bg-blog-articles

Was ist das ACME-Protokoll? Leitfaden zur automatisierten Zertifikatsverwaltung

SSL/TLS-Zertifikate sorgen für die Sicherheit Ihrer Website und Ihrer Dienste – aber die manuelle Verwaltung dieser Zertifikate ist mühsam und riskant. Hier kommt das ACME-Protokoll ins Spiel.

ACME ist die Abkürzung für Automated Certificate Management Environment und automatisiert die Ausstellung, Erneuerung und den Widerruf von Zertifikaten. Dadurch entfällt die manuelle Arbeit und die Gefahr, dass abgelaufene Zertifikate Ihre Website offline nehmen, wird verringert.

Was ist das ACME-Protokoll?

Ursprünglich von der Internet Security Research Group (ISRG) für Let’s Encrypt entwickelt, hat sich ACME zu einem Industriestandard entwickelt, der mit mehreren Zertifizierungsstellen zusammenarbeitet und nun von Organisationen weltweit verwendet wird.

Diese Verschiebung wird immer wichtiger, da die Gültigkeitsdauer von Zertifikaten immer kürzer wird. Ab März 2026 beträgt die maximale Gültigkeitsdauer 200 Tage, ab März 2027 sinkt sie auf 100 Tage und erreicht ab dem 15. März 2029 nur noch 47 Tage. Ab diesem Zeitpunkt ist die manuelle Verwaltung von Zertifikaten in keinem Maßstab mehr praktikabel.


Inhaltsübersicht

  1. Was ist ACME?
  2. So funktioniert das ACME-Protokoll
  3. Von ACME unterstützte Zertifikatstypen
  4. Vorteile der Verwendung von ACME
  5. Einrichten eines ACME-Clients
  6. ACME im Vergleich zu anderen Einschreibungsprotokollen

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie heute bei SSL Dragon bestellen!

Schnelle Ausgabe, starke Verschlüsselung, 99,99% Browservertrauen, engagierter Support und 25 Tage Geld-zurück-Garantie. Coupon-Code: SAVE10

Ein detailliertes Bild eines Drachens im Flug

Was ist das ACME-Protokoll?

Das ACME-Protokoll, oder Automated Certificate Management Environment, automatisiert den gesamten Lebenszyklus von SSL/TLS-Zertifikaten. Es macht manuelle Schritte überflüssig, indem es eine standardisierte Kommunikation zwischen ACME-Clients und Zertifizierungsstellen nutzt, um Ausstellung, Validierung, Installation, Erneuerung und Widerruf zu verwalten.

Das Protokoll verwendet eine Client-Server-Architektur, bei der ein ACME-Client (der auf Ihrem Server installiert ist) mit einem ACME-Server (der von einer Zertifizierungsstelle betrieben wird) kommuniziert, um Zertifikate ohne menschliches Zutun anzufordern, zu validieren und zu verwalten. Diese Automatisierung verhindert abgelaufene Zertifikate, reduziert Sicherheitsrisiken und befreit IT-Teams von sich wiederholenden manuellen Aufgaben.

Die Entwicklung des ACME-Protokolls

Die Internet Security Research Group hat ACME speziell für Let’s Encrypt entwickelt, die kostenlose öffentliche Zertifizierungsstelle, die 2015 an den Start ging. Die erste Version, ACME v1, kam 2016 heraus und bewies, dass das Konzept im großen Maßstab funktioniert.

Im Jahr 2018 kam ACME v2 mit wichtigen Verbesserungen heraus. Es wurde Unterstützung für Wildcard-Zertifikate (die alle Subdomains unter einer Domain abdecken) und führte die DNS-TXT-Validierung für mehr Sicherheit ein. ACME v2 wurde zum offiziellen Standard, als die IETF RFC 8555 veröffentlichte, und ACME v1 wurde 2021 eingestellt.

