SSL证书自动化管理新生态：国密ACME的关键作用与发展前景-SSL证书资讯-ssl证书_免费ssl证书_https证书

一、SSL证书应用的传统流程及问题

SSL证书主要用于https加密，其传统的应用过程如下：

1.用户向CA申请SSL证书，这涉及注册账户、下单付款等操作。

2.在Web服务器或者CA系统在线生成证书签名请求文件（CSR），然后将CSR粘贴到在线申请页面。

3.选择域名控制权的验证方式：

（1）文件验证方式：把CA提供的验证文件上传到Web服务器的指定目录（/.well-known/pki-validation/）。

（2）DNS验证方式：把CA提供的验证码配置到待验证的域名CNAME记录中。

（3）邮箱验证方式：选择5个专用域名管理员邮箱收取CA系统发送的验证码，收到后粘贴到验证页面提交验证。

4.完成上述一种验证后，等待CA系统自动签发（DV SSL）或人工签发（IV/OV/EV）SSL证书。

5.证书签发后下载，按照各种Web服务器的要求配置好证书链后安装部署SSL证书。

6.如果是部署国密SSL证书，还需安装国密算法支持模块才能启用国密https加密服务。

经测试，工程师完成DV SSL证书的上述步骤至少需要1-3个小时，如果是其他类型证书耗时更长。这只是针对一个网站域名，如果涉及多个网站域名，如10个、100个甚至更多，工作量将非常巨大。这也导致了SSL证书市场存在两个现象：

1.通配多域证书受青睐但不安全

用户喜欢部署通配多域证书，因为多个域名和子域名只需一张证书即可。然而，这种方式存在很大风险，一旦一台服务器被黑需吊销证书时，所有服务器的证书都要重新部署，同时也大大增加了SSL证书私钥泄露的安全风险。

2.政府网站部署SSL证书困难

一个省的政务云平台要管理大量网站，人工部署SSL证书几乎不可能，这不是经费问题，而是部署难度太大。

二、ACME：SSL证书自动化管理的国际标准

要普及SSL证书实现https加密，人工申请和部署难以实现，尤其大量物联网设备也需部署SSL证书时，ACME应运而生。

“acme”在计算机网络界是著名国际标准协议的名称，是Automated Certificate Management Environment（自动化证书管理环境）的缩写，遵循RFC8555国际标准，用于自动化申请、部署和续期SSL证书，包括ACME客户端和ACME服务端。目前，全球在谷歌证书透明日志系统备案的SSL证书总量高达92亿张，其中自动化申请和部署的达81亿张，占比88%，自动化部署已成为全球常态。这不仅是因为用户需要简单实现https加密，也是大量物联网设备https加密的SSL证书只能自动化申请和部署的需求所致。ACME客户端软件可实现SSL证书在线申请、生成和提交CSR文件、准备验证文件并通知CA系统验证（文件验证方式）、接收CA系统签发的证书并放置到Web服务器指定位置，整个流程由ACME客户端与CA系统的ACME服务端对话自动化完成，不过CA系统需改造支持ACME协议并提供ACMEAPI服务。ACME仅用3年就将欧美网站的SSL证书部署率从40%提升到80%，在我国也逐渐普及，如清华大学等高校官网已启用ACME服务。但该技术无法用于国密SSL证书自动化部署。

三、国密ACME：支持国密算法的自动化证书管理生态

国密ACME系统由零信技术全球率先打造。它不仅是自动化证书管理环境，更是支持国密算法的自动化证书管理生态。因为现有的Web服务器、浏览器、CDN/WAF、证书透明日志系统等都不支持国密算法和国密SSL证书，要实现国密https加密自动化，整个基于RSA密码体系的生态系统都需支持国密算法。

国密ACME与国际ACME有以下关键不同：

1.国密ACME实现自动化申请和部署国密SSL证书和国际SSL证书（双算法双SSL证书），以满足当前https加密应用环境中自适应加密算法https加密的需求，无论用户是否使用国密浏览器都能无缝实现https加密。

2.国密ACME不仅提供ACME客户端，还需提供国密算法支持模块，且要为无法安装客户端软件和国密支持模块的Web服务器提供更多实现国密https加密的选择。

目前国密ACME解决方案主要有三种：

1.在Web服务器上安装国密ACME客户端软件。

2.在Web服务器前面部署国密HTTPS加密自动化网关，原Web服务器无需安装ACME客户端软件，零改造实现国密https加密。

3.启用国密HTTPS加密云服务，原Web服务器无需安装ACME客户端软件，只需做3次域名解析，完成CDN/WAF设置即可零改造实现国密https加密。这些方案都需要国密CA系统提供国密ACME服务。

四、ACME技术发展的相关推动因素

谷歌提出缩短SSL证书有效期为90天的计划，目的是推动ACME技术普及应用，提升整个Web PKI生态系统的敏捷性、安全性、稳定性和简单性，为过渡到抗量子算法做准备。可见ACME的重要性，多网站单位无法每90天手动申请和部署SSL证书。因此推广国密ACME也极为紧迫，这是普及国密SSL证书的关键技术手段。

对于需要验证身份的IV/OV/EV SSL证书自动化申请和部署，目前RFC8555标准建议采用绑定CA系统账户的方式，最新计划更新ACME国际标准的ARI扩展项不仅能更灵活地续期和吊销证书，还可用于自动化申请和部署IV/OV/EV SSL证书，用户获取DV SSL证书后，CA系统完成用户身份认证后可通知ACME客户端重新申请OV或EV SSL证书，实现OV/EV SSL证书分两步自动化。