DigiCert hat den ACME-Client DC-ACME zur Automatisierung vorgestellt.

02.01.2026 | Jindřich Zechmeister

Der neue ACME-Client DC-ACME von DigiCert ermöglicht die automatische Erneuerung von Zertifikaten ohne Tools von Drittanbietern. Sie müssen sich daher nicht auf Certbot oder andere Programme verlassen. Die ACME-EAB-Daten erhalten Sie einfach in Ihrem SSLmarket-Konto und können den Client sofort verwenden.

Neuer ACME-Client direkt von CA DigiCert

Die Automatisierung der Verwaltung von TLS-Zertifikaten ist in den letzten Jahren zu einem integralen Bestandteil des Betriebs von Server-Infrastrukturen geworden. Das ACME-Protokoll (Automatic Certificate Management Environment) ermöglicht die automatisierte Ausstellung, Installation und Erneuerung von Zertifikaten, ohne dass manuelle Eingriffe erforderlich sind. Bei kommerziellen Zertifizierungsstellen basierte diese Automatisierung jedoch lange Zeit hauptsächlich auf der Verwendung von ACME-Clients von Drittanbietern.

DigiCert erweitert dieses Modell nun erheblich. Das Unternehmen hat seinen eigenen offiziellen ACME-Client namens DC-ACME vorgestellt, der es ermöglicht, die ACME-Dienste von DigiCert ohne den Einsatz externer Werkzeuge zu nutzen. Installationsskripte und Dokumentation sind auf der offiziellen Seite DigiCert Automation Service verfügbar.

ACME bei DigiCert: Einfacheres Betriebsmodell

Bisher empfahl DigiCert die Verwendung standardmäßiger ACME-Clients, die mit dem ACMEv2-Protokoll kompatibel sind. Dieser Ansatz wird weiterhin unterstützt und bleibt voll funktionsfähig. In der Praxis bedeutete dies jedoch die Notwendigkeit, einen geeigneten Client auszuwählen, ihn zu installieren, zu warten und in die Betriebsumgebung zu integrieren.

DC-ACME stellt eine Alternative dar, die diese Schritte vereinheitlicht. Es handelt sich um den offiziellen ACME-Client direkt von DigiCert, der so konzipiert ist, dass er vollständig mit dessen ACME-Dienst kompatibel ist und gleichzeitig ein vorhersehbares Verhalten auf verschiedenen Plattformen bietet. Installationsskripte sind sowohl für Linux als auch Windows verfügbar, einschließlich der Unterstützung als Systemdienst.

Details zur Architektur und den Prinzipien der ACME-Automatisierung bei DigiCert sind in der offiziellen Dokumentation beschrieben: DigiCert – ACME Automation Service.

External Account Binding (EAB) als Teil der Sicherheit

Teil der ACME-Integration bei DigiCert ist die Verwendung des Mechanismus External Account Binding (EAB). Dieser dient dazu, das ACME-Konto sicher mit einer bestimmten Kundenberechtigung und Produkteinstellung zu verknüpfen. Bei der Registrierung eines ACME-Kontos werden zwei Informationen verwendet – Key ID (KID) und HMAC-Schlüssel.

Für Kunden von SSLmarket ist das Abrufen der EAB-Informationen sehr einfach. Die ACME EAB-Anmeldedaten sind direkt im Kundenkonto von SSLmarket verfügbar, wo sie generiert und anschließend zur Konfiguration des DC-ACME-Clients verwendet werden können.

Domain-Validierung und Unterstützung für DNS-01

Die Automatisierung der Zertifikatsausstellung basiert auf der Validierung des Domainbesitzes durch die im ACME-Protokoll definierten Validierungsmethoden. Da in Zukunft zur Erlangung eines Zertifikats nur noch automatisierte Validierungsmethoden genutzt werden müssen, ist es ratsam, die im ACME verfügbaren Methoden HTTP und DNS zu verwenden. In Umgebungen, in denen es nicht geeignet oder möglich ist, HTTP-Dienste direkt ins Internet zu stellen, wird häufig die DNS-01-Methode verwendet.

DigiCert stellt umfangreiche Dokumentation zur Integration von DNS-01-Herausforderungen mit DC-ACME bereit, einschließlich Anleitungen für einzelne DNS-Anbieter. Dies erleichtert die Implementierung der Automatisierung auch in komplexeren Infrastrukturen erheblich, einschließlich Unterstützung für Wildcard-Zertifikate.

Eine Übersicht und technische Details zu DNS-01-Herausforderungen sind hier verfügbar: DC-ACME DNS-01 Challenge Guide.

Fazit

Der neue ACME-Client DC-ACME bietet DigiCert-Kunden eine weitere Möglichkeit, die automatisierte Zertifikatsverwaltung mit geringerer betrieblicher Komplexität zu implementieren. Die Kompatibilität mit dem ACMEv2-Standard bleibt erhalten, während gleichzeitig ein von der Zertifizierungsstelle offiziell unterstütztes Tool hinzukommt.

Kunden von SSLmarket können diesen Ansatz ohne komplizierte Konfiguration nutzen – die erforderlichen EAB-Informationen sind im Kundenkonto verfügbar und DC-ACME kann mit offiziellen Installationsskripten eingesetzt werden. Für Organisationen, die nach einer stabilen und vorhersehbaren Lösung zur Automatisierung von Zertifikaten suchen, ist dies ein interessanter und praktischer Schritt nach vorne.

---