SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 18. Déployer et gérer le service ACME dans IdM

L'environnement de gestion automatisée des certificats (ACME) est un protocole de validation automatisée des identifiants et d'émission de certificats. Son objectif est d'améliorer la sécurité en réduisant la durée de vie des certificats et en évitant les processus manuels dans la gestion du cycle de vie des certificats.

Grâce à RHEL Identity Management (IdM), l'administrateur peut facilement déployer et gérer le service ACME à l'échelle de la topologie à partir d'un seul système.

18.1. Le service ACME dans l'IdM

ACME utilise un mécanisme d'authentification par défi et réponse pour prouver qu'un client a le contrôle d'un identifiant. Dans ACME, un identifiant est une preuve de propriété utilisée pour obtenir un certificat en résolvant un défi. Dans le cadre de la gestion de l'identité (IdM), ACME prend actuellement en charge les défis suivants :

  • dns-01 où le client crée des enregistrements DNS pour prouver qu'il a le contrôle de l'identifiant
  • http-01 où le client fournit une ressource HTTP pour prouver qu'il a le contrôle de l'identifiant

Dans IdM, le service ACME utilise le répondeur ACME de l'ICP. Le sous-système ACME est automatiquement déployé sur chaque serveur d'autorité de certification dans le déploiement IdM, mais il ne répondra pas aux demandes tant que l'administrateur ne l'aura pas activé. Les serveurs sont découverts à l'aide du nom ipa-ca.DOMAIN. Tous les serveurs CA IdM sont enregistrés sous ce nom DNS, de sorte que les demandes leur sont adressées de manière équilibrée par round-robin.

L'ACME est également déployé, mais désactivé, lorsque l'administrateur met à niveau un serveur à l'aide de la commande ipa-server-upgrade.

ACME fonctionne comme un service distinct au sein d'Apache Tomcat. Les fichiers de configuration d'ACME sont stockés à l'adresse /etc/pki/pki-tomcat/acme et l'ICP enregistre les informations relatives à ACME à l'adresse /var/log/pki/pki-tomcat/acme/.

IdM utilise le profil acmeIPAServerCert lors de l'émission de certificats ACME. La période de validité des certificats émis est de 90 jours. Pour cette raison, il est fortement recommandé de configurer ACME pour qu'il supprime automatiquement les certificats expirés afin qu'ils ne s'accumulent pas dans l'autorité de certification, ce qui pourrait avoir un effet négatif sur les performances.

Il existe différents clients ACME. Pour une utilisation avec RHEL, le client choisi doit prendre en charge les défis dns-01 et http-01. Actuellement, les clients suivants ont été testés et sont connus pour fonctionner avec ACME dans RHEL :

  • certbot avec les défis http-01 et dns-01
  • mod_mdqui ne prend en charge que le défi http-01
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.