Populära ACME-klienter

Q: Kan jag använda en klient som inte finns i listan?

Ja. FairSSL ACME-servern följer RFC 8555 -standarden, så alla kompatibla ACME v2-klienter fungerar. Listan visar de klienter vi har testat och kan ge direkt support för.

Q: Kan jag kombinera wildcard och specifika SAN-namn i ett certifikat?

Ja. ACME stödjer certifikat med blandade SAN-namn, t.ex. *.example.se , example.se och portal.example.se i ett certifikat. Du kan också kombinera flera wildcards ( *.example.se + *.app.example.se ) eller wildcards med specifika hostnamn. Alla wildcard-namn kräver DNS-01-validering.

Alla ACME-klienter som följer RFC 8555 och stöder EAB fungerar med FairSSL. Här är de klienter vi har testat och kan hjälpa med. Kravet är att klienten stödjer RFC 8555, EAB (External Account Binding) och en konfigurerbar server-URL. Använder du en annan klient med FairSSL ACME? Kontakta oss, så hjälper vi med konfigurationen.

Windows

IIS, Exchange, RDP, SQL Server, ADFS

Linux

Apache, Nginx, HAProxy, Docker, Kubernetes

Nätverksutrustning

F5, Palo Alto, NetScaler, Fortinet, pfSense

Cloud

Azure, AWS, Kubernetes cert-manager

Våra rekommendationer

Vi rekommenderar klienter som stödjer både ARI (RFC 9773) och EAB. ARI fungerar som ett dagligt heartbeat: klienten checkar in hos CA:n för att se om certifikatet ska förnyas. Det ger FairSSL möjlighet att övervaka att varje klient är aktiv, signalera tidig förnyelse vid säkerhetsincidenter, och säkerställa att era certifikat aldrig löper ut oväntat. Klienter utan ARI fungerar fortfarande, men förnyar bara efter ett fast tidsintervall. Det blir en ökande risk i takt med att certifikatens livslängd minskar: med kortare livslängder är marginalen för misslyckade förnyelser minimal, och utan ARI kan klienten inte reagera på ändrade förnyelsetidpunkter från CA:n.

Windows

ACME-klienter för Windows Server, IIS, Exchange, RDP, SQL Server och andra Windows-tjänster.

Rekommenderade (ARI + EAB)

simple-acme Sponsrad av FairSSL

IIS, Exchange, RDP, SQL Server, ADFS. Kopiera mappen, konfigurera, klart.

ARI EAB Låg ●●●

Certify The Web

Grafiskt GUI-verktyg för Windows

ARI EAB Låg ●●●

Posh-ACME

PowerShell-modul, skriptbar

ARI EAB Medel ●●●

win-acme

IIS CLI-verktyg

ARI EAB Låg ●●●

Alternativa (bara EAB)

ACME-PS

PowerShell-bibliotek

ARI EAB Medel ●●●

Linux

ACME-klienter för Apache, Nginx, HAProxy, Docker och andra Linux-baserade miljöer.

Rekommenderade (ARI + EAB)

Lego (go-acme)

Go, enkel installation, alla DNS-leverantörer, mångsidig

ARI EAB Låg ●●●

Certbot

Python, klassisk CLI. Nyare versioner kan kräva extra beroenden via pakethanterare.

ARI EAB Medel ●●●

uacme

C, minimal och snabb

ARI EAB Låg ●●●

Caddy

Webbserver med inbyggd ACME

ARI EAB Låg ●●●

Apache mod_md

Nativ Apache-modul

ARI EAB Medel ●●●

Alternativa (bara EAB)

acme.sh

Bash, ingen installation. Ladda ner och kör.

ARI EAB Låg ●●●

Traefik

Reverse proxy med inbyggd ACME

ARI EAB Medel ●●●

Nätverksutrustning

Svår ●●●

Brandväggar, lastbalanserare och nätverksenheter kan vanligtvis inte köra native ACME-klienter. Använd en befintlig Linux- eller Windows-server med en rekommenderad ACME-klient, och distribuera certifikat till enheterna via skript.

Enheter som stöds

Fortinet FortiGate →Fortinet FortiMail →Fortinet FortiWeb →Citrix NetScaler/ADC →F5 BIG-IP →KEMP LoadMaster →Kubernetes (cert-manager) →Palo AltopfSenseOPNsenseUbiquiti

Rekommenderad strategi

1 Använd en befintlig Linux- eller Windows-server med en rekommenderad ACME-klient (t.ex. Lego eller simple-acme)
2 FairSSL Auto DNS hanterar domänvalidering automatiskt via permanent CNAME. Inga DNS API-nycklar eller brandväggsöppningar.
3 Vid lyckad förnyelse laddar ett skript upp certifikatet till enheten och aktiverar det (t.ex. via F5 iControl REST, PAN-OS API)

Cloud

Samma tillvägagångssätt som appliances: kör en ACME-klient på en befintlig server och distribuera till molntjänster via skript. I molnet kan deploy-steget också köras som en molnfunktion (t.ex. AWS Lambda, Azure Functions).

Rekommenderade (ARI + EAB)

AWS Lambda + Lego Rekommenderad

Lambda kör Lego via EventBridge, importerar till ACM med samma ARN. ALB/CloudFront uppdateras automatiskt.

ARI EAB Medel ●●●

Alternativa (bara EAB)

Azure Key Vault Acmebot

DigiCert + GlobalSign ACME för Azure Key Vault

ARI EAB Medel ●●●

cert-manager

Kubernetes, YAML-baserad

ARI EAB Medel ●●●

Vilken klient ska jag använda?

Valet beror på er plattform, kompetens och behov. Här är våra rekommendationer per scenario:

Windows Server med IIS

simple-acme. Inbyggd IIS-bindning, Task Scheduler, ARI.

