ACME e EAB: supporto per i server web (stato al 10/2025)
14/ott/2025 | Jindřich Zechmeister
Scopri come utilizzare ACME ed EAB per automatizzare i certificati TLS. Confrontiamo il supporto su Nginx, Apache, LiteSpeed e altri, consigli per DigiCert e implementazione senza problemi.
ACME serve per gestire il ciclo di vita dei certificati - dalla richiesta e installazione fino al loro rinnovo. Puoi utilizzare ACME su SSLmarket da diversi anni. Diamo un'occhiata insieme allo stato del supporto ACME nei vari server web.
Protocollo ACME e server web
Il protocollo ACME era inizialmente utilizzato separatamente sotto forma di client, dove tramite qualche programma veniva emesso un certificato TLS e questo "client ACME" lo installava anche sul server web. Il client ACME più conosciuto è Certbot e il supporto iniziale per il server web Apache si è poi esteso, inclusi Windows Server e IIS.
La tendenza attuale è l'integrazione del client ACME direttamente nel server web in modo che il certificato venga ottenuto e distribuito in modo compatibile e non richieda ulteriori software o interventi. Hai così "tutto in uno". Un esempio di server web con client ACME incorporato è Caddy o OpenLiteSpeed. Di recente, anche Nginx ha ottenuto il supporto nativo per ACME, ma attualmente non supporta EAB, quindi non può essere utilizzato per DigiCert.
Cos'è l'EAB in ACME
L'EAB (External Account Binding) è un meccanismo in ACME che associa il tuo client ACME a un account specifico presso un'autorità di certificazione. Quando si crea un account ACME, il client utilizza una coppia di credenziali della CA - il identificativo KID e una chiave segreta HMAC - e così si "lega" all'account della tua organizzazione. Grazie a ciò, la CA sa chi sta richiedendo il certificato, può applicare delle regole interne e rilasciare anche certificati aziendali o a pagamento secondo le impostazioni dell'account. L'EAB non sostituisce la verifica del dominio (HTTP-01/DNS-01); assicura solo che la richiesta provenga da un account autorizzato.
Su SSLmarket troverai una funzione unica: una panoramica di tutti i certificati emessi tramite ACME, che importeremo nel tuo account utente con tutti i metadati e le informazioni.
Supporto attuale per ACME nei server web
Nella tabella qui sotto puoi vedere una panoramica dell'integrazione del protocollo ACME nei vari server web. La maggior parte di essi ha già integrato ACME e se supportano anche EAB, puoi utilizzare certificati da DigiCert e automatizzarli. Gli accessi ACME sono facilmente ottenibili gratuitamente nel tuo account SSLmarket.
| Server web / Piattaforma | Client ACME nativo | Supporto EAB | Tipo di implementazione | Nota / Client interno |
|---|---|---|---|---|
| Apache HTTP Server | No | Sì (tramite client esterno) | Esterno (Certbot, acme.sh, lego…) | Plugin es. certbot-apache; EAB gestito dal client (funziona con DigiCert ACME). |
| NGINX (fino a 1.24) | No | Sì (tramite client esterno) | Esterno (Certbot, acme.sh…) | Versioni precedenti di NGINX senza ACME nativo. |
| NGINX (da 1.25) | Sì | No | Nativo | ACME nativo senza EAB; per DigiCert utilizza un client esterno. |
| LiteSpeed / OpenLiteSpeed | Sì | Sì | Nativo (acme.sh internamente) | Client integrato basato su acme.sh; EAB completamente supportato (DigiCert ACME). |
| Caddy | Sì | Sì | Nativo | Gestione certificati integrata incl. EAB. |
| Traefik | Sì | Sì | Nativo | Gestione certificati interna; EAB supportato. |
| HAProxy | Parzialmente (tramite hook) | Sì (tramite client esterno) | Client esterno (acme.sh, Certbot…) | Certificato emesso dal client; distribuzione tramite hook e ricarica di HAProxy. |
| Lighttpd | No | Sì (tramite client esterno) | Client esterno | acme.sh / dehydrated; EAB gestito dal client. |
| IIS / Exchange (Windows) | Sì | Sì | Esterno (win-acme, Certify The Web) | Completamente automatizzabile; EAB supportato (DigiCert ACME). |
| Tomcat / Jetty / Server Java | No | Sì (tramite client esterno) | Client esterno + hook | Conversione in JKS/PKCS12; EAB gestito dal client. |
| Postfix / Dovecot / Exim | No | Sì (tramite client esterno) | Client esterno + hook | Distribuzione tramite script; EAB gestito dal client. |
| Kubernetes (cert-manager) | Sì | Sì | Controller / issuer | Supporto EAB; adatto anche per issuer DigiCert ACME. |
| Envoy Proxy | Sperimentale | Parzialmente (tramite gestori esterni) | Integrazione tramite SDS/cert-manager | ACME gestito da controller esterno; EAB secondo il client. |
| Piattaforme Cloud (Cloudflare / AWS / GCP) | Sì (gestione propria) | Interno (al di fuori di EAB standard) | Gestito dal Cloud | Per DigiCert ACME utilizza un client esterno al di fuori di questi servizi. |
Conclusione
Puoi utilizzare ACME per automatizzare i certificati praticamente ovunque. Puoi trovare le guide di base nella nostra guida. Se hai problemi o domande riguardo l'uso, non esitare a contattare il nostro supporto clienti.
Specialista per i certificati SSL di sicurezza
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz
