External Account Binding (EAB)-Zugangsdaten sind sichere Authentifizierungsschlüssel, die Ihren ACME-Client mit Ihrem bezahlten Trustico® Certificate as a Service (CaaS) verbinden.
Diese Anmeldeinformationen stellen sicher, dass nur autorisierte Benutzer SSL Certificates unter Ihrem Service ausstellen können.
EAB ist eine dem Industriestandard entsprechende Erweiterung des ACME-Protokolls, die es Certificate Authorities wie Trustico® ermöglicht, kostenpflichtige Dienste anzubieten und gleichzeitig die Automatisierungsvorteile von ACME zu nutzen.
Ihre EAB-Anmeldeinformationen dienen als Brücke zwischen Ihrer ACME-Client-Software und Ihrem kostenpflichtigen Trustico®-Dienst und ermöglichen die automatische Ausstellung und Erneuerung von SSL Certificates ohne manuelle Eingriffe.
Ihr EAB-Anmeldeinformationen-Paket
Wenn Sie Trustico® Certificate as a Service (CaaS) erwerben, erhalten Sie per E-Mail ein komplettes Berechtigungspaket, das vier wesentliche Komponenten enthält:
Trustico® ACME-Konto-ID: Ihre eindeutige Service-Kennung, die für die gesamte Kontoverwaltung, Erweiterungen und Support-Anfragen verwendet wird. Bewahren Sie diese ID sicher auf, da Sie sie für die zukünftige Serviceverwaltung benötigen.
EAB Key ID: Ihre eindeutige Kontokennung, die unserem ACME-Server mitteilt, welches Service-Konto für SSL-Zertifikatsanfragen zu verwenden ist.
EAB MAC Key : Ihr sicherer Authentifizierungsschlüssel, der beweist, dass Sie berechtigt sind, den Dienst zu nutzen. Dieser Schlüssel muss vertraulich behandelt werden.
ACME Server URL: Der dedizierte Server-Endpunkt, mit dem sich Ihr ACME-Client verbindet, um SSL Certificates anzufordern und zu verwalten.
Wir senden diese Informationen in der Regel nur per E-Mail, wenn Trustico® Certificate as a Service (CaaS) aktiviert oder erneuert wird. Sollten Sie die E-Mail verlieren, wenden Sie sich bitte an unser Support-Team, um weitere Unterstützung zu erhalten.
Wie EAB-Zertifikate funktionieren
EAB-Berechtigungsnachweise funktionieren durch die Authentifizierung Ihres ACME-Clients während des Kontoregistrierungsprozesses. Wenn sich Ihr ACME-Client zum ersten Mal mit unserem Server verbindet, verwendet er Ihre EAB-Key-ID und Ihren EAB-MAC-Schlüssel, um zu beweisen, dass er berechtigt ist, auf Ihren kostenpflichtigen Dienst zuzugreifen.
Nach der Authentifizierung kann Ihr ACME-Client SSL-Zertifikate für alle Domains anfordern, die in Ihrem Certificate as a Service (CaaS) von Trustico® enthalten sind.
Der ACME-Server überprüft automatisch die Domain-Eigentümerschaft und stellt innerhalb weniger Minuten SSL Certificates aus.
Ihre EAB-Anmeldeinformationen bleiben für die Dauer Ihres Servicezeitraums aktiv und ermöglichen eine kontinuierliche automatische Erneuerung von SSL Certificates, ohne dass ein manuelles Eingreifen erforderlich ist.
Gemeinsame Nutzung von EAB-Anmeldeinformationen über mehrere Systeme hinweg
Einer der Hauptvorteile von Trustico® Certificate as a Service (CaaS) ist, dass Ihre EAB-Anmeldeinformationen von mehreren ACME-Clients und -Servern gemeinsam genutzt werden können. Das bedeutet, dass Sie dieselben Anmeldeinformationen verwenden können, um mehrere Systeme unter einem Dienst zu sichern.
Sie können beispielsweise Ihre Produktionsserver, Staging-Umgebungen, Load Balancer und Entwicklungssysteme alle mit denselben EAB-Anmeldeinformationen konfigurieren. Jedes System kann unabhängig SSL Certificates für Ihre autorisierten Domains anfordern und erneuern.
