亚洲乱色熟女一区二区三区丝袜,天堂√中文最新版在线,亚洲精品乱码久久久久久蜜桃图片,香蕉久久久久久av成人,欧美丰满熟妇bbb久久久

我們非常高興地宣布 NGINX 中 ACME 支持的預覽版正式發(fā)布。這一實現引入了一個全新的模塊 ngx_http_acme_module，它提供了內置指令，用于直接從 NGINX 配置中請求、安裝和續(xù)訂證書。ACME 支持利用了我們的 NGINX-Rust SDK，并作為基于 Rust 的動態(tài)模塊提供給 NGINX 開源用戶以及使用 NGINX Plus 的企業(yè) NGINX One 客戶。

NGINX 原生支持 ACME 帶來了諸多好處，能簡化并提升 SSL/TLS 證書管理的整體過程。通過 NGINX 指令直接配置 ACME，能大大減少人為錯誤，并消除傳統證書管理中常見的持續(xù)開銷。它還降低了對外界工具（如 Certbot）的依賴，從而創(chuàng)建了一個更安全、更簡潔的工作流程，漏洞更少，攻擊面更小。此外，與現有外部工具不同，這些工具往往受限于特定平臺，而原生實現確保了更高的可移植性和平臺獨立性，使其成為現代不斷演變的 Web 基礎設施中一個多功能且可靠的解決方案。

　什么是 ACME？　

ACME 協議（Automated Certificate Management Environment，自動化證書管理環(huán)境）是一種通信協議，主要用于自動化發(fā)行、驗證、續(xù)訂和吊銷數字安全證書（如 SSL/TLS 證書）的過程。它允許客戶端與證書頒發(fā)機構 (CA) 互動，而無需人工干預，從而簡化了安全網站和其他依賴 HTTPS 的服務的部署。

ACME 協議最初由互聯網安全研究組 (ISRG) 在 2015 年底作為 Let’s Encrypt 計劃的一部分開發(fā)，提供免費、自動化的 SSL/TLS 證書。在此之前，獲取 TLS 證書通常是一個手動、昂貴且容易出錯的過程。ACME 通過提供開源的自動化工作流程，徹底改變了這一局面。

ACMEv2 是原始 ACME 協議的更新版本。它增加了對新挑戰(zhàn)的支持、擴展了認證方法、支持通配符證書以及其他增強功能，以提高靈活性和安全性。

　NGINX ACME 工作流程　

NGINX 中的 ACME 工作流程可以分為 4 個步驟：

• ? 設置 ACME 服務器
• ? 分配共享內存
• ? 配置挑戰(zhàn)
• ? 證書發(fā)行和續(xù)訂

設置 ACME 服務器

要啟用 ACME 功能，第一步（也是唯一必填步驟）是指定 ACME 服務器的目錄 URL。

還可以提供額外信息，比如證書相關問題時的聯系方式，或模塊數據的存儲位置，如下所示。

acme_issuer letsencrypt { 
    uri         https://acme-v02.api.letsencrypt.org/directory; 
    # contact   admin@example.test; 
    state_path  /var/cache/nginx/acme-letsencrypt; 

    accept_terms_of_service; 
}

分配共享內存

實現還提供了可選指令 acme_shared_zone，用于存儲所有配置的證書頒發(fā)機構的證書、私鑰和挑戰(zhàn)數據。該區(qū)域默認大小為 256K，可以根據需要增加。

acme_shared_zone zone=acme_shared:1M; 

配置挑戰(zhàn)

當前預覽版實現支持 HTTP-01 連接方式來驗證客戶端的域名所有權。它需要在 nginx 配置中定義一個監(jiān)聽端口 80 的監(jiān)聽器來處理 ACME HTTP-01 連接方式：

server { 
    # listener on port 80 is required to process ACME HTTP-01 challenges 
    listen 80; 

    location / { 
        #Serve a basic 404 response while listening for challenges 
        return 404; 
    } 
}

未來計劃支持其他連接方式（如 TLS-ALPN、DNS-01）。

證書發(fā)行和續(xù)訂

在 NGINX 配置的相應 server 塊中使用 acme_certificate 指令來自動化 TLS 證書的發(fā)行/續(xù)訂。該指令需要指定需要動態(tài)發(fā)行證書的標識符（域名）列表。標識符列表可以使用 server_name 指令定義。

下面的代碼片段展示了如何為“.example.domain”域名配置 server 塊，使用之前定義的 letsencrypt ACME 證書頒發(fā)機構來發(fā)行/續(xù)訂 SSL 證書。

server { 

    listen 443 ssl; 

    server_name  .example.com; 

    acme_certificate letsencrypt; 

    ssl_certificate       $acme_certificate; 
    ssl_certificate_key   $acme_certificate_key; 
    ssl_certificate_cache max=2; 
}

注意，并非所有 server_name 指令接受的值都是有效的標識符。此初始實現不支持通配符。不支持正則表達式。

使用模塊中的 acme_certificate_key 變量來傳遞關聯域名的 SSL 證書和密鑰信息。

　為什么這一切如此重要？　

全球 HTTPS 采用的快速增長很大程度上得益于 ACME 協議，使安全 Web 連接成為標準預期。ACME 現代化了 TLS/SSL 證書的發(fā)行、續(xù)訂和管理方式，通過自動化整個過程，消除了手動工作并降低了證書生命周期管理的成本。除了 Web 領域，物聯網設備和邊緣計算的增長讓 ACME 在自動化 API、設備和邊緣計算基礎設施的安全性方面扮演關鍵角色。

NGINX 原生支持 ACME 突顯了該協議對未來 Web 安全、自動化和可擴展性的重要性。ACME 預計將在可預見的未來繼續(xù)作為互聯網及其他領域證書自動化的骨干。隨著安全成為 Web 標準的底線，我們將繼續(xù)看到對演變部署模型和安全需求的改進，推動 ACME 的進一步完善。

展望未來，我們致力于不斷演進我們的實現，以滿足用戶和客戶的需求，不僅應對他們當前的狀況，還為未來的發(fā)展構建能力。

　如何上手　

立即開始使用 NGINX 中的原生 ACME 實現。如果你是開源用戶，這里有預構建包可用。如果你 是使用 NGINX Plus 的企業(yè) NGINX One 客戶，預構建包作為 F5 支持的動態(tài)模塊提供。有關模塊的更多信息，請參考 NGINX 文檔。

　社區(qū)反饋　

一如既往，你的反饋對塑造 NGINX 的未來發(fā)展至關重要。如果你有建議、遇到問題，或想請求額外功能，請通過 GitHub Issues 分享。我們迫不及待地想讓你試用一下。