ACME steht für Automatic-Certificate-Management-Environment und beschreibt einen Prozess, bei dem Serverzertifikate automatisch verlängert werden. Dies wird bei immer kürzeren Laufzeiten unumgänglich.
Warum ACME?
Problem: Die Laufzeit von Serverzertifikaten wird immer kürzer.
Das CA/Browser-Forum, ein Zusammenschluss von Zertifizierungsstellen und Webbrowser-Herstellern, hat dazu folgende Roadmap herausgegeben:
| Ab Datum | Maximale Gültigkeit |
| 15.03.2026 | 200 Tage |
| 15.03.2027 | 100 Tage |
| 15.03.2029 | 47 Tage |
Konsequenz: Automatisierung wird irgendwann nötig.
Lösung: ACME. Vor Ablauf eines Zertifikats wird ein neues Zertifikat automatisch beim Zertifikatsanbieter beantragt und heruntergeladen, was über einen ACME-Client geschieht. Dieser bietet die Möglichkeit, über sogenannte Hooks Scripte auszuführen, um so z.B. das neue Zertifikat in den jeweiligen Dienst einzuspielen und den Dienst neu zu starten.
ACME über HARICA
Harica verwendet EAB (External Account-Binding) zur Kontrolle, ob das System, für welches ein Zertifikat beantragt werden soll, auch Ihnen gehört. Dafür benötigen Sie einen ACME-Account. Eine ACME-Challenge wie bei Let‘s Encrypt findet nicht statt.
Beantragung eines ACME-Accounts
Einen ACME-Account können Sie formlos beim Support-Desk beantragen.
Wir benötigen von Ihnen folgende Angaben:
- Server-/Dienst-Namen: Dieser wird für die interne Zuordnung/Beschreibung des ACME-Accounts benötigt.
- Eine Liste der Domains, die diesem ACME-Account zugewiesen werden sollen.
Pro Dienst/Server wird ein eigener ACME-Account benötigt.
Einrichtung eines ACME-Clients
Sie müssen auf Ihrer Seite einen ACME-Client einrichten wie z.B. Certbot oder win-acme.
Per ACME-Client wird das Zertifikat auf den Server heruntergeladen. Es muss danach noch in die jeweilige Anwendung importiert werden.
Beispielaufruf für certbot:
certbot certonly --standalone --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>
Sie bekommen von uns die entsprechenden Daten zugesandt. Die Key-ID und der HMAC-Key dürfen nicht weitergereicht werden. Für einige Anwendungen, wie z.B. Apache, bietet Certbot die Möglichkeit, das Zertifikat direkt in die Anwendung zu installieren.
certbot --apache --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>
Certbot legt Symlinks auf die aktuellen privaten Schlüssel und Zertifikate in /etc/letsencrypt/live/certname/ an. In der Config Ihres Dienstes müssen Sie dann diesen Pfad eingetragen.
Unter /etc/letsencrypt/renewal-hooks/deploy/ können Sie eigene Scripte ablegen. Ein Beispiel wäre der Neustart des Dienstes, damit das neue Zertifikat genutzt wird.