Dieses Modell mit gemeinsam genutzten Anmeldeinformationen macht den Kauf separater Services für jeden Server überflüssig und gewährleistet gleichzeitig die Sicherheit durch eine angemessene Verwaltung der Anmeldeinformationen.
Domain-Autorisierung und unbegrenzte SSL-Zertifikate
Ihre EAB-Anmeldeinformationen sind mit bestimmten Domains verknüpft, die Sie über Trustico® Certificate as a Service (CaaS) erworben haben. Sobald eine Domain in Ihrem Service autorisiert ist, können Sie unbegrenzt SSL-Zertifikate für diese Domain und die darin enthaltenen Variationen ausstellen.
Dies umfasst Ihre Hauptdomain, die www-Subdomain und alle Subdomains, die von Wildcard SSL Certificates abgedeckt werden. Ihr ACME-Kunde kann bei Bedarf neue SSL Certificates ohne zusätzliche Kosten anfordern.
Wenn Sie über Ihren aktuellen Service hinaus weitere Domains absichern müssen, erwerben Sie einfach ein weiteres Trustico® Certificate as a Service (CaaS) für diese Domains, das mit einem eigenen Satz von EAB-Anmeldeinformationen geliefert wird.
Konfigurieren Ihres ACME-Clients
Die meisten gängigen ACME-Clients unterstützen EAB-Anmeldeinformationen über Befehlszeilenparameter oder Konfigurationsdateien. Der genaue Einrichtungsprozess variiert von Client zu Client, aber die Kerninformationen bleiben die gleichen.
Für Certbot: Verwenden Sie die Parameter --eab-kid und --eab-hmac-key zusammen mit --server, um Ihre ACME-Server-URL während der Kontoregistrierung anzugeben.
Für acme.sh : Setzen Sie die Umgebungsvariablen ACME_EAB_KID und ACME_EAB_HMAC_KEY und geben Sie dann Ihre Server-URL mit dem Parameter --server an.
Konsultieren Sie die Dokumentation Ihres Clients für EAB-Konfigurationsoptionen. Alle Standard-ACME-Clients unterstützen EAB-Credentials durch ähnliche Mechanismen.
Bewährte Sicherheitspraktiken für EAB-Anmeldeinformationen
Ihre EAB-Anmeldeinformationen ermöglichen den Zugriff auf Ihr kostenpflichtiges Trustico® Certificate as a Service (CaaS) und müssen mit denselben Sicherheitsstandards geschützt werden wie API-Schlüssel oder Passwörter.
Speichern Sie Ihren EAB-MAC-Schlüssel in Umgebungsvariablen oder sicheren Systemen zur Verwaltung von Anmeldeinformationen. Übertragen Sie diese Anmeldeinformationen niemals in Code-Repositories, Konfigurationsdateien oder andere unverschlüsselte Speicher.
Ihre EAB-Schlüssel-ID ist weniger sensibel, sollte aber dennoch als vertrauliche Information behandelt werden. Beide Anmeldedaten zusammen ermöglichen den Zugang zu Ihrem Dienst, also schützen Sie sie entsprechend.
Überprüfen Sie regelmäßig, welche Systeme Zugriff auf Ihre EAB-Zugangsdaten haben, und entfernen Sie den Zugriff von stillgelegten Servern oder Entwicklungsumgebungen, die keinen SSL-Zertifikatszugriff mehr benötigen.
Fehlersuche bei der EAB-Authentifizierung
Wenn Ihr ACME-Client sich nicht mit EAB-Zugangsdaten authentifizieren kann, überprüfen Sie, ob Sie die richtige ACME-Server-URL verwenden, die Sie in Ihrer E-Mail mit den Zugangsdaten angegeben haben. Die Verwendung einer anderen Server-URL führt zu Authentifizierungsfehlern.
Vergewissern Sie sich, dass Ihre EAB-Schlüssel-ID und Ihr EAB-MAC-Schlüssel genau wie angegeben kopiert werden, ohne zusätzliche Leerzeichen oder Zeilenumbrüche. Bei diesen Anmeldeinformationen wird zwischen Groß- und Kleinschreibung unterschieden und sie müssen genau übereinstimmen.
