覆盖面很广,但并非所有平台都支持。以下列表涵盖了支持 ACME 的软件产品(如 Web 服务器)和需要
使用证书的开源项目。网络硬件市场对 ACME 的支持也较为普遍,但部分厂商可能支持其他自动化标准(如 EST,
Enrollment over Secure Transport,安全传输注册协议),还有些厂商则完全不支持任何自动化功能。在这些情况
下,DigiCert(数字认证公司)或许能提供帮助。
需要明确的是,TLS 证书有效期的缩短是由CA/Browser Forum(证书颁发机构 / 浏览器论坛) 强制要求的。该论坛
是管理 Web公钥基础设施(Web PKI)的标准制定机构,所有公共证书颁发机构(CA)都必须遵守其规定。苹果
(Apple)和谷歌(Google)是推动这些调整的核心力量,而证书颁发机构(CA)行业也认同这些调整的目标,并一致
投票支持。
自动化并非只有 ACME 一种选择
当您通过 ACME 实现了公共 TLS 证书续订的自动化后,还可以着手解决其他与证书相关的问题。这类问题普遍存在,
且都需要妥善处理。
ACME 主要面向 Web 服务器设计 ——Web 服务器是目前互联网中最常见的证书应用场景。但还有许多其他应用场景也
需要自动化支持,却未必兼容 ACME,例如网络安全、设备安全、客户端身份验证等。DigiCert ONE(数字认证一体化
解决方案)系列产品能以一套独立于证书颁发机构(CA)的方案,解决这些场景下的证书管理问题。
您是否在使用 Microsoft Active Directory(微软活动目录)?DigiCert Trust Lifecycle Manager(数字认证信任生命周
期管理器)可以管理该目录下的所有证书,并允许您应用与其他 PKI(公钥基础设施)应用一致的策略。
您是否清楚自己当前拥有哪些证书?即便您的网络规模仅为中等水平,也可能存在一些未纳入证书管理范围的 PKI 应
用。DigiCert Trust Lifecycle Manager 能够识别所有用于公共和私有应用的证书,为您建立准确的加密资产清单奠定基
础 ——随着标准的不断变化,这份清单将成为您的必备工具。
当您完成所有证书的清点后,可能会发现:某些应用中使用的公共证书,其实更适合用私有证书颁发机构(CA)颁发的
证书替代。这种情况十分常见,而使用公共证书会导致内部网络细节通过证书透明度日志(certificate transparency
logs)泄露到公共领域。对于那些不应与公共互联网通信的内部应用,DigiCert 可以为您创建并管理专属的私有证书颁
发机构(CA)。
您完全有能力应对这些变化
证书最长有效期的缩短对您而言,或许是一项重大挑战,或许并非如此,但目前无需恐慌。您仍有充足的时间来解决这
个问题,最终实现比当前使用 398 天有效期证书时更优的管理状态。
换言之,现在正是下定决心解决问题的最佳时机 —— 切勿等到迫在眉睫才仓促行动。
作者:Mike Fleck | DigiCert
原文链接:点此访问原文
著作权归作者所有。商业转载请联系作者进行授权,非商业转载请注明出处。