Populære ACME-klienter
Enhver ACME-klient der følger RFC 8555 og understøtter EAB virker med FairSSL. Her er de klienter vi har testet og kan hjælpe med. Kravet er at klienten understøtter RFC 8555, EAB (External Account Binding) og en konfigurerbar server-URL. Bruger du en anden klient med FairSSL ACME? Kontakt os, så hjælper vi med opsætningen.
Vores anbefalinger
Vi anbefaler klienter der understøtter både ARI (RFC 9773) og EAB. ARI fungerer som et dagligt heartbeat: klienten tjekker ind hos CA'en for at se om certifikatet skal fornyes. Det giver FairSSL mulighed for at overvåge at hver klient er aktiv, signalere tidlig fornyelse ved sikkerhedshændelser, og sikre at jeres certifikater aldrig udløber uventet. Klienter uden ARI fungerer stadig, men fornyer kun efter et fast tidsinterval. Det bliver en stigende risiko i takt med at certifikatlevetiden reduceres: med kortere levetider er marginen for fejlede fornyelser minimal, og uden ARI kan klienten ikke reagere på ændrede fornyelsestidspunkter fra CA'en.
Windows
ACME-klienter til Windows Server, IIS, Exchange, RDP, SQL Server og andre Windows-tjenester.
Anbefalede (ARI + EAB)
IIS, Exchange, RDP, SQL Server, ADFS. Kopiér mappen, konfigurér, klar.
Alternative (kun EAB)
Linux
ACME-klienter til Apache, Nginx, HAProxy, Docker og andre Linux-baserede miljøer.
Anbefalede (ARI + EAB)
Python, klassisk CLI. Nye versioner kan kræve ekstra afhængigheder via pakkemanager.
Alternative (kun EAB)
Netværksudstyr
Svær ●●●Firewalls, load balancers og netværksenheder kan typisk ikke køre native ACME-klienter. Brug en eksisterende Linux- eller Windows-server med en anbefalet ACME-klient, og deploy certifikater til enhederne via script.
Understøttede enheder
Anbefalet strategi
- 1 Brug en eksisterende Linux- eller Windows-server med en anbefalet ACME-klient (f.eks. Lego eller simple-acme)
- 2 FairSSL Auto DNS håndterer domænevalidering automatisk via permanent CNAME. Ingen DNS API-nøgler eller firewall-åbninger.
- 3 Ved succesfuld fornyelse uploader et script certifikatet til enheden og aktiverer det (f.eks. via F5 iControl REST, PAN-OS API)
Cloud
Samme tilgang som appliances: kør en ACME-klient på en eksisterende server og deploy til cloud-tjenester via script. I cloud kan deploy-trinnet også køres som en cloud-funktion (f.eks. AWS Lambda, Azure Functions).
Anbefalede (ARI + EAB)
Lambda kører Lego via EventBridge, importerer til ACM med samme ARN. ALB/CloudFront opdateres automatisk.
Alternative (kun EAB)
Hvilken klient skal jeg bruge?
Valget afhænger af jeres platform, kompetencer og behov. Her er vores anbefalinger efter scenarie:
Windows Server med IIS
simple-acme. Indbygget IIS-binding, Task Scheduler, ARI.
Linux med Nginx/Apache
Lego er vores standardanbefaling: Go-binary uden afhængigheder, 80+ DNS-udbydere, ARI. Certbot er det klassiske valg med stor community. Apache-brugere kan også overveje mod_md for native integration.
Docker / Kubernetes
Caddy eller Traefik har indbygget ACME og håndterer certifikater automatisk. I Kubernetes: cert-manager med FairSSL som ClusterIssuer.
Firewalls og load balancers
Kør Lego (Linux) eller simple-acme (Windows) på en eksisterende server. FairSSL Auto DNS for validering. Post-fornyelse script deployer via API (F5 iControl, PAN-OS, FortiOS).
Exchange / RDP / SQL Server
simple-acme med DNS-validering og post-fornyelse script til rebinding af certifikater. Se RDP/RD Gateway guiden.
PowerShell-automatisering / scripting
Posh-ACME er et PowerShell-modul med fuld ARI og EAB-support. Ideelt til eksisterende PowerShell-baserede deployment pipelines.
Hvorfor ARI er vigtig fra 2027
Med certifikatlevetider der falder til 100 dage (2027) og 47 dage (2029), skifter ACME fra en "nice to have" til kritisk infrastruktur. ARI (RFC 9773) bliver den vigtigste funktion i jeres ACME-klient.
Heartbeat-overvågning
Klienten tjekker ind dagligt. FairSSL ser om klienten er aktiv. Holder den op med at polle, kan vi advare jer, inden certifikatet udløber.
CA-styret fornyelse
CA'en bestemmer det optimale fornyelsestidspunkt. Ved sikkerhedshændelser (nøglekompromittering, CA-incident) kan CA'en signalere øjeblikkelig fornyelse.
47-dages parathed
Med 47-dages certifikater (2029) skal fornyelse ske ca. hver 30. dag. Uden ARI risikerer I at alle certifikater fornyes samtidig. ARI spreder fornyelserne intelligent.
Vores vigtigste anbefaling i 2026: brug ikke en ACME-løsning uden ARI, hvis du kan undgå det. Det er lettere at skifte klient i dag (med 200-dages certifikater og god margin) end i 2029 under tidspres med 47-dages certifikater. Alle vores anbefalede klienter understøtter ARI.
Hvad er EAB?
External Account Binding (EAB) sikrer at ACME-certifikatbestillinger kun kan foretages af jeres organisation, og at ordrer samt klienter automatisk tilføjes til jeres konto og overvågning.
I opretter EAB-nøgler i FairSSL kontrolpanelet ved at klikke Tilslut ACME klient. Indtast Key ID og HMAC Key i jeres klients konfiguration, og klienten er klar.
Vi sponsorerer simple-acme og Lego
simple-acme er vores foretrukne ACME-klient til Windows. Den er bygget af udvikleren bag win-acme og understøtter ARI og EAB. Lego er vores foretrukne ACME-klient til Linux og CI/CD, brugt af cert-manager og mange andre. Begge klienter er aktivt vedligeholdt.
God open source kræver vedligeholdelse, og det bør ikke kun være frivilligt. FairSSL sponsorerer begge projekter, så de kan fortsætte med at udvikle sig. Når I bruger vores ACME-løsning, støtter I dem samtidig.
Ofte stillede spørgsmål om ACME klienter
Find svar på de mest almindelige spørgsmål om SSL certifikater og FairSSL.
*.example.dk, example.dk og portal.example.dk i ét certifikat. Du kan også kombinere flere wildcards (*.example.dk + *.app.example.dk) eller wildcards med specifikke hostnavne. Alle wildcard-navne kræver DNS-01 validering.Kom i gang med ACME automatisering
Opret en gratis konto og udsted dit første certifikat på under 10 minutter.