NGINX erhält native ACME-Integration | heise online

NGINX führt eine native Unterstützung für das ACME-Protokoll ein – ein wichtiger Schritt zur Vereinfachung und Automatisierung der Verwaltung von SSL/TLS-Zertifikaten. Das ACME-Protokoll (Automated Certificate Management Environment) wurde ursprünglich von der Internet Security Research Group im Rahmen des Let’s-Encrypt-Projekts entwickelt, um den zeitaufwendigen und fehleranfälligen Prozess beim Ausstellen und Erneuern digitaler Zertifikate zu automatisieren. Mit ACME können Webserver direkt mit Zertifizierungsstellen kommunizieren, um Zertifikate selbsttätig zu beantragen, zu validieren, zu erneuern oder zurückzuziehen, ohne dass Administratoren per Hand eingreifen müssen.

Keine externen Tools mehr

Mit der neuen NGINX-Implementierung lässt sich ACME direkt über NGINX-Direktiven konfigurieren. Verantwortlich dafür ist das neue Modul ngx_http_acme_module, das in Rust programmiert ist und als dynamisches Modul sowohl in der Open-Source-Version von NGINX als auch in der kommerziellen Plus-Lizenz von F5 verfügbar ist. Durch diese native Integration entfällt die bisher notwendige Nutzung externer Tools wie Certbot. So wollen die Entwickler Fehlerquellen und Sicherheitsrisiken reduzieren und die Plattformunabhängigkeit verbessern.

Die Einrichtung geht schnell vonstatten: Sie umfasst das Spezifizieren des ACME-Servers (zum Beispiel Let’s Encrypt), das Konfigurieren von Speicherbereichen für Zertifikate und Validierungsdaten sowie die Automatisierung der Zertifikatsausstellung und -erneuerung. Aktuell wird die HTTP-01-Challenge unterstützt, bei der ein Webserver den Besitz der Domain durch eine HTTP-Abfrage nachweist. Zukünftig sollen weitere Challenges wie TLS-ALPN oder DNS-01 folgen. Administratoren können mit einfachen NGINX-Direktiven definieren, für welche Domains Zertifikate bereitgestellt werden sollen, und NGINX kümmert sich um den gesamten Zertifikatslebenszyklus.

Zum Start befindet sich die ACME-Integration in einer Preview. Eine Anleitung findet sich in der Ankündigung von NGINX. Technische Details führt außerdem die Moduldokumentation auf GitHub auf.

(fo)