SSL自動換證導入前自我評估指南(ACME專用)
■ 為什麼需要自動換證
因應SSL憑證效期大幅縮短(2029年最短僅47天),手動換證已不可行,導入自動換證的第一步,不是急著買憑證,而是先徹底盤點憑證使用環境。
網路中文 已自主開發出 NC-ACME – 一套完全相容 ACME 協定的自動換證系統,支援 Linux 與 Windows 環境,能協助使用者自動完成SSL域名驗證,大幅降低自動換證的導入門檻。
為了協助使用者找出最適合、最具效率的導入方式,我們設計了一份自我評估指南。
讓使用者可以透過六大關鍵問題,針對現有憑證及設備先做初步盤點。
整個過程只需花費您10分鐘,卻能省去日後無數的除錯與停機時間。
■ 為什麼需要先盤點?
1. NC-ACME 雖強大,仍需與您的環境銜接
NC-ACME 可自動執行憑證申請、更新、部署,但它需要知道使用者的伺服器位置、作業系統、使用的服務類型等資訊,透過事前盤點才能讓 NC-ACME 發揮最大效益。
2. 避免「半自動化」的陷阱
部分使用者的環境存在舊版本設備或特殊網路架構,導致驗證無法順利完成,必須事先列出這些特殊需求,才能提供最適合的設定或改用其他驗證方式。
3. 找出最有 CP 值的方案
除了NC-ACME之外,您可能需要額外的 DNS API 整合或網路架構調整,事先盤點可以幫您省下不必要的升級成本。
■ 六大關鍵問題
■ 問題 1:您的憑證使用環境是「純外網」還是「內外網都有」?
● 純外網:所有服務(網站、API、郵件等)都放在公有雲或可被一般網際網路使用者直接存取。
➜ NC-ACME 可透過 DNS / HTTP 驗證 直接完成自動換證,最簡單。
● 內外網都有:例如僅限公司內部IP存取的 ERP、員工入口網站,這些設備無法從網際網路直接連線。
➜ 由於內網設備無法被外部 CA 連線進行 HTTP 驗證,必須使用 DNS 驗證。 NC-ACME 支援 DNS 驗證,只要網域註冊在網路中文,並使用網路中文的代管DNS即可自動驗證,若為自管主機,則需要您的 DNS 系統提供 API。
小提醒:許多企業只考慮到外部網站,卻沒有注意到內部系統也有安裝憑證。若忽略內網設備,自動換證後內部系統可能因憑證未更新而出現安全警告或無法連線。
NC-ACME 優勢:針對內網環境,我們可協助使用者在 DMZ 部署一台代理主機,專門執行 DNS 驗證,再將憑證派送到內網設備。
■ 問題 2:除了網頁,還有哪些服務需要 SSL?
大多數人想到 SSL 就是 HTTPS 網站。但以下服務也經常掛載憑證:
- API / Web Service(REST、SOAP、Webhook)
- 郵件伺服器(IMAPS、POP3S、SMTP with STARTTLS)
- FTP over TLS(FTPS)
- VPN(SSL VPN、OpenVPN、WireGuard 管理介面)
- 資料庫管理介面(如 MySQL、PostgreSQL、Redis 的加密連線)
- 網管設備後台(NAS、防火牆、交換器、IP KVM)
■ 問題 3:您的 DNS 是怎麼管理的?(影響 DNS 驗證可行性)
NC-ACME 的 HTTP 驗證 完全不需要修改 DNS,是最簡單的自動化方式。
但是,以下情況 必須使用 DNS 驗證,無法使用 HTTP 驗證:
- 服務在內網,無法從外部存取 HTTP 驗證檔案
- Wildcard憑證 (*.example.com)
- 伺服器沒有 80 或 443 埠可對外開放(例如僅開放特定 IP 存取)
因此,請確認是否具備 DNS 自動化更新的條件:
| DNS 管理方式 | 是否需要 DNS API 才能自動換證 | NC-ACME 建議做法 |
|---|---|---|
| 網路中文代管 DNS | 最容易 | 整合 NC-ACME,提供 API |
| 雲端 DNS 服務(Cloudflare、Hinet、GoDaddy 等) | 多數支援 | NC-ACME 支援多種 DNS 外掛,請提供 API Token |
| 自建 DNS(BIND、PowerDNS、Windows DNS) | 需額外開發 | 若無 API,則無法自動進行 DNS 驗證。建議改用 HTTP 驗證(前提是服務可對外) |
| 自管但無 API | 無法自動 | 建議轉移至支援 API 的 DNS 或交由網路中文代管 |
NC-ACME 特色:如果您的情況 可以使用 HTTP 驗證,那麼完全不需要擔心 DNS API 的問題。我們會協助您在伺服器上設定 HTTP 驗證,整個過程自動化。
■ 問題 4:是否有特殊網通設備掛載 SSL 憑證?
