Automatiseer je certificaatbeheer met ACME

Elke instelling gebruikt TLS-certificaten voor het beveiligen van verbindingen met webservers. Via https worden deze versleuteld. Deze certificaten moeten geregeld vernieuwd worden, en hun looptijd wordt steeds korter. Daarom is het tijd om het beheer van certificaten te automatiseren. Met ACME en SURFcertificaten kan dit zonder zorgen.  

Voorheen was een geldigheidsduur voor certificaten van één jaar gangbaar, maar de komende jaren wordt deze teruggebracht naar slechts 47 dagen. Dit maakt de handmatige uitgifte en domeinvalidatie onwerkbaar. Met het open ACME-protocol met EAB (External Account Binding) kan certificaatbeheer volledig geautomatiseerd worden.

Wat is ACME en hoe werkt de techniek?

ACME (Automated Certificate Management Environment) is een open standaard voor het beheren van certificaten. Het is een API bij de certificaatautoriteit (CA) waarmee gebruikers – clients, meestal webservers of proxies – op geautomatiseerde wijze certificaten kunnen aanvragen, vernieuwen of intrekken.

Meer over EAB (External Account Binding) 

EAB is wat ACME geschikt maakt voor grote organisaties. Bij gebruik is het niet meer zo dat elke server zijn eigen certificaat opvraagt en moet bewijzen dat hij de server is die hij zegt dat hij is. In plaats daarvan beheer je als ICT-afdeling welke servers wat mogen. Je houdt centraal het overzicht. Bovendien kun je de validatie van tevoren doen en deze koppelen aan de EAB credentials zodat niet elke server dat hoeft te kunnen. 

Welke keuzes maak je bij ACME-gebaseerd certificaatbeheer? 

ACME-eerst (of automatisch) certificaatbeheer vraagt om een andere aanpak. Je hoeft niet meer elk certificaat apart te beheren en centraal goed te keuren. In plaats daarvan beheer je de rechten van elke client; welke certificaten hij mag aanvragen. 

Hoe implementeer je ACME op je eigen servers en bij leveranciers? 

Inventariseer waar je certificaten gebruikt, zorg voor een werkende ACME client per appliance, beheer de EAB credentials en het vernieuwen gaat automatisch. Voor leveranciers is dat extra makkelijk: geef ze ACME EAB credentials alléén voor de subdomeinen die ze nodig hebben, en verder kunnen ze alles zelf regelen. 
Meer over de implementatie kun je lezen in een artikel van NCSC.

Wat zijn aandachtspunten bij de overgang naar kortere geldigheidsduur? 

Sommige leveranciers ondersteunen ACME en/of EAB niet. Gelukkig komt ACME zeer binnenkort op de 'Pas toe of Leg Uit' lijst van de overheid. Bij elke inkoop door de overheid is dan de ondersteuning van ACME verplicht.  

SURFcertificaten 

Is jouw instelling aangesloten bij SURF? Dan kun je voor een vast laag maandbedrag onbeperkt gebruikmaken van server-, client- en authenticatiecertificaten met SURFcertificaten. Deze SURF-dienst ondersteunt ACME.  
Bij vragen kun je direct terecht bij de beheerders van SURF. We denken graag mee over automatisering of specifieke toepassingen.