ACME

ACME

ใบรับรองที่ต่ออายุอัตโนมัติ มาตรฐาน IETF สำหรับ TLS ระบบอัตโนมัติ

SSL.com รองรับโปรโตคอล ACME (RFC 8555) ซึ่งเป็นกลไกมาตรฐานอุตสาหกรรมสำหรับการทำงานแบบอัตโนมัติอย่างสมบูรณ์ TLS การออก การต่ออายุ และการเพิกถอนใบรับรอง ด้วยอายุการใช้งานของใบรับรองที่จำกัดไว้ที่ 200 วันและกำลังลดลงเรื่อยๆ ระบบอัตโนมัติของ ACME จึงกำลังเปลี่ยนจากสิ่งอำนวยความสะดวกไปสู่สิ่งจำเป็น

เริ่มต้นใช้งาน ACME ได้เลย ดูเอกสารของ ACME

มาตรฐานสำหรับการออกและการต่ออายุใบรับรองโดยอัตโนมัติ

ACME (Automated Certificate Management Environment) ACME เป็นมาตรฐานของ IETF (RFC 8555) ที่อนุญาตให้ไคลเอนต์ที่เข้ากันได้กับ ACME สามารถร้องขอ ตรวจสอบ ออก ต่ออายุ และเพิกถอนบัตรได้โดยอัตโนมัติ TLS ใบรับรองจาก CA ที่รองรับ ACME — โดยไม่ต้องมีการโต้ตอบจากมนุษย์หลังจากตั้งค่าเริ่มต้นเสร็จสิ้น

ACME คือโปรโตคอลที่ขับเคลื่อนการจัดการวงจรชีวิตของใบรับรองแบบอัตโนมัติในระดับขนาดใหญ่ โดยกำหนดขั้นตอนการเชื่อมต่อระหว่างไคลเอ็นต์ ACME และ CA — การตรวจสอบโดเมน การลงนามใบรับรอง การต่ออายุ — เพื่อให้กระบวนการทั้งหมดสามารถทำงานได้โดยไม่ต้องมีการควบคุมดูแล

SSL.com เป็น CA ที่ใช้งานร่วมกับ ACME ได้อย่างสมบูรณ์ ไคลเอนต์ ACME ใดๆ ก็ตาม — Certbot, ACME.sh, win-acme, Caddy, Traefik และอื่นๆ อีกหลายร้อยตัว — สามารถใช้ SSL.com เป็นจุดเชื่อมต่อ CA เพื่อออกและต่ออายุใบรับรองโดยอัตโนมัติได้ ปัจจุบัน การออกใบรับรอง ACME ครอบคลุม... DV (การตรวจสอบความถูกต้องของโดเมน) ใบรับรอง; การออกบัตร OV และ EV ผ่าน ACME จะเปิดให้บริการในเร็วๆ นี้ — ดู URL ของไดเร็กทอรีและแผนงานด้านล่าง

เหตุใด ACME จึงมีความสำคัญมากขึ้นเรื่อยๆ

⚠ บริบทอายุการใช้งานของใบรับรอง: มีผลบังคับใช้ตั้งแต่วันที่ 11 มีนาคม 2026 เป็นต้นไป สูงสุด TLS อายุการใช้งานของใบรับรองคือ 200 วันแอปเปิลได้เสนอให้ลดค่าใช้จ่ายลง 47 วันโดยได้รับอนุมัติจาก CA/B Forum แล้ว

อายุการใช้งานสูงสุด 200 วัน
  • ทีมที่มีใบรับรอง 100 ใบ ต้องดำเนินการต่ออายุใบรับรองประมาณ 183 ครั้งต่อปี
  • การต่ออายุด้วยตนเองบ่อยครั้งเช่นนี้ก่อให้เกิดความเสี่ยงต่อการหยุดชะงักของบริการ
  • ทีมปฏิบัติการที่ไม่มีระบบอัตโนมัติกำลังเผชิญกับแรงกดดันอย่างมากอยู่แล้ว
โดยมีอายุการใช้งานสูงสุด 47 วัน (ตามที่เสนอ)
  • ทีมงานเดิมที่ออกใบรับรอง 100 ใบ ต้องรับมือกับงานต่ออายุใบรับรองประมาณ 777 ครั้งต่อปี
  • การจัดการด้วยตนเองกลายเป็นสิ่งที่ทำได้ยากในทางปฏิบัติ
  • ระบบอัตโนมัติของ ACME กลายเป็นแนวทางเดียวที่ใช้งานได้จริงในระดับใหญ่

SSL.com รองรับ ACME ในปัจจุบัน ตั้งค่าเพียงครั้งเดียว — ต่ออายุอัตโนมัติตลอดอายุการใช้งานของโครงสร้างพื้นฐานของคุณ