現代網路架構中,SSL 憑證不一定只放在網頁伺服器上。常見的 SSL 用途還包括:
- 負載平衡器(F5、A10、NetScaler、HAProxy、Nginx)
- Web 應用程式防火牆(WAF)
- 反向代理伺服器(Apache、Traefik、Envoy)
- 硬體 SSL 加速卡或閘道器
NC-ACME 預設會將憑證部署到「執行它的本機」。如果您的 SSL是使用於外部設備(如 F5),則需要將 NC-ACME 取得的憑證傳送到該設備上。
目前 NC-ACME 可透過 SSH、SCP、API 或自訂腳本來完成遠端部署,但需要使用者提供該設備的存取方式。
建議做法:
- 列出所有會使用 SSL 的設備型號與韌體版本。
- 評估該設備是否支援遠端更新憑證(例如 SCP 上傳後執行 reload 指令)。
- 若完全不支援自動化,可能需要將 SSL 終止點往後移動到一般伺服器上,或改用半自動方式(NC-ACME 產生憑證後發送通知,由人工上傳)。
■ 問題 5:伺服器的作業系統與版本
NC-ACME 目前 正式支援 Linux 與 Windows 環境,並提供對應的安裝檔案與執行檔。
| 作業系統 | NC-ACME 支援狀況 | 憑證部署方式 | 注意事項 |
|---|---|---|---|
| Windows Server 2016 / 2019 / 2022 | 完整支援 | 直接存入 Certificate Store,自動重啟 IIS / 應用程式集區 | 提供 GUI 與 CLI 兩種模式 |
| Windows Server 2012 R2 | 支援(需安裝 PowerShell 5.0+) | 同上 | 舊版可能需要額外元件 |
| Linux(Ubuntu 18.04+ / Debian 10+ / CentOS 7+ / RHEL 8+) | 完整支援 | 將憑證寫入指定路徑,支援自動重啟 Nginx / Apache | 提供 apt / yum 安裝源 |
| 較舊的 Linux(CentOS 6、Debian 8) | 有限支援 | 需手動安裝相依套件 | 建議升級或改用半自動模式 |
| FreeBSD / macOS | 未正式支援 | 不適用 | 可考慮使用 Docker 版 NC-ACME |
| 容器環境(Docker / Kubernetes) | 可支援 | 提供 Docker 映像檔,支援 K8s Ingress 更新 | 需額外設定 |
■ 問題 6:您目前使用的是哪一種類型的憑證?
不同的憑證類型,會影響 NC-ACME 使用的驗證方式:
| 類型 | 說明 | 適合的 NC-ACME 驗證方式 | 限制 |
|---|---|---|---|
| 單域名 | 只保護一個 FQDN,如 www.example.com | HTTP(最簡單)或 DNS | 無特殊限制 |
| 多域名(SAN/UCC) | 一張憑證保護多個不同域名(如 www.com 與 shop.com.tw) | 若所有域名都可從外部 HTTP 存取,可用 HTTP;否則需 DNS | 需確保每個域名都能完成驗證 |
| Wildcard | 保護 *.example.com 及其子域名 | 僅 DNS(HTTP 無法驗證 *.) | DNS 必須有 API 或由網路中文代管 |
Wildcard實務建議:如果您大量使用Wildcard憑證且 DNS 不支援 API,可以評估將 DNS 轉移至網路中文DNS代管主機,或改為申請多張單域名憑證(可透過 NC-ACME 批次管理)。
NC-ACME 可同時管理多種類型憑證,不需要為不同憑證安裝不同工具。
■ 憑證使用盤點表
請根據您的實際環境,勾選或填寫下表。若有不明確之處可先留空,網路中文將與您逐一確認。
| 項目 | 問題說明 | 您的答案(請勾選或填寫) |
|---|---|---|
| 1. 網路架構 | 需加密的服務是否包含內部網路(內網)?(例如內部網站、ERP、無法從公網存取的設備) | □ 僅外網(所有服務皆可從網際網路存取) □ 內網與外網皆有加密需求 □ 其他:________ |
