DigiCert a présenté son client ACME DC-ACME pour l'automatisation.

2 janv. 2026 | Jindřich Zechmeister

Le nouveau client ACME DC-ACME de DigiCert facilite le renouvellement automatique des certificats sans nécessiter d'outils tiers. Ainsi, il n'est plus nécessaire de dépendre de Certbot ou d'autres programmes similaires. Les données ACME EAB sont prêtes à être utilisées directement dans votre compte SSLmarket.

Nouveau client ACME directement de CA DigiCert

L’automatisation de la gestion des certificats TLS est devenue une partie commune de l’exploitation des infrastructures serveur ces dernières années. Le protocole ACME (Automatic Certificate Management Environment) permet l’émission, l’installation et le renouvellement automatisés des certificats sans nécessiter d'interventions manuelles. Cependant, pour les autorités de certification commerciales, cette automatisation reposait principalement depuis longtemps sur l'utilisation de clients ACME tiers.

DigiCert élargit maintenant considérablement ce modèle. Il a présenté son propre client ACME officiel sous le nom de DC-ACME, qui permet d'utiliser les services ACME de DigiCert sans avoir besoin de déployer des outils externes. Les scripts d'installation et la documentation sont disponibles sur le site officiel DigiCert Automation Service.

ACME chez DigiCert : un modèle opérationnel simplifié

Jusqu'à présent, DigiCert recommandait l'utilisation de clients ACME standard compatibles avec le protocole ACMEv2. Cette approche reste prise en charge et pleinement fonctionnelle. En pratique, cependant, elle impliquait de choisir le bon client, son installation, son entretien et son intégration dans l'environnement opérationnel.

DC-ACME représente une alternative qui unifie ces étapes. C'est un client ACME officiel directement de DigiCert, conçu pour être pleinement compatible avec son service ACME tout en offrant un comportement prévisible sur différentes plateformes. Des scripts d'installation sont disponibles pour Linux et Windows, y compris la prise en charge de l'exécution en tant que service système.

Les détails de l'architecture et des principes de l'automatisation ACME chez DigiCert sont décrits dans la documentation officielle : DigiCert – ACME Automation Service.

External Account Binding (EAB) comme une partie de la sécurité

Une partie de l'intégration ACME chez DigiCert est l'utilisation du mécanisme External Account Binding (EAB). Il sert à relier de manière sécurisée un compte ACME avec une autorisation client spécifique et des paramètres de produit. Lors de l'enregistrement d'un compte ACME, une paire d'informations est utilisée – l'identifiant de clé (KID) et la clé HMAC.

Pour les clients de SSLmarket, il est très simple d'obtenir les informations EAB. Les identifiants ACME EAB sont disponibles directement dans le compte client de SSLmarket, où ils peuvent être générés et ensuite utilisés lors de la configuration du client ACME DC-ACME.

Validation des domaines et prise en charge de DNS-01

L’automatisation de l’émission des certificats repose sur la vérification de la propriété de domaine à l’aide des méthodes de validation définies par le protocole ACME. Dans la mesure où l'obtention d'un certificat exigera à l'avenir de recourir uniquement à des méthodes de validation automatisées, il est conseillé de commencer à utiliser les méthodes disponibles dans ACME, telles que HTTP et DNS. Dans les environnements où il n'est pas approprié ou possible d'exposer directement des services HTTP à Internet, la méthode DNS-01 est très souvent utilisée.

DigiCert fournit une documentation étendue pour l'intégration des défis DNS-01 avec DC-ACME, y compris des instructions pour chaque fournisseur DNS. Cela simplifie grandement le déploiement de l'automatisation même dans des infrastructures plus complexes, y compris le support des certificats wildcard.

Un aperçu et des détails techniques sur les défis DNS-01 sont disponibles ici : DC-ACME DNS-01 Challenge Guide.

Conclusion

Le nouveau client ACME DC-ACME représente pour les clients de DigiCert une nouvelle possibilité de mettre en place une gestion automatisée des certificats avec une moindre complexité opérationnelle. La compatibilité avec la norme ACMEv2 est maintenue, mais il s'ajoute un outil officiellement supporté directement par l'autorité de certification.

Les clients de SSLmarket peuvent utiliser cette approche sans configuration compliquée – les informations EAB nécessaires sont disponibles dans le compte client et DC-ACME peut être déployé à l'aide des scripts d'installation officiels. Pour les organisations à la recherche d'une solution stable et prévisible pour l'automatisation des certificats, il s'agit d'une étape intéressante et pratique.