Da ACME Open-Source ist, wurde es von öffentlichen Zertifizierungsstellen und PKI-Anbietern in der gesamten Branche übernommen. Sie sind nicht an eine einzige Zertifizierungsstelle gebunden – Sie können aus mehreren Anbietern wählen oder zwischen ihnen wechseln, wenn sich Ihre Anforderungen ändern. Diese Flexibilität ist ein Grund dafür, dass ACME zum Standardprotokoll für die automatisierte Zertifikatsverwaltung geworden ist.


So funktioniert das ACME-Protokoll

ACME verwendet ein Client-Server-Modell. Ein ACME-Client läuft auf Ihrem Server oder Gerät und kommuniziert mit einem ACME-Server, der von einer Zertifizierungsstelle betrieben wird. Der gesamte Austausch erfolgt über JSON-Nachrichten, die über HTTPS gesendet werden, und ist daher sowohl sicher als auch standardisiert.

Hier ist der grundlegende Arbeitsablauf:

  1. Wählen Sie Ihren Agenten und Ihre Domäne. Sie installieren einen ACME-Client (wie Certbot oder Caddy) auf Ihrem Server und teilen ihm mit, welche Domäne Sie sichern möchten.
  2. Wählen Sie eine CA. Verweisen Sie Ihren Client auf eine ACME-kompatible Zertifizierungsstelle – DigiCert, Sectigo oder eine andere CA, die das Protokoll unterstützt.
  3. Generieren Sie ein Schlüsselpaar und eine CSR. Der Client erstellt einen privaten Schlüssel und eine Zertifikatssignierungsanforderung (CSR) mit Ihren Domäneninformationen.
  4. Beweisen Sie die Domain-Kontrolle. Die CA fordert Sie auf zu beweisen, dass Sie die Kontrolle über die Domain haben. Sie können mit einer HTTP-01-Herausforderung (Platzierung einer Datei auf Ihrem Webserver) oder einer DNS-01-Herausforderung (Hinzufügen eines TXT-Eintrags zu Ihrem DNS) antworten.
  5. Signieren Sie eine Nonce. Der Client signiert eine eindeutige Nonce (einen einmaligen Zufallswert) mit Ihrem privaten Schlüssel, um die Authentizität zu beweisen.
  6. Erhalten Sie Ihr Zertifikat. Die CA prüft alles und stellt Ihr X.509-Zertifikat. Das Zertifikat wird an den ACME-Client geliefert und automatisch installiert.

Erneuerung und Widerruf folgen demselben Prozess. Der Kunde kann ein neues Zertifikat anfordern, bevor das alte abläuft, oder ein kompromittiertes Zertifikat widerrufen, ohne manuell eingreifen zu müssen.


Von ACME unterstützte Zertifikatstypen

ACME stellt in erster Linie Domain Validated (DV)-Zertifikate aus, mit denen nur überprüft wird, dass Sie die Domain kontrollieren. Diese sind am schnellsten auszustellen und eignen sich für die meisten Websites und Dienste.

OV- (Organization-Validated) und EV-Zertifikate (Extended Validation) erfordern zusätzliche Nachweise wie Geschäftsdokumente, um die Identität Ihrer Organisation zu bestätigen. ACME kann OV- und EV-Zertifikate unterstützen, aber Sie müssen zusätzliche manuelle Überprüfungsschritte durchführen, da das Protokoll selbst keine geschäftliche Validierung vornimmt. Einige Zertifizierungsstellen bieten hybride Workflows an, die ACME-Automatisierung mit menschlicher Überprüfung für Zertifikate mit höherer Sicherheit kombinieren.

Wildcard-Zertifikate verdienen eine besondere Erwähnung. ACME v2 hat native Unterstützung für Wildcards hinzugefügt, die alle Subdomänen unter einer Domäne (wie *.example.com) sichern. Um ein Wildcard-Zertifikat auszustellen, müssen Sie eine DNS-01-Challenge durchführen, d.h. einen TXT-Eintrag zu Ihrer DNS-Zone hinzufügen, da HTTP-Challenges nicht die Kontrolle über alle möglichen Subdomänen nachweisen können. Diese DNS-Validierung bietet eine zusätzliche Sicherheitsebene und macht Wildcard-Zertifikate zuverlässiger.


