تحافظ شهادات SSL/TLS على أمان موقعك الإلكتروني وخدماتك – ولكن إدارتها يدويًا أمر ممل ومحفوف بالمخاطر. وهنا يأتي دور بروتوكول ACME.
يعمل ACME على أتمتة عملية إصدار الشهادات وتجديدها وإبطالها، مما يلغي العمل اليدوي ويقلل من فرصة أن تؤدي الشهادات منتهية الصلاحية إلى عدم اتصال موقعك بالإنترنت.

تم تطوير ACME في الأصل من قبل مجموعة أبحاث أمن الإنترنت (ISRG) لصالح Let’s Encrypt، وقد تطورت لتصبح معيارًا صناعيًا يعمل مع العديد من سلطات إصدار الشهادات وتستخدمه الآن المؤسسات في جميع أنحاء العالم.
تزداد أهمية هذا التحول مع استمرار تقلص أعمار الشهادات. فقد انتقلت الصلاحية القصوى إلى 200 يوم اعتبارًا من مارس 2026، وتنخفض إلى 100 يوم اعتبارًا من مارس 2027، وتصل إلى 47 يومًا فقط اعتبارًا من 15 مارس 2029. عند هذه النقطة، لم تعد الإدارة اليدوية للشهادات عملية على أي نطاق.
جدول المحتويات
- ما هو ACME؟
- كيف يعمل بروتوكول ACME
- أنواع الشهادات التي تدعمها ACME
- فوائد استخدام ACME
- إعداد عميل ACME
- ACME مقابل بروتوكولات التسجيل الأخرى
وفر 10% على شهادات SSL عند الطلب من SSL Dragon اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10
ما هو بروتوكول ACME؟
يعمل بروتوكول ACME، أو بيئة الإدارة الآلية للشهادات، على أتمتة دورة الحياة الكاملة لشهادات SSL/TLS. فهو يلغي الخطوات اليدوية من خلال استخدام اتصال موحد بين عملاء ACME وسلطات الشهادات لإدارة الإصدار والتحقق من الصحة والتثبيت والتجديد والإلغاء.
يستخدم البروتوكول بنية العميل-الخادم حيث يتصل عميل ACME (المثبت على الخادم الخاص بك) بخادم ACME (الذي يتم تشغيله بواسطة مرجع مصدق) لطلب الشهادات والتحقق من صحتها وإدارتها دون تدخل بشري. هذه الأتمتة تمنع الشهادات منتهية الصلاحية، وتقلل من المخاطر الأمنية، وتحرر فرق تكنولوجيا المعلومات من المهام اليدوية المتكررة.
تطور بروتوكول ACME
أنشأت مجموعة أبحاث أمن الإنترنت ACME خصيصًا من أجل Let’s Encrypt، وهي هيئة الشهادات العامة المجانية التي تم إطلاقها في عام 2015. صدر الإصدار الأول، ACME v1، في عام 2016 وأثبت نجاح المفهوم على نطاق واسع.
في عام 2018، وصل الإصدار 2 من ACME مع تحسينات مهمة. فقد أضاف دعمًا ل شهادات أحرف البدل (التي تغطي جميع النطاقات الفرعية ضمن نطاق ما) وقدمت التحقق من صحة TXT لنظام أسماء النطاقات من أجل تعزيز الأمان. أصبح الإصدار 2 من ACME هو المعيار الرسمي عندما نشر منتدى IETF RFC 8555، وتم التخلص التدريجي من الإصدار 1 من ACME في عام 2021.
نظرًا لأن ACME مفتوح المصدر، فقد تم اعتماده من قبل سلطات الشهادات العامة وموردي PKI في جميع أنحاء الصناعة. أنت لست مقيدًا في مرجع مصدق واحد – يمكنك الاختيار من بين عدة موفرين أو التبديل بينهم حسب تغير احتياجاتك. هذه المرونة هي أحد الأسباب التي جعلت من ACME بروتوكولاً مفضلاً لإدارة الشهادات المؤتمتة.
كيف يعمل بروتوكول ACME
يستخدم ACME نموذج العميل-الخادم. يتم تشغيل عميل ACME على الخادم أو الجهاز الخاص بك ويتصل بخادم ACME الذي يتم تشغيله من قبل مرجع مصدق. تستخدم عملية التبادل بأكملها رسائل JSON المرسلة عبر HTTPS، لذا فهي آمنة وموحدة.
إليك سير العمل الأساسي:
- حدد عميلك ونطاقك. تقوم بتثبيت عميل ACME (مثل Certbot أو Caddy) على الخادم الخاص بك وتخبره بالنطاق الذي تريد تأمينه.
- اختر مرجع مصدق (CA). وجّه عميلك إلى مرجع مصدق متوافق مع ACME – DigiCert أو Sectigo أو أي مرجع مصدق آخر يدعم البروتوكول.
