NGINX带来ACME模块集成 实现从证书申请/签发/部署/更新全流程自动化

异步框架服务器软件或反向代理软件 NGINX 日前宣布推出 ACME 预览版，借助 ACME 模块 NGINX 通过内置指令可以直接从 NGINX 配置中请求、安装和更新数字证书。

ACME 自动证书管理环境协议主要用于数字证书的自动化颁发、验证、更新和撤销过程，该协议允许客户端无需人工干预即可与证书颁发机构 (CA) 进行交互，从而简化网站或其他依赖 HTTPS 服务的数字证书部署过程。

目前业界正在推动数字证书有效期大幅度缩短，例如苹果提议数字证书未来最长有效期不超过 47 天且已经被接受，也就是说如果不依赖自动化手段的话，日常申请和更新数字证书非常麻烦。

然而并不是所有环境都可以通过第三方工具例如 CertBot 实现数字证书自动化申请和部署，这种情况下仍然需要 IT 管理员手动干预，而 NGINX 集成 ACME 后有望改善手动干预的情况。

工作流程如下：

NGINX 的 ACME 工作流程分为四个步骤，分别是设置 ACME 服务器、分配共享内存、配置质询 (Challenge)，完成每个步骤的配置后就可以实现 NGINX 证书申请、安装、续期 / 更新的自动化。

目前仅支持 HTTP-01 质询：

NGINX 集成 ACME 的方式是引入新模块 ngx_http_acme_module，用户需要在安装 NGINX 时编译该模块，但 NGINX 并未提到是默认集成该模块还是未来需要手动选择才能集成这个模块。

在预览阶段 ACME 模块仅支持 HTTP-01 质询，后续 NGINX 将支持其他质询方式包括 TLS-ALPN 和 DNS-01，如果支持 DNS-01 则可以申请域名通配符证书或者同时在一个证书里设置多个域名实现证书复用。

为什么要集成 ACME：

NGINX 表示，全球范围内的 HTTPS 快速普及很大程度上得益于 ACME，ACME 通过自动化整个流程消除手动操作并降低证书生命周期管理相关成本，实现 TLS/SSL 证书颁发、续订、管理方式的现代化。

NGINX 对 ACME 的原生支持凸显了该技术协议对未来 Web 安全、自动化和可扩展的重要性，在可预见的未来，ACME 预计将继续成为互联网及其他领域证书自动化的支柱。

立即开始使用 NGINX ACME：

如果你是 NGINX 开源版用户可以点击这里获取预构建软件包，如果是 NGINX Plus 企业级用户则可以通过 F5 支持的动态模块形式获取预构建包。