Sparen Sie 10% auf SSL-Zertifikate, wenn Sie heute bei SSL Dragon bestellen!

Schnelle Ausgabe, starke Verschlüsselung, 99,99% Browservertrauen, engagierter Support und 25 Tage Geld-zurück-Garantie. Coupon-Code: SAVE10

Ein detailliertes Bild eines Drachens im Flug

Vorteile der Verwendung von ACME

  • Automatisierung macht manuelle Arbeit überflüssig. Die manuelle Verwaltung von Zertifikaten ist langsam und fehleranfällig. ACME automatisiert jeden Schritt – Ausstellung, Installation, Erneuerung und Widerruf -, so dass Sie keine CSRs erstellen, ACME-Zertifikate kopieren und einfügen oder Kalendererinnerungen einstellen müssen. Diese Automatisierung sorgt für weniger menschliche Fehler und gibt Ihrem Team den nötigen Freiraum, sich auf wichtigere Aufgaben zu konzentrieren.
  • Verbesserte Sicherheit durch automatische Erneuerung. Abgelaufene Zertifikate führen zu Ausfällen und Sicherheitswarnungen. ACME sorgt für mehr Sicherheit, indem es Zertifikate automatisch erneuert, bevor sie ablaufen, so dass Sie sich keine Sorgen machen müssen, eine Erneuerungsfrist zu vergessen. So bleiben Ihre Dienste online und Ihre Benutzer sicher.
  • Kosteneinsparungen und bessere Sichtbarkeit. Viele ACME-kompatible CAs, wie Let’s Encrypt, bieten kostenlose DV-Zertifikate an. Selbst wenn Sie eine kommerzielle Zertifizierungsstelle verwenden, reduziert die Automatisierung die Arbeitskosten für die Verwaltung von ACME-Zertifikaten. Und wenn Sie ACME in eine Zertifikatsverwaltungsplattform integrieren, erhalten Sie einen zentralen Überblick über alle Ihre Zertifikate – Ablaufdaten, Ausstellungsstatus und Lebenszyklusereignisse -, so dass Ihnen nichts entgeht.
  • CA-Flexibilität. Der offene Standard von ACME bedeutet, dass Sie nicht an einen Anbieter gebunden sind. Wenn Ihre Zertifizierungsstelle ausfällt oder Sie den Anbieter wechseln möchten, können Sie Ihren ACME-Client auf eine andere Zertifizierungsstelle verweisen, ohne Ihre Automatisierung neu zu schreiben. Dieser CA-agnostische Ansatz bietet Ihnen Flexibilität und hilft Ihnen, die Bindung an einen bestimmten Anbieter zu vermeiden.
  • Open-Source und zugänglich. ACME ist ein offenes Protokoll, für das keine Lizenzgebühren anfallen. Jeder kann einen ACME-Client oder -Server implementieren, und es gibt ein florierendes Ökosystem von Tools. Diese Offenheit fördert die Innovation und macht die automatisierte Zertifikatsverwaltung für Unternehmen jeder Größe zugänglich.

All diese Vorteile führen zu weniger Ausfällen, besserer Compliance und einer sichereren Infrastruktur. Mit ACME wird die Verwaltung von Zertifikaten von einer immer wiederkehrenden Kopfsache zu einer Hintergrundaufgabe, die einfach funktioniert.


Einrichten eines ACME-Clients

Die ersten Schritte mit ACME sind ganz einfach. Hier ist eine Schritt-für-Schritt-Anleitung:

1. Wählen Sie einen kompatiblen ACME-Client und geben Sie Ihre Domäne an.
Wählen Sie einen ACME-Client, der mit Ihrer Umgebung funktioniert. Beliebte Optionen sind:

  • Certbot – der am weitesten verbreitete Client, gepflegt von der Electronic Frontier Foundation
  • Caddy – ein Webserver mit integrierter ACME-Unterstützung
  • ACMESharp – ein PowerShell-Modul für Windows-Umgebungen
  • GetSSL – ein einfaches Bash-Skript für Unix-ähnliche Systeme
  • Posh-ACME – eine weitere PowerShell-Option mit erweiterten Funktionen

Sagen Sie dem Kunden, welche Domain (oder Domains) Sie sichern möchten.

