Dříve bylo nutné každý certifikát s ověřením, tedy OV či EV certifikát, zpracovat ručně a před vydáním ověřit jeho budoucího vlastníka. A to i v případě, že jste si podobný certifikát nechali vystavit včera. Těmto časům je však konec – DigiCert používá již dokončené předchozí ověření pro OV a EV certifikáty. Po prvním ověření, které je platné 27 měsíců (OV) či 13 měsíců (EV), získáte obratem další certifikát bez čekání a jakékoliv námahy.
Je tedy logické, že když vaši firmu a domény před automatizací ověříme, tak už nebudete muset nic dělat.
Proces ověření a získání certifikátu je vyřešen. Stále však zbývá zadat objednávku, uhradit ji, vytvořit CSR, certifikát po vydání nasadit či poslat administrátorovi… Celkem dost práce, kterou lze snadno nahradit jedním šikovným nástrojem!
Jednoduché získání certifikátu díky ACME
DigiCert plně podporuje ACME protokol pro získání OV a EV certifikátů (do budoucna i DV). To znamená, že pro získání takového certifikátu nemusíte ani dělat objednávku a můžete to svěřit automatizaci.
Samotný ACME protokol definuje vše okolo získání certifikátu a ověření domény. Pro posílání požadavků potřebujete pouze ACME URL, kterému pak budete ze svého serveru posílat požadavky na certifikáty přes API.
Určitě vás teď napadá jak se váš server s API DigiCertu domluví, když jste nic takového zatím nezkoušeli. Pro komunikaci vašeho serveru s API využijte jednoho z mnoha stávajících ACME klientů, kteří představují kompletní nástroj pro práci s certifikáty.
Nejznámějším ACME klientem je aplikace CertBot. Stačí klienta nakonfigurovat, poskytnout mu ACME URL a on se už o všechno postará. Když mu řeknete pro jakou doménu má certifikáty zažádat, tak to provede, domény ověří a vydané certifikáty stáhne zpět. Nenechte se zmást tím, že se CertBot primárně využívá s certifikáty Let‘s Encrypt; díky ACME protokolu můžete certifikáty zažádat i u DigiCertu.
Automatizace znamená i instalaci na server
Druhá fáze správy TLS certifikátů je jejich instalace na server. Certifikát se neprodlužuje jako například doména, je potřeba ho po každém novém vydání vyměnit. To bude navíc od září 2020 nastávat každý rok, protože na delší dobu certifikát nezískáte.
V názvu článku zmiňujeme, že automatizovat se dá kompletní správa certifikátů – a to i včetně instalace. Pokud ACME klientovi dovolíte zásah do konfigurace serveru, tak pro vás může certifikáty i nainstalovat.
V důsledku toho můžete získat a nainstalovat certifikát jedním pokynem ACME klientovi a za necelou minutu bude web zabezpečen novým certifikátem. No není to příjemné?
Pomůžeme vám s automatizací už dnes!
Pro získání více informací a ACME URL nás prosím kontaktujte na SSLmarket.cz. nebo navštivte naši nápovědu.