- إنشاء زوج مفاتيح و CSR. ينشئ العميل مفتاحاً خاصاً وطلب توقيع شهادة (CSR) مع معلومات المجال الخاص بك.
- إثبات التحكم في المجال. يتحداك المرجع المصدق لإثبات أنك تتحكم في النطاق. يمكنك الرد بتحدي HTTP-01 (وضع ملف على خادم الويب الخاص بك) أو تحدي DNS-01 (إضافة سجل TXT إلى DNS الخاص بك).
- وقِّع على نونية. يقوم العميل بتوقيع nonce فريد من نوعه (قيمة عشوائية لمرة واحدة) مع مفتاحك الخاص لإثبات المصداقية.
- استلام شهادتك. يتحقق المرجع المصدق المرجعي المصدق من كل شيء ويصدر شهادة X.509 الخاصة بك. يتم تسليم الشهادة إلى عميل ACME وتثبيتها تلقائياً.
يتبع التجديد والإبطال نفس العملية. يمكن للعميل طلب شهادة جديدة قبل انتهاء صلاحية الشهادة القديمة، أو إبطال شهادة مخترقة، كل ذلك دون تدخل يدوي.
أنواع الشهادات التي تدعمها ACME
تصدر ACME بشكل أساسي شهادات التحقق من صحة المجال (DV)، والتي تتحقق فقط من أنك تتحكم في المجال. هذه هي الأسرع في الإصدار وتعمل بشكل جيد لمعظم المواقع والخدمات.
تتطلب شهادات التحقق من صحة المؤسسة (OV) وشهادات التحقق الموسعة (EV) دليلاً إضافياً – مثل وثائق الأعمال – لتأكيد هوية مؤسستك. يمكن ل ACME دعم شهادات OV و EV، لكنك ستحتاج إلى وضع خطوات تحقق يدوية لأن البروتوكول نفسه لا يتعامل مع التحقق من صحة الأعمال. تقدم بعض المراجع المصدقة (CAs) تدفقات عمل مختلطة تجمع بين أتمتة ACME والمراجعة البشرية للحصول على شهادات ذات ضمان أعلى.
شهادات أحرف البدل تستحق الذكر بشكل خاص. أضافت ACME v2 دعمًا أصليًا لأحرف البدل، والتي تؤمن جميع النطاقات الفرعية ضمن نطاق (مثل *.example.com). لإصدار شهادة أحرف البدل، يجب عليك إكمال تحدي DNS-01 – إضافة سجل TXT إلى منطقة DNS الخاصة بك – لأن تحديات HTTP لا يمكنها إثبات السيطرة على جميع النطاقات الفرعية الممكنة. يضيف هذا التحقق من صحة DNS طبقة من الأمان ويجعل شهادات أحرف البدل أكثر موثوقية.
وفر 10% على شهادات SSL عند الطلب من SSL Dragon اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10
فوائد استخدام ACME
- الأتمتة تقضي على العمل اليدوي. إدارة الشهادات اليدوية بطيئة ومعرضة للأخطاء. تعمل ACME على أتمتة كل خطوة – الإصدار والتثبيت والتجديد والإلغاء – حتى لا تضطر إلى إنشاء CSRs أو نسخ ولصق شهادات ACME أو تعيين تذكيرات التقويم. توفر هذه الأتمتة الحد من الأخطاء البشرية وتحرر فريقك للتركيز على أعمال أكثر أهمية.
- تحسين الأمان من خلال التجديد التلقائي. تتسبب الشهادات منتهية الصلاحية في حدوث انقطاعات وتحذيرات أمنية. يوفر ACME أمانًا محسّنًا من خلال تجديد الشهادات تلقائيًا قبل انتهاء صلاحيتها، لذلك لا داعي للقلق بشأن نسيان الموعد النهائي للتجديد. وهذا يبقي خدماتك على الإنترنت ومستخدميك آمنين.
- توفير في التكلفة ورؤية أفضل. تقدم العديد من المراجع المصدقة المتوافقة مع ACME، مثل Let’s Encrypt، شهادات DV مجانية. حتى لو كنت تستخدم مرجع مصدق تجاري، فإن الأتمتة تقلل من تكلفة العمالة لإدارة شهادات ACME. بالإضافة إلى ذلك، عندما تقوم بدمج ACME مع منصة إدارة الشهادات، ستحصل على عرض مركزي لجميع شهاداتك – تواريخ انتهاء الصلاحية وحالة الإصدار وأحداث دورة الحياة – بحيث لا يسقط أي شيء من خلال الشقوق.