| 2. 服務類型 | 除了網頁(HTTPS),還有哪些服務需要 SSL 憑證?(可複選) | □ 僅網頁服務 □ API / Web Service □ 郵件伺服器(IMAPS / POP3S / SMTPS) □ FTP over TLS □ VPN(SSL VPN / OpenVPN) □ 管理介面(NAS、防火牆、交換器等) □ 其他:________ |
| 3. DNS 管理方式 | 您的域名 DNS 是由誰管理?是否支援 API?(此項僅在使用 DNS 驗證時才需要) | □ 自建 DNS 伺服器(軟體/設備:) ▪ 是否有 API 可自動新增/刪除 TXT 記錄? □ 有 □ 無 □ 不確定 □ 雲端 DNS 服務(廠商名稱:) ▪ 是否支援 API 或與 ACME 整合? □ 支援 □ 不支援 □ 不確定 □ 交由網路中文代管 DNS □ 其他:________ ※ 若您確定只使用 HTTP 驗證,此題可略過 |
| 4. 特殊網通設備 | 是否有負載平衡器、WAF、反向代理或硬體 SSL 加速設備在終止 SSL?(這些設備上掛載的憑證也需要自動換證) | □ 無,SSL 直接在各台網頁伺服器上終止 □ 有,設備型號/廠牌: ▪ 該設備是否提供 API 或腳本方式更新憑證? □ 有 □ 無 □ 不確定 □ 其他: |
| 5. 作業系統與版本 | 主要承載 SSL 服務的伺服器作業系統及版本為何?(若有多台,請列出最主要的一兩種) | • 伺服器 A:(例如 Windows Server 2019) • 伺服器 B:(例如 Ubuntu 22.04) • 容器環境(Docker / K8s):□ 無 □ 有(說明:) □ 其他: ※ NC-ACME 支援 Linux 與 Windows,其他環境請備註 |
| 6. 現有憑證類型 | 目前使用的 SSL 憑證屬於哪一類?(可依現況勾選) | □ 單域名憑證(只保護一個 FQDN,如 www.example.com) □ 多域名憑證(保護多個不同域名) □ 萬用字元憑證(保護 *.example.com 及其子域名) □ 混合使用(請簡述:________) |
補充資訊(選填)
| 項目 | 說明 | 您的答案 |
|---|---|---|
| 憑證數量預估 | 大約需要自動換證的憑證總數(張數) | 約 _______ 張 |
| 主要憑證品牌偏好 | 是否有偏好的 CA 或現有合約品牌? | □ Sectigo □ DigiCert □ GlobalSign □ 其他:________ |
| 希望自動化程度 | 未來效期縮短後,您希望自動化到什麼程度? | □ 全自動(NC-ACME 完全自動,無需人工介入) □ 半自動(NC-ACME 取得憑證後,通知人工部署) □ 僅監控告警(仍由我方手動換證) |
| 是否需要網路中文協助設定 HTTP 驗證? | NC-ACME 可協助您設定對外 HTTP 驗證所需的網頁目錄與權限 | □ 需要,請協助遠端設定 □ 不需要,我們自己會設定 |
| 有無特殊合規要求 | 例如需要 EV 憑證、特定資安稽核、日誌保存等 | □ 無 □ 有(請簡述:________) |
填寫後下一步
請將填寫完畢的盤點表(或直接截圖表格內容)寄至網路中文:
- 電子郵件:sales@net-chinese.com.tw
- 電話:02-2531-9696
我們將根據您的環境現狀,提供:
1. NC-ACME 安裝與設定建議(支援 Linux / Windows)
2. 驗證方式選擇(優先使用 HTTP 驗證,必要時改用 DNS 驗證)
3. 需要調整的環節(例如開通特定防火牆規則、提供 DNS API 權限)
4. 最具實用性與經濟效益的方案比較(全自動、半自動、代管 DNS + NC-ACME 套裝)
協助使用者盡可能輕鬆完成 HTTP/DNS 驗證,擺脫手動換證的風險與人力成本。 事先盤點,讓 NC-ACME 發揮最大效用,無痛接軌未來短效期憑證時代。
