DigiCert ha presentato il client ACME DC-ACME per l'automazione

02/gen/2026 | Jindřich Zechmeister

Il nuovo client ACME DC-ACME di DigiCert consente di rinnovare automaticamente i certificati senza ricorrere a strumenti di terze parti. Non è quindi più necessario affidarsi a Certbot o ad altri programmi. Le credenziali ACME EAB si ottengono facilmente dal proprio account SSLmarket, permettendo di iniziare a utilizzare il servizio fin da subito.

Nuovo cliente ACME direttamente da CA DigiCert

L'automazione della gestione dei certificati TLS è diventata una parte comune nell'operatività dell'infrastruttura server negli ultimi anni. Il protocollo ACME (Automatic Certificate Management Environment) consente l'emissione, l'installazione e il rinnovo automatizzati dei certificati senza la necessità di interventi manuali. Tuttavia, per le autorità di certificazione commerciali, questa automazione è stata a lungo basata sull'uso di client ACME di terze parti.

DigiCert ora espande significativamente questo modello. Ha introdotto il proprio client ACME ufficiale denominato DC-ACME, che consente di utilizzare i servizi ACME di DigiCert senza la necessità di implementare strumenti esterni. Gli script di installazione e la documentazione sono disponibili sulla pagina ufficiale DigiCert Automation Service.

ACME da DigiCert: un modello operativo semplificato

Fino ad ora, DigiCert ha raccomandato l'uso di client ACME standard compatibili con il protocollo ACMEv2. Questo approccio è ancora supportato e rimane pienamente funzionale. In pratica, tuttavia, significa dover scegliere un client adatto, installarlo, mantenerlo e integrarlo nell'ambiente operativo.

DC-ACME rappresenta un'alternativa che unifica questi passaggi. Si tratta di un client ACME ufficiale direttamente da DigiCert, progettato per essere pienamente compatibile con il suo servizio ACME e contemporaneamente fornire un comportamento prevedibile attraverso le piattaforme. Sono disponibili script di installazione per Linux e Windows, compreso il supporto per l'esecuzione come servizio di sistema.

I dettagli sull'architettura e i principi dell'automazione ACME da DigiCert sono descritti nella documentazione ufficiale: DigiCert – ACME Automation Service.

External Account Binding (EAB) come parte della sicurezza

Parte dell'integrazione ACME da DigiCert è l'uso del meccanismo External Account Binding (EAB). Serve per collegare in sicurezza un account ACME con un'autorizzazione cliente specifica e le impostazioni del prodotto. Durante la registrazione dell'account ACME vengono utilizzati due dati – Key ID (KID) e chiave HMAC.

Per i clienti di SSLmarket l'ottenimento dei dati EAB è molto semplice. Le credenziali ACME EAB sono disponibili direttamente nell'account cliente di SSLmarket, dove possono essere generate e successivamente utilizzate durante la configurazione del client ACME DC-ACME.

Convalida dei domini e supporto DNS-01

L'automazione dell'emissione dei certificati si basa sulla verifica della proprietà del dominio tramite metodi di validazione definiti dal protocollo ACME. Poiché in futuro sarà necessario utilizzare solo metodi automatici di verifica per ottenere il certificato, è bene iniziare a utilizzare i metodi HTTP e DNS disponibili in ACME. In ambienti dove non è opportuno o possibile esporre servizi HTTP direttamente a Internet, si utilizza molto spesso il metodo DNS-01.

DigiCert fornisce un'ampia documentazione sull'integrazione delle sfide DNS-01 per DC-ACME, compresi i tutorial per i singoli fornitori DNS. Questo facilita enormemente l'implementazione dell'automazione anche in infrastrutture più complesse, incluso il supporto per i certificati wildcard.

Una panoramica e dettagli tecnici sulle sfide DNS-01 sono disponibili qui: DC-ACME DNS-01 Challenge Guide.

Conclusione

Il nuovo client ACME DC-ACME rappresenta per i clienti DigiCert un'altra opzione per implementare la gestione automatizzata dei certificati con una minore complessità operativa. Rimane compatibile con lo standard ACMEv2, tuttavia si aggiunge uno strumento ufficialmente supportato direttamente dall'autorità di certificazione.

I clienti di SSLmarket possono sfruttare questo approccio senza configurazione complessa – i dati EAB necessari sono disponibili nell'account cliente e DC-ACME può essere implementato tramite gli script di installazione ufficiali. Per le organizzazioni che cercano una soluzione di automazione dei certificati stabile e prevedibile, si tratta di un interessante e pratico passo in avanti.