- مرونة CA. إن معيار ACME المفتوح يعني أنك لست مقيداً بمورد واحد. إذا تعرض المرجع المصدق (CA) الخاص بك لانقطاع أو كنت ترغب في تبديل الموفرين، يمكنك توجيه عميل ACME إلى مرجع مصدق (CA) مختلف دون إعادة كتابة الأتمتة الخاصة بك. يمنحك هذا النهج الذي لا يعتمد على CA المرونة ويساعدك على تجنب التقيد بمزود واحد.
- مفتوح المصدر وسهل الوصول إليه. ACME هو بروتوكول مفتوح بدون رسوم ترخيص. يمكن لأي شخص تنفيذ عميل أو خادم ACME، كما يوجد نظام بيئي مزدهر من الأدوات. يشجع هذا الانفتاح على الابتكار ويجعل إدارة الشهادات الآلية متاحة للمؤسسات من جميع الأحجام.
تُترجم كل هذه الفوائد إلى انقطاعات أقل، وتوافق أفضل، وبنية تحتية أكثر أماناً. يحول ACME إدارة الشهادات من صداع متكرر إلى مهمة خلفية تعمل فقط.
إعداد عميل ACME
إن بدء استخدام ACME سهل ومباشر. إليك دليل تفصيلي خطوة بخطوة:
1. اختر عميل ACME متوافق وحدد المجال الخاص بك.
اختر عميل ACME الذي يعمل مع بيئتك. تتضمن الخيارات الشائعة ما يلي:
- Certbot – العميل الأكثر استخدامًا على نطاق واسع، والذي تحتفظ به مؤسسة الحدود الإلكترونية
- كادي – خادم ويب مع دعم مدمج ACME
- ACMESharp – وحدة PowerShell النمطية لبيئات Windows
- GetSSL – برنامج نصي بسيط للباش للأنظمة الشبيهة بأنظمة يونكس
- Posh-ACME – خيار PowerShell آخر بميزات متقدمة
أخبر العميل بالنطاق (أو النطاقات) التي تريد تأمينها.
2. اختر مرجع مصدق متوافق مع عميلك.
قم بتوجيه عميلك إلى خادم ACME. Let’s Encrypt هو الخيار الأكثر شيوعًا، لكن Sectigo و Keyfactor و CAs التجارية الأخرى تقدم أيضًا نقاط نهاية ACME. تأكد من أنك تستخدم خادمًا متوافقًا مع ACME v2 – ACME v1 مهمل.
3. إنشاء زوج تفويض مفتاح.
يقوم العميل بإنشاء مفتاح خاص ويستخدمه لإنشاء طلب توقيع شهادة. تتم معالجة عملية إنشاء زوج المفاتيح هذه تلقائياً بواسطة عميل ACME. حافظ على أمان مفتاحك الخاص – فهوأساس موثوقية شهادتك.
4. قم بحل تحدٍ لإثبات التحكم في النطاق.
اعتمادًا على الإعداد الخاص بك، ستكمل تحدي HTTP-01 (استضافة ملف على خادم الويب الخاص بك) أو تحدي DNS-01 (إضافة سجل TXT إلى DNS الخاص بك). بالنسبة لشهادات أحرف البدل، فإن DNS-01 مطلوب. عادةً ما يعالج العميل هذا الأمر تلقائيًا إذا كان لديه وصول واجهة برمجة التطبيقات إلى موفر DNS الخاص بك.
5. قم بتوقيع النونسي بمفتاحك الخاص.
يرسل المرجع المصدق (CA) نوتة فريدة من نوعها، ويوقعها العميل بمفتاحك الخاص. وهذا يثبت أنك تتحكم في زوج المفاتيح ويمنع هجمات إعادة التشغيل.
6. ابدأ في إصدار الشهادات وتجديدها وإبطالها تلقائياً.
بمجرد أن يتحقق المرجع المصدق (CA) من ردودك، يقوم بإصدار شهادة ACME الخاصة بك. يقوم العميل بتثبيتها وإعداد التجديد التلقائي. من هذه النقطة، يتم تحديث الشهادات في الخلفية دون تدخل يدوي.
نصيحة: التزم ب ACME v2. إنه المعيار الحالي ويوفر أمانًا وميزات أفضل. لم يعد ACME v1 مدعومًا من قبل معظم المراجع المصدقة (CAs).
ACME مقابل بروتوكولات التسجيل الأخرى
ACME ليس البروتوكول الوحيد لأتمتة تسجيل الشهادات. يوجد أيضاً بروتوكولان قديمان – بروتوكول تسجيل الشهادات البسيط (Simple Certificate Enrollment Protocol) وبروتوكول التسجيل عبر النقل الآمن ( EST ) – ولكن لكل منهما قيود.