Vergewissern Sie sich, dass Ihr Trustico® Certificate as a Service (CaaS) aktiv ist und noch nicht abgelaufen ist. Abgelaufene Dienste lehnen EAB-Authentifizierungsversuche ab, bis sie erneuert werden.
Wenn Sie weiterhin Probleme haben, wenden Sie sich mit Ihrer Trustico® ACME-Konto-ID an unser Support-Team, das Sie bei der Überprüfung der Anmeldeinformationen und der Fehlerbehebung unterstützt.
Verwalten Ihres Dienstes mit EAB-Anmeldeinformationen
Ihre Trustico® ACME-Konto-ID ist für alle Aufgaben der Dienstverwaltung über die Ausstellung von SSL-Zertifikaten hinaus unerlässlich. Verwenden Sie diese ID, wenn Sie Ihren Dienst verlängern, Support anfordern oder Ihr Konto über unsere Website oder API verwalten.
Service-Erweiterungen können vor Ablauf der Gültigkeit erworben werden, um eine kontinuierliche Funktionalität des SSL-Zertifikats zu gewährleisten. Ihre EAB-Anmeldedaten funktionieren auch nach der Erneuerung des Dienstes nahtlos weiter, ohne dass eine Neukonfiguration erforderlich ist.
Bewahren Sie Ihre Trustico® ACME-Konto-ID für Service-Management-Aufgaben leicht zugänglich auf, aber denken Sie daran, dass Ihr EAB-MAC-Schlüssel vertraulich bleiben und nur für die ACME-Client-Konfiguration verwendet werden sollte.
Lebenszyklus von EAB-Anmeldeinformationen
Ihre EAB-Anmeldeinformationen bleiben für die gesamte Dauer Ihres aktiven Certificate as a Service (CaaS) von Trustico® gültig. Sie werden automatisch inaktiv, wenn Ihr Service ausläuft, und verhindern so die unberechtigte Ausstellung von SSL-Zertifikaten.
Wenn Sie Ihren Dienst verlängern, funktionieren Ihre bestehenden EAB-Anmeldeinformationen weiter, ohne dass Änderungen an Ihrer ACME-Client-Konfiguration erforderlich sind. Dies gewährleistet einen nahtlosen Betrieb von SSL Zertifikaten bei Service-Erneuerungen.
Wenn Sie aus Sicherheitsgründen neue EAB-Anmeldedaten benötigen, wenden Sie sich mit Ihrer Trustico® ACME-Konto-ID an unser Support-Team, um die Optionen für die Rotation der Anmeldedaten zu besprechen.
Hilfe bei der EAB-Einrichtung
Unser Support-Team steht Ihnen mit allgemeinen Informationen zur Konfiguration Ihres ACME-Clients mit Ihren EAB-Anmeldedaten zur Verfügung.
Wenn Sie sich an den Support wenden, geben Sie bitte immer Ihre Bestellnummer und die Trustico® ACME-Konto-ID an, damit wir Ihnen schneller helfen können.
Geben Sie in der Kommunikation mit dem Support niemals Ihren EAB-MAC-Schlüssel an - unser Team kann Ihre Anmeldedaten überprüfen, ohne die tatsächlichen Schlüsselwerte sehen zu müssen.
Servicekontinuität und Erneuerung
Die automatische Installation und Verwaltung von SSL-Zertifikaten durch Trustico® Certificate as a Service (CaaS) funktioniert nahtlos, solange Ihr bezahlter Dienst aktiv ist.
Ihr ACME-Client erneuert SSL-Zertifikate automatisch und sorgt für kontinuierlichen Schutz, solange Ihr Service-Abonnement aktiv ist.
Um eine wirklich nahtlose SSL-Zertifikatsverwaltung ohne Unterbrechung zu gewährleisten, ist es unerlässlich, Ihr Trustico® Certificate as a Service (CaaS) vor Ablauf zu erneuern oder eine automatische Abrechnung einzurichten, um eine ununterbrochene Servicekontinuität zu gewährleisten.
Wenn Ihr Dienst abläuft, kann Ihr ACME-Client keine SSL-Zertifikate erneuern, was zum Ablauf des SSL-Zertifikats und zu Ausfallzeiten der Website führen kann, bis der Dienst wiederhergestellt ist.
Unter dem UVP CaaS
Unter dem UVP CaaS