2. Wählen Sie eine CA, die mit Ihrem Client kompatibel ist.
Verweisen Sie Ihren Client auf einen ACME-Server. Let’s Encrypt ist die häufigste Wahl, aber auch Sectigo, Keyfactor und andere kommerzielle CAs bieten ACME-Endpunkte an. Stellen Sie sicher, dass Sie einen ACME v2 kompatiblen Server verwenden – ACME v1 ist veraltet.

3. Generieren Sie ein Schlüsselautorisierungspaar.
Der Client erstellt einen privaten Schlüssel und verwendet ihn, um eine Zertifikatsignierungsanfrage zu generieren. Dieser Prozess der Schlüsselpaargenerierung wird automatisch vom ACME-Client durchgeführt. Bewahren Sie Ihren privaten Schlüssel sicher auf – erist die Grundlage für die Vertrauenswürdigkeit Ihres Zertifikats.

4. Lösen Sie eine Aufgabe, um die Kontrolle über die Domäne nachzuweisen.
Je nach Ihrer Einrichtung müssen Sie eine HTTP-01-Aufgabe (Hosting einer Datei auf Ihrem Webserver) oder eine DNS-01-Aufgabe (Hinzufügen eines TXT-Eintrags zu Ihrem DNS) lösen. Für Wildcard-Zertifikate ist DNS-01 erforderlich. Der Client erledigt dies normalerweise automatisch, wenn er API-Zugriff auf Ihren DNS-Anbieter hat.

5. Signieren Sie das Nonce mit Ihrem privaten Schlüssel.
Die Zertifizierungsstelle sendet ein eindeutiges Nonce und der Kunde signiert es mit Ihrem privaten Schlüssel. Dies beweist, dass Sie die Kontrolle über das Schlüsselpaar haben und verhindert Wiederholungsangriffe.

6. Beginnen Sie mit dem automatischen Ausstellen, Erneuern und Widerrufen von Zertifikaten.
Sobald die CA Ihre Antworten überprüft hat, stellt sie Ihr ACME-Zertifikat aus. Der Client installiert es und richtet die automatische Erneuerung ein. Von diesem Zeitpunkt an werden die Zertifikate im Hintergrund aktualisiert, ohne dass Sie manuell eingreifen müssen.

Tipp: Bleiben Sie bei ACME v2. Es ist der aktuelle Standard und bietet bessere Sicherheit und Funktionen. ACME v1 wird von den meisten CAs nicht mehr unterstützt.


ACME im Vergleich zu anderen Einschreibungsprotokollen

ACME ist nicht das einzige Protokoll zur Automatisierung der Zertifikatsregistrierung. Es gibt auch noch zwei ältere Protokolle SCEP (Simple Certificate Enrollment Protocol) und EST (Enrollment over Secure Transport) -, die jedoch jeweils ihre Grenzen haben.

SCEP automatisiert die Erstausstellung von Zertifikaten und wird häufig für die Registrierung von Geräten in Unternehmensumgebungen verwendet. Aber SCEP kann den Widerruf oder die Erneuerung nicht gut handhaben, so dass Sie zusätzliche Tools oder manuelle Prozesse benötigen, um den gesamten Lebenszyklus von Zertifikaten zu verwalten. Es handelt sich um ein älteres Protokoll, das den modernen Automatisierungsanforderungen nicht gerecht wird.

EST ist ein neuerer Standard, der die Registrierung und Erneuerung automatisiert, aber er hat nicht den gleichen Verbreitungsgrad wie ACME erreicht. Nur wenige Zertifizierungsstellen und Clients unterstützen EST, was seinen Nutzen in der Praxis einschränkt.

