Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Technical Guide Intermediate 12 min read

Le protocole ACME

Le protocole Automatic Certificate Management Environment (ACME) est la norme IETF qui permet d'automatiser entièrement l'émission et le renouvellement des certificats. Désormais standardisé par l'IETF (RFC 8555), ACME est indispensable à toute organisation qui se prépare aux certificats TLS d'une durée de 47 jours. Ce guide explique le fonctionnement d'ACME, ses types de défis et son déploiement à l'échelle de l'entreprise.

En bref

Type
Technical Guide
Niveau
Intermediate
Suivant
Des durées de vie de certificats plus courtes

Vue d'ensemble

Le protocole Automatic Certificate Management Environment (ACME) est une norme IETF définie dans la RFC 8555 qui automatise la vérification de la propriété d'un domaine et l'émission des certificats numériques. Il a été développé à l'origine par l'Internet Security Research Group (ISRG) et est devenu depuis la norme de facto pour les interactions automatisées avec une autorité de certification.

ACME repose sur un protocole JSON sur HTTPS entre un client ACME (qui s'exécute sur votre serveur) et un serveur ACME (la CA). Le client prouve qu'il contrôle le domaine via des défis automatisés, le serveur vérifie cette preuve, puis émet un certificat signé. L'ensemble du processus se déroule sans intervention humaine et se termine généralement en quelques secondes.

Depuis sa standardisation en 2019, ACME a largement dépassé son cadre d'origine. Les CA privées, les plateformes PKI d'entreprise et les fournisseurs cloud proposent désormais des points d'accès ACME, ce qui en fait la norme de facto pour la gestion automatisée des certificats.

Étapes clés

1

Enregistrement du compte

Le client ACME génère une paire de clés de compte et s'enregistre auprès de la CA. Cette clé de compte sert à signer toutes les requêtes ultérieures, ce qui assure l'authentification sans mot de passe. Le client envoie une requête newAccount avec un e-mail de contact.

2

Création de la commande

Le client soumet une requête newOrder en listant les identifiants (noms de domaine) que le certificat doit couvrir. La CA renvoie un objet de commande contenant les URL d'autorisation pour chaque identifiant.

3

Autorisation et défi

Pour chaque domaine, le client récupère l'objet d'autorisation, qui contient un ou plusieurs défis. Le client choisit un type de défi (HTTP-01, DNS-01 ou TLS-ALPN-01), met en place la preuve requise et notifie la CA pour validation.

4

Validation

La CA vérifie la réponse au défi. Pour HTTP-01, elle récupère une URL spécifique sur le domaine. Pour DNS-01, elle interroge un enregistrement TXT spécifique. Si la validation réussit, l'autorisation est marquée comme valide.

5

Finalisation et téléchargement

Une fois toutes les autorisations valides, le client envoie un CSR à l'URL de finalisation. La CA signe le certificat et le met à disposition au téléchargement. Le client installe le certificat et sa chaîne sur le serveur cible.

Composants clés

HTTP-01

La CA récupère un fichier jeton à l'adresse http://votredomaine/.well-known/acme-challenge/{'{'}token{'}'}. C'est le défi le plus simple, qui ne requiert qu'un serveur HTTP sur le port 80.

DNS-01

La CA interroge un enregistrement TXT _acme-challenge.votredomaine. C'est le défi le plus polyvalent : il prend en charge les wildcards et fonctionne pour les serveurs sans accès HTTP public.

TLS-ALPN-01

La CA se connecte en TLS sur le port 443 et vérifie un certificat auto-signé spécial via l'extension ALPN. Utile lorsque vous contrôlez le port 443, mais ni le port 80 ni le DNS.

Comment nous aidons

Evertrust & Le protocole ACME

Serveur ACME privéEvertrust PKI intègre un serveur ACME qui émet des certificats à partir de votre CA privée. Utilisez des clients ACME standard (certbot, cert-manager, acme.sh) pour automatiser l'émission de certificats internes, sans limite de débit et avec un contrôle de politique complet.

Visibilité unifiéeEvertrust CLM suit les certificats émis via ACME aux côtés de ceux émis par d'autres protocoles (EST, CMP, SCEP, manuel). Vous obtenez une vue unique sur l'ensemble des certificats, quelle que soit la méthode d'émission.

Application des politiques d'entrepriseDéfinissez quels domaines, types de clés, durées de validité et SAN sont autorisés via ACME. Limitez la prolifération de certificats tout en conservant la rapidité et la simplicité de l'émission automatisée.

Parler à un expert Découvrir Evertrust PKI
Gestion automatisée des certificats Des durées de vie de certificats plus courtes