ความสามารถที่สำคัญ

การออกบัตรอัตโนมัติ

ลูกค้าของ ACME จะขอใบรับรองจาก SSL.com โดยอัตโนมัติ โดยไม่ต้องมีการโต้ตอบกับพอร์ทัล ใบรับรองจะออกให้ภายในไม่กี่วินาทีหลังจากที่ ACME เชื่อมต่อสำเร็จ

การต่ออายุอัตโนมัติ

ใบรับรองจะต่ออายุอัตโนมัติก่อนหมดอายุโดยไม่ต้องมีการแทรกแซงจากมนุษย์ — ตั้งค่าเพียงครั้งเดียว ใช้งานได้ตลอดไป รองรับอายุการใช้งานใบรับรอง 200 วัน และ 47 วันในอนาคต

การเพิกถอนอัตโนมัติ

ใบรับรองสามารถถูกเพิกถอนโดยอัตโนมัติเมื่อไม่ต้องการใช้งานอีกต่อไป ผ่านทางโปรแกรม ACME client เดียวกันกับที่ออกใบรับรองนั้น

ความท้าทาย HTTP-01

การควบคุมโดเมนได้รับการตรวจสอบผ่านไฟล์ที่อยู่ใน URL ที่รู้จักกันดี ใช้งานได้กับกรณีส่วนใหญ่ที่เป็นโดเมนเดียวและ SAN ไม่สามารถใช้ได้กับสัญลักษณ์ตัวแทน (wildcard)

ความท้าทาย DNS-01

การควบคุมโดเมนได้รับการตรวจสอบผ่านระเบียน DNS TXT จำเป็นสำหรับใบรับรองแบบไวด์การ์ด ช่วยให้สามารถตรวจสอบได้โดยไม่ต้องเข้าถึงเซิร์ฟเวอร์ HTTP ทำงานได้แม้มีไฟร์วอลล์

ไม่มีการจำกัดอัตราค่าบริการ

SSL.com ไม่กำหนดข้อจำกัดอัตราการออกใบรับรองสำหรับ ACME — ปรับขนาดได้ตามความต้องการของคุณโดยไม่มีปัญหาเรื่องความเร็ว ไม่ว่าคุณจะจัดการใบรับรองเพียงหลักสิบหรือหลักแสนใบก็ตาม

รองรับหลายโดเมน

คำสั่งซื้อ ACME สามารถรวมชื่อทางเลือกสำหรับหัวเรื่อง (SAN) ได้หลายรายการ — ออกและต่ออายุใบรับรองหลายโดเมนโดยอัตโนมัติ

ระดับการตรวจสอบ

ใบรับรอง DV พร้อมใช้งานแล้ววันนี้ผ่าน ACME ส่วนการออกใบรับรอง OV และ EV ผ่าน ACME จะเปิดให้บริการในเร็วๆ นี้ ติดต่อ SSL.com เพื่อขอรับสิทธิ์ใช้งานก่อนใคร

ลูกค้าที่ได้รับการสนับสนุนจาก ACME

Certbot

โปรแกรมไคลเอ็นต์ ACME ที่ใช้งานกันอย่างแพร่หลายที่สุด รองรับระบบปฏิบัติการ Linux และ macOS มีระบบปลั๊กอินที่ครอบคลุมสำหรับผู้ให้บริการ DNS-01 และมีการตั้งค่าล่วงหน้าในระบบปฏิบัติการ Linux หลายรุ่น

เอซีเอ็ม.เอช

สคริปต์เชลล์น้ำหนักเบาสำหรับไคลเอ็นต์ ACME — ปลั๊กอิน DNS-01 สำหรับผู้ให้บริการ DNS มากกว่า 150 ราย รวมถึง Route 53, Cloudflare, Google Cloud DNS, Azure DNS และ API ของผู้จดทะเบียนโดเมนรายใหญ่ทุกราย

วิน-แอ็กมี

ไคลเอนต์ ACME สำหรับ Windows โดยเฉพาะ พร้อมการผสานรวมกับ IIS อย่างสมบูรณ์ การทำงานอัตโนมัติตามกำหนดเวลา และการกำหนดค่าผ่าน GUI สำหรับสภาพแวดล้อมการโฮสติ้งที่เน้น Windows เป็นหลัก

แคดดี้และเทรฟิก

รีเวิร์สพร็อกซีสมัยใหม่พร้อมรองรับ ACME ในตัว กำหนดค่า SSL.com เป็นปลายทาง CA ของคุณ และ TLS ระบบจะจัดการโดยอัตโนมัติสำหรับทุกเส้นทางและบริการ

ตัวจัดการใบรับรอง (K8s)

