什么是智能手机:什么是ACME？什么是国密ACME？

上一期我们讲了SSL证书是如何可靠地生产出来的，整个Web PKI生态是如何通过浏览器的可信根认证计划和证书透明计划来保障SSL证书的安全可靠供给的什么是智能手机。产品生产出来当然是为了应用，SSL证书主要用于加密，其整个使用过程是这样：

用户向CA申请SSL证书什么是智能手机，注册账户、下单付款等

在Web服务器或者在CA系统在线生成证书签名请求文件(CSR)什么是智能手机，并把CSR粘贴到在线申请页面中

选择以下三种方式验证域名控制权：

a) 文件验证方式：把CA提供的验证文件上传到Web服务器的指定目录中(/.well-known/pki-validation/)中

b) DNS验证方式：把CA 提供的验证码配置到待验证的域名CNAME记录中

c) 邮箱验证方式：选择5个专用域名管理员邮箱收取CA系统发送的验证码什么是智能手机，收到后把验证码粘贴到验证页面上提交验证

完成以上之一的验证后什么是智能手机，等待CA系统自动签发(DV SSL)或人工签发(IV/OV/EV)SSL证书

证书签发后下载并按照各种Web服务器的要求配置好证书链后安装部署SSL证书

如果部署国密SSL证书什么是智能手机，还得安装国密算法支持模块，才能启用国密SSL证书

只有经过了以上5个或6个步骤后才能启用证书市场的两个怪现象： 为何用户喜欢部署通配多域证书？因为多个域名和各种子域名的网站只需申请一次证书就能用这一张证书搞定，解决证书申请过程难的问题

什么是智能手机

。但是，这是非常不安全的证书部署方式，因为一旦一台服务器被黑而需要吊销这张SSL证书，会导致所有服务器的证书都需要重新部署！这种方式同时也大大增加了SSL证书私钥泄露而带来的安全风险。 为何那么多的政府网站都没有部署SSL证书，因为一个省的政务云平台要管理几千甚至几万个网站，人工部署SSL证书根本是不可能做到的事情！不是不想部署SSL证书，而且这个过程太难了

什么是智能手机

。绝对不是经费的问题，是部署难的问题！ 所以，要想普及使用SSL证书实现就闪亮登场了！

英文单词“acme”是“顶峰、顶点、最高点”的意思什么是智能手机。而在计算机网络界则是一个非常有名的国际标准协议的名称，“ACME”是Automated Certificate Management Environment (自动化证书管理环境)的缩写。这是一个RFC 8555国际标准，用于自动化申请、部署和续期SSL证书，包括ACME客户端和ACME服务端。目前，全球已经在谷歌证书透明日志系统备案的SSL证书总量高达92亿张，其中自动化申请和部署的总量已达81亿张，占比达到88%，可见自动化部署SSL证书已经在全球范围成为了常态方式，不仅是用户需要简单易用地实现证书而造成业务系统瘫痪的巨大安全隐患！

那么，ACME是如何做到的？简单地讲，ACME就是把以上的5个步骤全部实现了自动化当然是用一个程序来实现，那就是ACME客户端软件，由这个软件来实现SSL证书的在线申请、生成CSR文件、提交CSR文件到CA系统、在Web服务器上准备好验证文件后通知CA系统来验证(文件验证方式)、CA系统完成验证后签发证书给ACME客户端，ACME客户端拿到证书后把SSL证书和私钥文件放置到Web服务器要求的位置即可什么是智能手机。整个过程都是由ACME客户端同CA系统的ACME服务端直接对话自动化完成，这个自动化流程遵循ACME国际标准RFC8555，需要CA系统改造支持ACME协议，提供ACME API服务。

这就是ACME，一个只用了3年时间就成功把欧美网站的SSL证书部署率从40%提升到80%的大功臣！当然，这个技术也已经开始在我国快速普及中，现在包括清华大学的很多高校官网都已经启用了ACME服务来实现自动化证书申请和部署什么是智能手机。但是，这个非常好的技术无法用于国密SSL证书的自动化部署，这一条普及SSL证书的阳关大道只能通向RSA算法的加密！

要通向普及国密SSL证书实现国密算法的的最关键的不同！ 展开全文

还有两个不同之处：一是国密ACME实现的是自动化申请和部署国密SSL证书和国际SSL证书，双算法双SSL证书，而不是单国际算法SSL证书，因为目前的加密。 目前国密ACME解决方案主要有三种可选的方案：一是在Web服务器上安装国密ACME客户端软件；二是在Web服务器前面部署国密服务，为客户端软件、网关和云服务提供自动化证书申请和签发服务。

什么是智能手机？什么是国密ACME？" >

谷歌在3月3日提出了缩短SSL证书有效期为90天的计划，明确指出了这是为了进一步推动ACME技术的普及应用，促进和提高整个Web PKI生态系统的敏捷性、安全性、稳定性和简单性，为下一步轻松过渡到抗量子算法做准备什么是智能手机。由此可见，ACME有多重要，因为用户根本不可能每90天就要手动为网站申请和部署SSL证书，特别是有多个网站需要部署SSL证书的单位！当然，也由此可见推广和普及应用国密ACME非常紧迫，这是唯一一个能实现普及应用国密SSL证书的技术手段！

关于需要验证身份的IV/OV/EV SSL证书的自动化申请和部署，目前的RFC8555标准是建议用户采用绑定CA系统账户的方式来实现的什么是智能手机

。而最新计划更新ACME国际标准的ARI扩展项(ACME证书续期信息)不仅可以实现更加灵活地实现证书续期和证书吊销，更是可以用于自动化申请和部署IV/OV/EV SSL证书，用户在自动化获取DV SSL证书后，CA系统可以在完成了用户的身份认证后通知ACME客户端来重新申请OV SSL证书或EV SSL证书，使得OV/EV SSL证书一样可以分两步实现自动化！

标签： 什么 ACME