ACME und EAB: Unterstützung bei Webservern (Stand Oktober 2025)
14.10.2025 | Jindřich Zechmeister
Erfahren Sie, wie Sie ACME und EAB zur Automatisierung von TLS-Zertifikaten nutzen können. Wir vergleichen die Unterstützung für Nginx, Apache, LiteSpeed und andere, geben Tipps für DigiCert und sorgen für eine reibungslose Implementierung.
ACME wird zur Verwaltung des Lebenszyklus von Zertifikaten genutzt – von der Anforderung und Installation bis zur Erneuerung. ACME können Sie bereits seit einigen Jahren auf SSLmarket nutzen. Lassen Sie uns gemeinsam einen Blick auf den Stand der Unterstützung von ACME bei den einzelnen Webservern werfen.
ACME-Protokoll und Webserver
Das ACME-Protokoll wurde ursprünglich eigenständig über Clients verwendet, bei dem man über ein Programm ein TLS-Zertifikat ausstellt und dieser "ACME-Client" es auch auf dem Webserver installiert. Der bekannteste ACME-Client ist Certbot, und die anfängliche Unterstützung des Apache-Webservers ist nach und nach gewachsen, sogar für Windows Server und IIS.
Der aktuelle Trend ist die Integration eines ACME-Clients direkt in den Webserver, so dass das Zertifikat auf kompatible Weise erworben und eingesetzt wird, ohne dass Sie zusätzliche Software oder Eingriffe benötigen. Sie haben sozusagen „alles in einem“. Ein Beispiel für einen Webserver mit integriertem ACME-Client ist Caddy oder OpenLiteSpeed. Vor kurzem hat auch Nginx native ACME-Unterstützung erhalten, aber es kann noch kein EAB, sodass es für DigiCert nicht verwendet werden kann.
Was ist EAB in ACME
EAB (External Account Binding) ist ein Mechanismus in ACME, der Ihren ACME-Client mit einem bestimmten Konto bei einer Zertifizierungsstelle verknüpft. Beim Erstellen eines ACME-Kontos verwendet der Client ein Paar von Informationen von der CA – eine KID-Identifikation und einen geheimen HMAC-Schlüssel – und „paart“ sich damit mit dem Konto Ihrer Organisation. So weiß die CA, wer das Zertifikat anfordert, kann interne Regeln anwenden und auch Unternehmens- oder bezahlte Zertifikate gemäß den Konto-Einstellungen ausstellen. EAB ersetzt nicht die Domain-Verifizierung (HTTP-01/DNS-01); es stellt nur sicher, dass die Anforderung von einem autorisierten Konto erfolgt.
In SSLmarket finden Sie dann eine absolut einzigartige Funktion – eine Übersicht aller Zertifikate, die über ACME ausgestellt wurden und die wir mit allen Metadaten und Informationen auf Ihr Benutzerkonto importieren.
Aktuelle Unterstützung von ACME bei Webservern
In der nachfolgenden Tabelle sehen Sie eine Übersicht der Integration des ACME-Protokolls bei den einzelnen Webservern. Die meisten von ihnen haben ACME bereits integriert und wenn sie auch EAB unterstützen, können Sie Zertifikate von DigiCert nutzen und automatisieren. ACME-Zugänge erhalten Sie einfach und kostenlos in Ihrem SSLmarket-Konto.
| Webserver / Plattform | Nativer ACME-Client | EAB-Unterstützung | Implementierungsart | Anmerkung / Interner Client |
|---|---|---|---|---|
| Apache HTTP Server | Nein | Ja (über externen Client) | Extern (Certbot, acme.sh, lego…) | Plugin, z. B. certbot-apache; EAB wird vom Client gelöst (funktioniert mit DigiCert ACME). |
| NGINX (bis 1.24) | Nein | Ja (über externen Client) | Extern (Certbot, acme.sh…) | Älterer NGINX ohne nativen ACME. |
| NGINX (ab 1.25) | Ja | Nein | Nativ | Natives ACME ohne EAB; für DigiCert nutzen Sie einen externen Client. |
| LiteSpeed / OpenLiteSpeed | Ja | Ja | Nativ (acme.sh intern) | Integrierter Client basierend auf acme.sh; EAB vollständig unterstützt (DigiCert ACME). |
| Caddy | Ja | Ja | Nativ | Eingebaute Zertifikatsverwaltung inkl. EAB. |
| Traefik | Ja | Ja | Nativ | Verwaltet Zertifikate intern; EAB unterstützt. |
| HAProxy | Teilweise (über Hooks) | Ja (über externen Client) | Externer Client (acme.sh, Certbot…) | Zertifikat wird vom Client ausgestellt; Einsatz per deploy-hook und reload HAProxy. |
| Lighttpd | Nein | Ja (über externen Client) | Externer Client | acme.sh / dehydrated; EAB wird vom Client gelöst. |
| IIS / Exchange (Windows) | Ja | Ja | Extern (win-acme, Certify The Web) | Vollständig automatisierbar; EAB unterstützt (DigiCert ACME). |
| Tomcat / Jetty / Java-Server | Nein | Ja (über externen Client) | Externer Client + Hooks | Konvertierung zu JKS/PKCS12; EAB wird vom Client gelöst. |
| Postfix / Dovecot / Exim | Nein | Ja (über externen Client) | Externer Client + Hooks | Einsatz über Skript; EAB wird vom Client gelöst. |
| Kubernetes (cert-manager) | Ja | Ja | Controller / Issuer | EAB-Unterstützung; auch für DigiCert ACME-Issuer geeignet. |
| Envoy Proxy | Experimentell | Teilweise (über externe Manager) | Integration über SDS/cert-manager | ACME wird von einem externen Controller gelöst; EAB abhängig vom Client. |
| Cloud-Plattformen (Cloudflare / AWS / GCP) | Ja (eigene Verwaltung) | Intern (außerhalb des Standard-EAB) | Cloud-gemanagt | Für DigiCert ACME nutzen Sie einen externen Client außerhalb dieser Dienste. |
Fazit
ACME können Sie praktisch überall zur Automatisierung von Zertifikaten nutzen. Grundlegende Anleitungen finden Sie in unserem Hilfe-Bereich. Sollten Sie irgendwelche Probleme oder Fragen zur Nutzung haben, zögern Sie nicht, unsere Kundenunterstützung zu kontaktieren.
Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus
e-mail: jindrich.zechmeister(at)zoner.cz