ACME zeichnet sich dadurch aus, dass es den gesamten Lebenszyklus – Ausstellung, Erneuerung und Widerruf – in einem einzigen Protokoll verwaltet. Es wird von der Gemeinschaft getragen, ist in RFC 8555 offen dokumentiert und wird von einer Vielzahl von Zertifizierungsstellen und Open-Source-Tools unterstützt. Für die meisten Unternehmen ist ACME aufgrund seiner Kombination aus Automatisierung, Flexibilität und Unterstützung durch das Ökosystem die erste Wahl.


Bewährte Praktiken und Überlegungen

  • Verwenden Sie ACME v2 und bleiben Sie mit RFC 8555 auf dem Laufenden. ACME v1 ist veraltet. Stellen Sie sicher, dass Ihre Clients und Server ACME v2 unterstützen, und halten Sie Ihre Tools auf dem neuesten Stand, um von Sicherheitsverbesserungen und neuen Funktionen zu profitieren.
  • Bevorzugen Sie DNS-01-Herausforderungen für Wildcard-Zertifikate. Wenn Sie alle Unterdomänen unter einer Domäne schützen müssen, verwenden Sie ein Wildcard-Zertifikat mit DNS-01-Validierung. HTTP-01-Herausforderungen können nicht die Kontrolle über alle möglichen Subdomänen nachweisen, daher ist DNS die einzige Option. Automatisieren Sie dies, indem Sie Ihrem ACME-Client API-Zugriff auf Ihren DNS-Anbieter geben.
  • Unterhalten Sie eine Backup-CA für die Ausfallsicherheit. Die Agilität von CA ist eine der Stärken von ACME. Konfigurieren Sie Ihre Automatisierung so, dass bei einem Ausfall Ihrer primären Zertifizierungsstelle ein Failover zu einer sekundären CA erfolgt. Dies gewährleistet die kontinuierliche Ausstellung von Zertifikaten, selbst wenn ein Anbieter Probleme hat.
  • Integrieren Sie ACME in eine Plattform zur Zertifikatsverwaltung. Bei größeren Einsätzen können Sie Ihre ACME-Automatisierung mit einer Plattform wie Keyfactor, AppViewX oder CyberArk verbinden. Diese Tools geben Ihnen Einblick in alle Ihre Zertifikate, helfen Ihnen bei der Durchsetzung von Richtlinien und erleichtern die Prüfung Ihrer Infrastruktur.
  • Sichern Sie Ihre privaten Schlüssel. Auch bei der Automatisierung spielt die Sicherheit eine Rolle. Speichern Sie private Schlüssel in Hardware-Sicherheitsmodulen (HSMs) oder verwenden Sie Geräte-Attestierungsmethoden (wie Apples Secure Enclave) für Umgebungen mit hoher Sicherheit. Tools wie Dynamic PKI mit Cloud RADIUS von SecureW2 können Ihnen helfen, die Geräteidentität in Ihre Zertifikatsabläufe zu integrieren.
  • Überwachen Sie das Ablaufdatum von Zertifikaten. Automatisierung ist zuverlässig, aber nicht narrensicher. Richten Sie Warnmeldungen ein, die Sie benachrichtigen, wenn ein Zertifikat bald abläuft, ohne dass es erneuert wurde. So haben Sie ein Sicherheitsnetz, falls etwas mit Ihrer Automatisierung schief geht.

Sind Sie bereit, den Lebenszyklus Ihrer Zertifikate zu automatisieren?

Machen Sie sich keine Gedanken mehr über abgelaufene Zertifikate und manuelle Erneuerungen. SSL Dragon bietet ACME-kompatible SSL-Zertifikate von vertrauenswürdigen Zertifizierungsstellen wie Sectigo und DigiCert – und das schon ab25 $/Jahr. Sie erhalten eine automatische Ausstellung, Erneuerung und Verwaltung mit unbegrenzten Neuausstellungen, eine Garantieabdeckung von mehr als 500.000 $ und 24/7 technischen Support.

Ob Sie nun Domain Validated (DV), Organization-Validated (OV) oder Extended Validation (EV) Zertifikate benötigen, unsere ACME-Lösungen lassen sich nahtlos in beliebte Clients wie Certbot, acme.sh und andere integrieren.

Entdecken Sie ACME SSL-Zertifikate

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.