ตัวจัดการใบรับรองมาตรฐานของ Kubernetes สร้างทรัพยากรใบรับรองแบบประกาศ จัดการการไหลของ ACME สำหรับ Ingress ทุกตัว และหมุนเวียนใบรับรองโดยไม่ต้องรีสตาร์ท Pod

URL ของไดเร็กทอรี ACME ของ SSL.com (DV — พร้อมใช้งานในวันนี้):

https://acme.ssl.com/sslcom-dv/directory

🚧 เร็วๆ นี้ — OV และ EV จาก ACME: ขณะนี้กำลังพัฒนาเอนด์พอยต์เฉพาะสำหรับออกใบรับรอง OV และ EV ไคลเอนต์ ACME ที่คุณใช้งานอยู่จะสามารถทำงานกับเอนด์พอยต์ใหม่ได้โดยไม่ต้องเปลี่ยนแปลงระดับโปรโตคอล ติดต่อ SSL.com เพื่อขอรับสิทธิ์เข้าถึงก่อนใครและสอบถามกำหนดเวลา

เริ่มต้นอย่างไร

1

สร้างบัญชี SSL.com

ลงทะเบียนที่ ssl.com — ฟรี ไม่ต้องชำระเงินจนกว่าจะได้รับใบรับรอง

2

สร้างเอกสารรับรอง ACME

สร้างข้อมูลประจำตัวบัญชี ACME ในแดชบอร์ด SSL.com ของคุณ

3

ตั้งค่าไคลเอ็นต์ ACME ของคุณ

ตั้งค่า SSL.com เป็น CA ในโปรแกรม ACME client ของคุณ (เช่น Certbot, ACME.sh, win-acme, Caddy เป็นต้น)

4

ออกใบรับรองฉบับแรกของคุณ

เรียกใช้โปรแกรม ACME client ของคุณ โปรแกรมจะร้องขอ ตรวจสอบ และรับใบรับรองโดยอัตโนมัติ

5

การต่ออายุตารางกำหนดการ

ตั้งค่าไคลเอ็นต์ ACME ของคุณให้ทำงานโดยอัตโนมัติ (ผ่าน cron หรือ systemd) — การต่ออายุจะเกิดขึ้นโดยไม่ต้องมีการแทรกแซงเพิ่มเติม

ประเภทความท้าทาย

HTTP-01
การตรวจสอบความถูกต้องตามไฟล์

ไคลเอนต์ ACME จะวางไฟล์โทเค็นไว้ที่ http://yourdomain.com/.well-known/acme-challenge/TOKEN.

ใช้เมื่อ: เซิร์ฟเวอร์ของคุณสามารถเข้าถึงได้จากภายนอกผ่านพอร์ต 80 ใช้งานได้กับใบรับรองโดเมนเดียวและใบรับรอง SAN ไม่สามารถใช้ได้กับใบรับรองแบบไวด์การ์ด

DNS-01
การตรวจสอบความถูกต้องของระเบียน DNS

ลูกค้าของ ACME สร้าง _acme-challenge.yourdomain.com ระเบียน DNS TXT

ใช้เมื่อ: ผู้ให้บริการ DNS ของคุณรองรับการสร้างระเบียน TXT แบบโปรแกรม จำเป็นสำหรับใบรับรองแบบไวด์การ์ด ใช้งานได้โดยไม่ต้องเข้าถึงเซิร์ฟเวอร์ HTTP

คำถามที่พบบ่อย

ACME เป็นโปรโตคอล — ไม่มีค่าใช้จ่ายในการใช้งาน คุณชำระค่าใบรับรอง SSL.com ตามปกติ ACME เป็นเพียงกลไกที่ใช้ในการขอและต่ออายุใบรับรองโดยอัตโนมัติ
ใช่ครับ โดยใช้การตรวจสอบความถูกต้อง DNS-01 ผู้ให้บริการ DNS ของคุณต้องรองรับการสร้างระเบียน TXT แบบโปรแกรมได้ ผู้ให้บริการ DNS รายใหญ่ส่วนใหญ่มีปลั๊กอินไคลเอ็นต์ ACME สำหรับ DNS-01 ครับ
ปัจจุบัน SSL.com รองรับการออกใบรับรอง DV (Domain Validation) ผ่าน ACME แล้ว ส่วนการออกใบรับรอง OV (Organization Validation) และ EV (Extended Validation) ผ่าน ACME จะเปิดให้บริการในเร็วๆ นี้ ในระหว่างนี้ สามารถออกใบรับรอง OV และ EV ผ่านพอร์ทัลและ API ของ SSL.com ได้ โปรดติดต่อ SSL.com เพื่อสอบถามกำหนดเวลาหรือโอกาสในการเข้าถึงก่อนใคร
ลูกค้าส่วนใหญ่ของ ACME มีฟังก์ชันการลองใหม่และระบบแจ้งเตือนอยู่แล้ว SSL.com ยังส่งการแจ้งเตือนวันหมดอายุผ่านบัญชีของคุณด้วย สำหรับสภาพแวดล้อมการใช้งานจริง ให้กำหนดค่าการแจ้งเตือนเพื่อให้ทีมของคุณได้รับแจ้งหากการต่ออายุอัตโนมัติล้มเหลว
ACME จะออกใบรับรองใหม่ให้ — ไม่ได้ทำการย้ายใบรับรองเดิมที่ออกด้วยตนเองโดยอัตโนมัติ คุณสามารถเปลี่ยนไปใช้ใบรับรองที่จัดการโดย ACME ได้โดยการตั้งค่าไคลเอ็นต์ ACME ของคุณและอนุญาตให้ทำการออกใบรับรองทดแทน
ไม่ใช่ — ACME คือโปรโตคอล ส่วน CLM (Certificate Lifecycle Management) คือแนวทางปฏิบัติที่กว้างกว่าในการจัดการใบรับรองตั้งแต่การค้นหาไปจนถึงการเพิกถอน ACME คือกลไกอัตโนมัติที่ขับเคลื่อนส่วนการออกและการต่ออายุของ CLM ดูหน้า CLM สำหรับภาพรวมการจัดการวงจรชีวิตทั้งหมด