Linux med Nginx/Apache

Lego är vår standardrekommendation: Go-binär utan beroenden, 80+ DNS-leverantörer, ARI. Certbot är det klassiska valet med stor community. Apache-användare kan även överväga mod_md för nativ integration.

Docker / Kubernetes

Caddy eller Traefik har inbyggd ACME och hanterar certifikat automatiskt. I Kubernetes: cert-manager med FairSSL som ClusterIssuer.

Brandväggar och lastbalanserare

Kör Lego (Linux) eller simple-acme (Windows) på en befintlig server. FairSSL Auto DNS för validering. Post-förnyelse-skript distribuerar via API (F5 iControl, PAN-OS, FortiOS).

Exchange / RDP / SQL Server

simple-acme med DNS-validering och post-förnyelse-skript för ombindning av certifikat. Se RDP/RD Gateway-guiden.

PowerShell-automatisering / scripting

Posh-ACME är en PowerShell-modul med fullt ARI- och EAB-stöd. Idealiskt för befintliga PowerShell-baserade deployment-pipelines.

Varför ARI är viktigt från 2027

Med certifikatlivslängder som minskar till 100 dagar (2027) och 47 dagar (2029), går ACME från att vara "nice to have" till kritisk infrastruktur. ARI (RFC 9773) blir den viktigaste funktionen i er ACME-klient.

Heartbeat-övervakning

Klienten checkar in dagligen. FairSSL ser om klienten är aktiv. Slutar den att polla kan vi varna er innan certifikatet löper ut.

CA-styrd förnyelse

CA:n bestämmer det optimala förnyelsetidpunkten. Vid säkerhetsincidenter (nyckelkompromiss, CA-incident) kan CA:n signalera omedelbar förnyelse.

47-dagars beredskap

Med 47-dagars certifikat (2029) ska förnyelse ske ungefär var 30:e dag. Utan ARI riskerar ni att alla certifikat förnyas samtidigt. ARI sprider förnyelserna intelligent.

Vår viktigaste rekommendation 2026: använd inte en ACME-lösning utan ARI om du kan undvika det. Det är enklare att byta klient idag (med 200-dagars certifikat och god marginal) än 2029 under tidspress med 47-dagars certifikat. Alla våra rekommenderade klienter stödjer ARI.

Vad är EAB?

External Account Binding (EAB) säkerställer att ACME-certifikatbeställningar bara kan göras av er organisation, och att ordrar samt klienter automatiskt läggs till på ert konto och övervakning.

Ni skapar EAB-nycklar i FairSSL-kontrollpanelen genom att klicka Anslut ACME-klient. Ange Key ID och HMAC Key i er klients konfiguration, och klienten är redo.

Vi sponsrar simple-acme och Lego

simple-acme är vår rekommenderade ACME-klient för Windows. Den är byggd av utvecklaren bakom win-acme och stödjer ARI och EAB. Lego är vår rekommenderade ACME-klient för Linux och CI/CD, används av cert-manager och många andra. Båda klienter underhålls aktivt.

Bra open source kräver underhåll, och det bör inte vara helt frivilligt. FairSSL sponsrar båda projekten så att de kan fortsätta utvecklas. När ni använder vår ACME-lösning stödjer ni dem samtidigt.

Vanliga frågor om ACME-klienter

Hitta svar på de vanligaste frågorna om SSL-certifikat och FairSSL.

Kan jag använda en klient som inte finns i listan?

Ja. FairSSL ACME-servern följer RFC 8555-standarden, så alla kompatibla ACME v2-klienter fungerar. Listan visar de klienter vi har testat och kan ge direkt support för.

Vad händer om min klient inte stödjer ARI?

Certifikatet förnyas fortfarande, men bara på klientens eget tidsintervall. Utan ARI kan FairSSL inte övervaka att klienten checkar in dagligen, och CA:n kan inte signalera tidig förnyelse vid säkerhetsincidenter. ARI är inte ett krav, men vi rekommenderar det.

Hur konfigurerar jag EAB med min klient?

Logga in på FairSSL-kontrollpanelen och klicka Anslut ACME-klient för att generera ett nyckelpar (Key ID + HMAC Key). Ange båda i din klients konfiguration tillsammans med FairSSL server-URL. Guider för varje klient finns under Guider.

Hur hanterar jag nätverksutrustning som brandväggar och lastbalanserare?

Enheter som F5 BIG-IP, Palo Alto, NetScaler och FortiGate kan inte köra native ACME-klienter. Använd en befintlig Linux- eller Windows-server med en rekommenderad klient (t.ex. Lego eller simple-acme). FairSSL Auto DNS hanterar domänvalidering automatiskt. Ett post-förnyelse-skript laddar upp och aktiverar certifikatet på enheten via API.

Kan jag kombinera wildcard och specifika SAN-namn i ett certifikat?

Ja. ACME stödjer certifikat med blandade SAN-namn, t.ex. *.example.se, example.se och portal.example.se i ett certifikat. Du kan också kombinera flera wildcards (*.example.se + *.app.example.se) eller wildcards med specifika hostnamn. Alla wildcard-namn kräver DNS-01-validering.

Vad händer om min ACME-klient misslyckas vid förnyelse?

Klienten försöker igen vid nästa schemalagda körning (vanligtvis dagligen). Med ARI aktiverat kan FairSSL se att klienten inte har förnyat som förväntat, och vi kan kontakta er proaktivt. Utan ARI upptäcker ni problemet först när certifikatet närmar sig utgång, eller efter att det har löpt ut. Det är en av anledningarna till att vi rekommenderar klienter med ARI.

Kom igång med ACME-automatisering

Skapa ett gratis konto och utfärda ditt första certifikat på under 10 minuter.

Skapa gratis konto Jämför certifikat