Erste SchrittePKI verstehenZertifizierungsstellenZertifikate ausstellenZertifikat-LebenszyklusOCSPACME-ProtokollAPI-ZugangMCP-IntegrationWorkspaces

ACME-Protokoll

Certman unterstützt das Automatic Certificate Management Environment (ACME)-Protokoll (RFC 8555), das die automatisierte Zertifikatsausstellung mit Standard-ACME-Clients wie Certbot, acme.sh, Caddy und Traefik ermöglicht.

Funktionsweise

ACME automatisiert den Zertifikatslebenszyklus. Anstatt Zertifikate manuell über das Dashboard oder die API auszustellen, können Ihre Server Zertifikate automatisch anfordern und erneuern:

  1. Erstellen Sie eine ACME-Berechtigung im Dashboard, die an eine bestimmte CA gebunden ist
  2. Konfigurieren Sie Ihren ACME-Client mit der Directory-URL und den EAB-Zugangsdaten
  3. Der Client weist die Domain-Kontrolle über HTTP-01- oder DNS-01-Challenges nach
  4. Certman stellt das Zertifikat von der CA aus, die mit Ihrer Berechtigung verknüpft ist

ACME-Berechtigungen erstellen

Navigieren Sie zu ACME in der Dashboard-Seitenleiste, um Berechtigungen zu erstellen. Jede Berechtigung ist an eine bestimmte CA gebunden und besteht aus:

  • Key ID (kid) — Identifiziert die Berechtigung und bestimmt, welche CA Zertifikate ausstellt
  • HMAC-Schlüssel — Geheimnis zur Authentifizierung der Kontoregistrierung

Wichtig: Der HMAC-Schlüssel wird nur einmal bei der Erstellung angezeigt. Speichern Sie ihn sicher. Die Key ID der Berechtigung bestimmt, welche CA verwendet wird — Sie müssen die CA nicht in der URL angeben.

Directory-URL

Certman verwendet einen einzigen ACME-Directory-Endpunkt für alle CAs:

https://acme.certman.app/directory

Die CA wird durch die EAB-Berechtigung bestimmt, die Sie bei der Kontoregistrierung verwenden — dieselbe Directory-URL funktioniert für alle Ihre ACME-Berechtigungen.

Challenge-Typen

Certman unterstützt zwei Challenge-Typen zum Nachweis der Domain-Kontrolle:

  • HTTP-01 — Weisen Sie die Kontrolle nach, indem Sie eine Datei unter http://domain/.well-known/acme-challenge/token bereitstellen. Funktioniert mit jedem Webserver. Wird für die meisten Zertifikate verwendet.
  • DNS-01 — Weisen Sie die Kontrolle nach, indem Sie einen TXT-Eintrag unter _acme-challenge.domain erstellen. Erforderlich für Wildcard-Zertifikate. Funktioniert auch, wenn HTTP nicht zugänglich ist.

Client-Konfiguration

Certbot

certbot certonly \
  --server https://acme.certman.app/directory \
  --eab-kid YOUR_KID \
  --eab-hmac-key YOUR_HMAC_KEY \
  --domain example.com \
  --preferred-challenges http

Für DNS-01-Challenges verwenden Sie --preferred-challenges dns.

acme.sh

# Konto mit EAB registrieren
acme.sh --register-account \
  --server https://acme.certman.app/directory \
  --eab-kid YOUR_KID \
  --eab-hmac-key YOUR_HMAC_KEY

# Zertifikat ausstellen
acme.sh --issue \
  --server https://acme.certman.app/directory \
  -d example.com \
  --webroot /var/www/html

Sie müssen das Konto nur einmal registrieren. Nachfolgende Anfragen verwenden die gespeicherten Kontoanmeldedaten.

Caddy

{
  acme_ca https://acme.certman.app/directory
  acme_eab {
    key_id YOUR_KID
    mac_key YOUR_HMAC_KEY
  }
}

example.com {
  # Ihre Site-Konfiguration
}

Caddy erhält und erneuert Zertifikate automatisch, wenn es mit EAB-Zugangsdaten konfiguriert ist.

Traefik

# traefik.yml
certificatesResolvers:
  certman:
    acme:
      caServer: https://acme.certman.app/directory
      email: you@example.com
      storage: /letsencrypt/acme.json
      eab:
        kid: YOUR_KID
        hmacEncoded: YOUR_HMAC_KEY
      httpChallenge:
        entryPoint: web

Referenzieren Sie den Resolver in Ihren Service-Labels mit traefik.http.routers.myrouter.tls.certresolver=certman.

Zertifikatsgültigkeit

Über ACME ausgestellte Zertifikate haben eine Standardgültigkeit von 90 Tagen, entsprechend den branchenüblichen Best Practices für automatisiertes Zertifikatsmanagement. Die meisten ACME-Clients erneuern Zertifikate automatisch, wenn sie sich dem Ablauf nähern (typischerweise bei 60 verbleibenden Tagen).

Plananforderungen

ACME ist für Pro- und Enterprise-Pläne verfügbar:

  • Pro — Bis zu 5 ACME-Berechtigungen pro CA
  • Enterprise — Unbegrenzte ACME-Berechtigungen

Einschränkungen

  • Passwortgeschützte CAs — ACME erfordert automatischen Zugriff auf den privaten Schlüssel der CA. CAs, die mit einer Passphrase geschützt sind (Zero-Trust-Modus), können nicht mit ACME verwendet werden.
  • Widerrufene CAs — ACME ist für widerrufene CAs deaktiviert. Es können keine neuen Zertifikate ausgestellt werden.