Chapitre 18. Déployer et gérer le service ACME dans IdM

ACME utilise un mécanisme d'authentification par défi et réponse pour prouver qu'un client a le contrôle d'un identifiant. Dans ACME, un identifiant est une preuve de propriété utilisée pour obtenir un certificat en résolvant un défi. Dans le cadre de la gestion de l'identité (IdM), ACME prend actuellement en charge les défis suivants :

Dans IdM, le service ACME utilise le répondeur ACME de l'ICP. Le sous-système ACME est automatiquement déployé sur chaque serveur d'autorité de certification dans le déploiement IdM, mais il ne répondra pas aux demandes tant que l'administrateur ne l'aura pas activé. Les serveurs sont découverts à l'aide du nom ipa-ca.DOMAIN. Tous les serveurs CA IdM sont enregistrés sous ce nom DNS, de sorte que les demandes leur sont adressées de manière équilibrée par round-robin.

L'ACME est également déployé, mais désactivé, lorsque l'administrateur met à niveau un serveur à l'aide de la commande ipa-server-upgrade.

ACME fonctionne comme un service distinct au sein d'Apache Tomcat. Les fichiers de configuration d'ACME sont stockés à l'adresse /etc/pki/pki-tomcat/acme et l'ICP enregistre les informations relatives à ACME à l'adresse /var/log/pki/pki-tomcat/acme/.

IdM utilise le profil acmeIPAServerCert lors de l'émission de certificats ACME. La période de validité des certificats émis est de 90 jours. Pour cette raison, il est fortement recommandé de configurer ACME pour qu'il supprime automatiquement les certificats expirés afin qu'ils ne s'accumulent pas dans l'autorité de certification, ce qui pourrait avoir un effet négatif sur les performances.

Il existe différents clients ACME. Pour une utilisation avec RHEL, le client choisi doit prendre en charge les défis dns-01 et http-01. Actuellement, les clients suivants ont été testés et sont connus pour fonctionner avec ACME dans RHEL :