يقوم SCEP بأتمتة الإصدار الأولي للشهادات ويستخدم على نطاق واسع لتسجيل الأجهزة في بيئات المؤسسات. لكن SCEP لا يتعامل مع الإبطال أو التجديد بشكل جيد، لذا فأنت بحاجة إلى أدوات إضافية أو عمليات يدوية لإدارة دورة حياة الشهادة الكاملة. وهو بروتوكول قديم يسبق احتياجات الأتمتة الحديثة.
تعد EST معياراً أحدث يعمل على أتمتة التسجيل والتجديد، ولكنه لم يحقق نفس مستوى الاعتماد الذي حققته ACME. يدعم عدد أقل من المراجع المصدّقين المعتمدين والعملاء معيار EST، مما يحد من فائدته في عمليات النشر في العالم الحقيقي.
يتميز ACME لأنه يدير دورة الحياة الكاملة – الإصدار والتجديد والإلغاء – في بروتوكول واحد. وهو يعتمد على المجتمع، وموثق بشكل علني في RFC 8555، ومدعوم من قبل مجموعة كبيرة من الجهات المصدقة والأدوات مفتوحة المصدر. بالنسبة لمعظم المؤسسات، فإن مزيج ACME من الأتمتة والمرونة ودعم النظام الإيكولوجي يجعله الخيار المفضل.
أفضل الممارسات والاعتبارات
- استخدم ACME v2 وابقَ على اطلاع دائم بـ RFC 8555. تم إهمال ACME v1. تأكد من أن عملاءك وخوادمك يدعمون الإصدار 2 من ACME، وحافظ على تحديث أدواتك للاستفادة من التحسينات الأمنية والميزات الجديدة.
- تفضيل تحديات DNS-01 لشهادات أحرف البدل. إذا كنت بحاجة إلى تأمين جميع النطاقات الفرعية ضمن نطاق، فاستخدم شهادة حرف بدل مع التحقق من صحة DNS-01. لا يمكن لتحديات HTTP-01 إثبات التحكم في جميع النطاقات الفرعية الممكنة، لذا فإن DNS هو الخيار الوحيد. قم بأتمتة هذا الأمر من خلال منح عميل ACME إمكانية الوصول إلى موفر DNS الخاص بك.
- الاحتفاظ بـ CA احتياطي للمرونة. خفة حركة CA هي إحدى نقاط قوة ACME. قم بتكوين الأتمتة بحيث تفشل الأتمتة إلى مرجع مصدق مرجعي مصدق ثانوي في حالة انقطاع المرجع المصدق المرجعي المصدق الأساسي. يضمن ذلك استمرار إصدار الشهادات حتى في حالة وجود مشكلات لدى أحد الموفرين.
- دمج ACME مع منصة إدارة الشهادات. لعمليات النشر الأكبر، قم بتوصيل أتمتة ACME بمنصة مثل Keyfactor أو AppViewX أو CyberArk. تمنحك هذه الأدوات رؤية واضحة عبر جميع شهاداتك، وتساعدك على فرض النُهج، وتسهّل عليك التدقيق في بنيتك الأساسية.
- قم بتأمين مفاتيحك الخاصة. حتى مع الأتمتة، فإن الأمان مهم حتى مع الأتمتة. قم بتخزين المفاتيح الخاصة في وحدات أمان الأجهزة (HSMs) أو استخدم طرق تصديق الجهاز (مثل Secure Enclave من Apple) للبيئات عالية الضمان. يمكن لأدوات مثل SecureW2’s Dynamic PKI مع Cloud RADIUS المساعدة في دمج هوية الجهاز في سير عمل الشهادات.
- مراقبة تواريخ انتهاء صلاحية الشهادة. الأتمتة موثوقة، ولكنها ليست مضمونة. قم بإعداد تنبيهات لإعلامك في حالة اقتراب انتهاء صلاحية الشهادة دون تجديدها. يمنحك هذا شبكة أمان في حالة حدوث خطأ ما في الأتمتة الخاصة بك.
هل أنت جاهز لأتمتة دورة حياة شهادتك؟
توقف عن القلق بشأن الشهادات منتهية الصلاحية والتجديدات اليدوية. تقدم SSL Dragon شهادات SSL المتوافقة مع ACME من جهات موثوقة مثل Sectigo وDigiCert – بدءاً من25 دولاراً في السنة فقط. احصل على الإصدار التلقائي والتجديد والإدارة التلقائية مع إعادة إصدار غير محدودة وتغطية ضمان تزيد عن 500,000 دولار ودعم فني على مدار الساعة طوال أيام الأسبوع.
سواء كنت بحاجة إلى شهادات التحقق من صحة النطاق (DV) أو شهادات التحقق من صحة المؤسسة (OV) أو شهادات التحقق الموسعة (EV)، فإن حلول ACME الخاصة بنا تتكامل بسلاسة مع العملاء المشهورين مثل Certbot و acme.sh والمزيد.
وفِّر 10% على شهادات SSL عند الطلب اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10