ผลิตภัณฑ์และความสามารถที่เกี่ยวข้อง

MLC

แนวทางการจัดการวงจรชีวิตใบรับรองที่ครอบคลุมยิ่งขึ้น — ใช้ ACME สำหรับการออกและการต่ออายุใบรับรองโดยอัตโนมัติ รวมถึงการผสานรวมกับ Venafi และ Keyfactor
อ่านเพิ่ม

SSL Manager

แอปพลิเคชันเดสก์ท็อป Windows ที่มี GUI สำหรับสั่งซื้อและจัดการใบรับรอง SSL.com เป็นส่วนเสริมของ ACME สำหรับทีมที่ต้องการทั้งเวิร์กโฟลว์แบบอัตโนมัติและแบบแมนนวล
อ่านเพิ่ม

โดเมนเดี่ยว TLS/SSL

โดยทั่วไปแล้วจะใช้การตรวจสอบความถูกต้องแบบอัตโนมัติผ่าน ACME HTTP-01 ซึ่งเป็นวิธีการติดตั้งที่ง่ายที่สุดสำหรับชื่อโฮสต์เดียว
อ่านเพิ่ม

ตัวแทน TLS/SSL

ดำเนินการโดยอัตโนมัติผ่านการตรวจสอบความถูกต้องของ ACME DNS-01 — จำเป็นต้องใช้ DNS-01 เนื่องจาก HTTP-01 ไม่สามารถตรวจสอบความครอบคลุมของไวด์การ์ดได้
อ่านเพิ่ม

หลายโดเมน TLS/SSL

รองรับคำสั่ง ACME สำหรับ Multi-SAN — ออกและต่ออายุใบรับรองที่ครอบคลุมโดเมนต่างๆ นับสิบโดเมนในขั้นตอนการทำงานอัตโนมัติเดียว
อ่านเพิ่ม
SSL.com

เราชอบความคิดเห็นของคุณ

ทำแบบสำรวจของเราและแจ้งให้เราทราบความคิดเห็นของคุณเกี่ยวกับการซื้อครั้งล่าสุดของคุณ

ทำการสำรวจ
ภาพรวมความเป็นส่วนตัว
SSL.com

เว็บไซต์นี้ใช้คุกกี้เพื่อให้เราสามารถมอบประสบการณ์การใช้งานที่ดีที่สุดแก่คุณ ข้อมูลคุกกี้จะถูกเก็บไว้ในเบราว์เซอร์ของคุณและทำงานเช่นจดจำคุณเมื่อคุณกลับมาที่เว็บไซต์ของเราและช่วยให้ทีมของเราเข้าใจว่าส่วนใดของเว็บไซต์ที่คุณสนใจและมีประโยชน์ที่สุด

สำหรับข้อมูลเพิ่มเติมอ่านของเรา คุกกี้และคำชี้แจงสิทธิ์ส่วนบุคคล.

คุกกี้บุคคลที่สาม

เว็บไซต์นี้ใช้ Google Analytics & เครื่องนับสถิติ เพื่อรวบรวมข้อมูลที่ไม่ระบุตัวตนเช่นจำนวนผู้เยี่ยมชมเว็บไซต์และหน้าเว็บที่ได้รับความนิยมสูงสุด

การเปิดใช้งานคุกกี้เหล่านี้ช่วยให้เราสามารถปรับปรุงเว็บไซต์ของเรา

แสดงรายละเอียด
Powered by  การปฏิบัติตามของ GDPR Cookie