ACME et EAB : support sur les serveurs web (situation au 10/2025)
14 oct. 2025 | Jindřich Zechmeister
Découvrez comment ACME et EAB peuvent simplifier l'automatisation des certificats TLS. Nous effectuons une comparaison des serveurs web, notamment Nginx, Apache, LiteSpeed et d'autres. De plus, nous partageons des astuces pour Digicert et des conseils pour une implémentation sans soucis.
ACME est un outil pour la gestion du cycle de vie des certificats, couvrant tous les aspects, de la demande à l'installation, et le renouvellement. SSLmarket prend en charge ACME depuis plusieurs années. Examinons l'état de la prise en charge d'ACME sur divers serveurs web.
Protocole ACME et serveurs web
Le protocole ACME était initialement utilisé séparément sous forme de clients, où vous émettiez un certificat TLS via un programme et ce "client ACME" l'installait également sur le serveur web. Certbot, le client ACME le plus populaire, initialement conçu pour les serveurs web Apache, a progressivement élargi sa compatibilité pour inclure également Windows Server et IIS.
La tendance actuelle consiste à intégrer directement le client ACME dans le serveur web afin qu'il récupère et déploie le certificat de manière compatible et que vous n'ayiez pas besoin d'un logiciel ou d'interventions supplémentaires. Vous avez ainsi « tout-en-un ». Un exemple de serveur web avec un client ACME intégré est Caddy ou OpenLiteSpeed. Récemment, Nginx a également obtenu un support ACME natif, mais il ne prend pas encore en charge EAB, donc il ne peut pas être utilisé pour DigiCert.
Qu'est-ce que l'EAB dans ACME
L'EAB (External Account Binding) est un mécanisme dans ACME qui associe votre client ACME à un compte spécifique chez l'autorité de certification. Lors de la création d'un compte ACME, le client utilise une paire d'informations de la CA – un identifiant KID et une clé secrète HMAC – et de cette manière, il est « associé » au compte de votre organisation. Grâce à cela, la CA sait qui demande le certificat, peut appliquer des règles internes et émettre également des certificats d'entreprise ou payants selon les paramètres du compte. L'EAB ne remplace pas la validation de domaine (HTTP-01/DNS-01); il garantit seulement que la demande provient d'un compte autorisé.
Sur SSLmarket, vous trouverez ensuite une fonctionnalité complètement unique - une vue d'ensemble de tous les certificats émis via ACME, que nous importerons sur le compte utilisateur avec toutes les métadonnées et informations.
Support actuel de l'ACME sur les serveurs web
Dans le tableau ci-dessous, vous voyez un aperçu de l'intégration du protocole ACME sur les différents serveurs web. La plupart d'entre eux ont déjà l'ACME intégré et s'ils prennent également en charge l'EAB, vous pouvez utiliser les certificats de DigiCert et les automatiser. Vous pouvez facilement obtenir des accès ACME gratuitement dans votre compte SSLmarket.
| Serveur web / Plateforme | Client ACME natif | Support EAB | Type d'implémentation | Remarque / Client interne |
|---|---|---|---|---|
| Apache HTTP Server | Non | Oui (via un client externe) | Externe (Certbot, acme.sh, lego…) | Plugin ex. certbot-apache; l'EAB est assuré par le client (fonctionne avec DigiCert ACME). |
| NGINX (jusqu'à 1.24) | Non | Oui (via un client externe) | Externe (Certbot, acme.sh…) | Ancien NGINX sans ACME natif. |
| NGINX (à partir de 1.25) | Oui | Non | Natif | ACME natif sans EAB; utiliser un client externe pour DigiCert. |
| LiteSpeed / OpenLiteSpeed | Oui | Oui | Natif (acme.sh en interne) | Client intégré basé sur acme.sh; EAB entièrement pris en charge (DigiCert ACME). |
| Caddy | Oui | Oui | Natif | Gestion intégrée des certificats y compris EAB. |
| Traefik | Oui | Oui | Natif | Gère les certificats en interne; EAB pris en charge. |
| HAProxy | Partiellement (via hooks) | Oui (via un client externe) | Client externe (acme.sh, Certbot…) | Le certificat est émis par le client; déploiement via deploy-hook et rechargement de HAProxy. |
| Lighttpd | Non | Oui (via un client externe) | Client externe | acme.sh / déshydraté; l'EAB est assuré par le client. |
| IIS / Exchange (Windows) | Oui | Oui | Externe (win-acme, Certify The Web) | Entièrement automatisable; EAB pris en charge (DigiCert ACME). |
| Tomcat / Jetty / Serveurs Java | Non | Oui (via un client externe) | Client externe + hooks | Conversion en JKS/PKCS12; l'EAB est assuré par le client. |
| Postfix / Dovecot / Exim | Non | Oui (via un client externe) | Client externe + hooks | Déploiement via script; l'EAB est assuré par le client. |
| Kubernetes (cert-manager) | Oui | Oui | Controller / émetteur | Support EAB; approprié pour l'émetteur DigiCert ACME. |
| Envoy Proxy | Expérimental | Partiellement (via des gestionnaires externes) | Intégration via SDS/cert-manager | L'ACME est assuré par un contrôleur externe; l'EAB selon le client. |
| Plateformes cloud (Cloudflare / AWS / GCP) | Oui (gestion interne) | Interne (en dehors de l'EAB standard) | Gestion Cloud | Utiliser un client externe pour DigiCert ACME en dehors de ces services. |
Conclusion
Vous pouvez utiliser ACME pour automatiser les certificats pratiquement n'importe où. Vous trouverez des guides de base dans notre aide. Si vous rencontrez des problèmes ou avez des questions concernant l'utilisation, n'hésitez pas à contacter notre support client.
```