NGINX ने ACME प्रोटोकॉल के लिए नेटिव सपोर्ट जोड़ा

 (blog.nginx.org)
5 पॉइंट द्वारा GN⁺ 2025-08-14 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • NGINX ने SSL/TLS सर्टिफिकेट जारी करने और रिन्यूअल को ऑटोमेट करने वाले ACME प्रोटोकॉल के लिए नेटिव सपोर्ट वाली एक प्रीव्यू रिलीज़ पेश की है
  • Rust-आधारित नए मॉड्यूल ngx_http_acme_module के जरिए अब बाहरी टूल के बिना, सिर्फ NGINX कॉन्फ़िगरेशन से सर्टिफिकेट रिक्वेस्ट, इंस्टॉलेशन और रिन्यूअल किया जा सकता है
  • इससे Certbot जैसे बाहरी टूल पर निर्भरता घटती है और सुरक्षा व प्लेटफ़ॉर्म स्वतंत्रता बढ़ती है
  • शुरुआती वर्ज़न में HTTP-01 challenge का सपोर्ट है, जबकि TLS-ALPN और DNS-01 सपोर्ट बाद में जोड़े जाने की योजना है
  • उम्मीद है कि ACME सपोर्ट वेब के अलावा IoT और edge computing environments में भी security automation में महत्वपूर्ण भूमिका निभाएगा

अवलोकन और मुख्य बदलाव

  • NGINX ने ACME प्रोटोकॉल सपोर्ट फीचर का प्रीव्यू वर्ज़न जारी किया है
  • नए मॉड्यूल ngx_http_acme_module के जरिए NGINX कॉन्फ़िगरेशन के भीतर ही सर्टिफिकेट रिक्वेस्ट, इंस्टॉलेशन और रिन्यूअल को सीधे संभालने के लिए इसे डिज़ाइन किया गया है
  • यह ACME सपोर्ट अंदरूनी तौर पर NGINX-Rust SDK का उपयोग करता है और Rust-आधारित dynamic module के रूप में उपलब्ध कराया गया है
  • इस फीचर का उपयोग सिर्फ open source users ही नहीं बल्कि NGINX Plus enterprise customers भी कर सकते हैं
  • Certbot जैसे मौजूदा बाहरी टूल पर निर्भरता कम करके यह सर्टिफिकेट मैनेजमेंट की सुरक्षा और दक्षता बढ़ाता है

ACME प्रोटोकॉल परिचय

  • ACME(Automated Certificate Management Environment) प्रोटोकॉल एक communication protocol है जो SSL/TLS सर्टिफिकेट के issuance, validation, renewal और revocation को ऑटोमेट करता है
  • क्लाइंट CA(Certificate Authority) के साथ automated communication के जरिए बिना किसी मध्यस्थ के manual work के सीधे सर्टिफिकेट lifecycle को मैनेज कर सकता है
  • इसे Internet Security Research Group(ISRG) ने 2015 में Let’s Encrypt प्रोजेक्ट के रूप में विकसित और सार्वजनिक किया था
  • ACME के आने से पहले सर्टिफिकेट जारी करने की प्रक्रिया मैनुअल थी और इसमें लागत व त्रुटि की संभावना अधिक होती थी
  • नवीनतम ACMEv2 में authentication methods, wildcard support जैसी कई सुविधाएँ जोड़ी गई हैं, जिससे इसकी flexibility और security बढ़ी है

NGINX में ACME-आधारित सर्टिफिकेट automation flow

  • NGINX में ACME प्रोटोकॉल का उपयोग करके सर्टिफिकेट lifecycle automation नीचे दिए गए 4 चरणों में होता है

  • 1. ACME server configuration

    • ACME फीचर को सक्रिय करने के लिए acme_issuer के साथ ACME server की directory URL को अनिवार्य रूप से निर्दिष्ट करना होता है
    • सर्टिफिकेट issue होने के समय client contact information, state data storage path जैसी चीज़ें भी विकल्प के रूप में दी जा सकती हैं

  • 2. shared memory(zone) allocation

    • acme_shared_zone के जरिए सर्टिफिकेट, private key और challenge data को स्टोर करने के लिए shared memory zone अलग से कॉन्फ़िगर की जा सकती है
    • इसका डिफ़ॉल्ट आकार 256K है और आवश्यकता के अनुसार इसे बढ़ाया जा सकता है

  • 3. challenge configuration

    • मौजूदा प्रीव्यू वर्ज़न केवल HTTP-01 challenge को सपोर्ट करता है, जिसका उपयोग domain ownership verification के लिए होता है
    • इसके लिए NGINX कॉन्फ़िगरेशन में port 80 listener और default 404 response setting को परिभाषित करना होता है
    • आगे चलकर TLS-ALPN, DNS-01 challenge का सपोर्ट जोड़ा जाएगा

  • 4. सर्टिफिकेट जारी करना और रिन्यूअल

    • server block में acme_certificate directive जोड़ने पर संबंधित domain के लिए TLS सर्टिफिकेट issuance/renewal को ऑटोमेट किया जा सकता है
    • सर्टिफिकेट के target domain को आमतौर पर server_name से निर्दिष्ट किया जाता है
    • server_name में regular expression और wildcard का सपोर्ट प्रीव्यू वर्ज़न में नहीं है
    • मॉड्यूल के भीतर $acme_certificate, $acme_certificate_key variables के जरिए सर्टिफिकेट और key अपने-आप लिंक हो जाते हैं

मुख्य फायदे

  • दुनिया भर में HTTPS उपयोग में तेज़ बढ़ोतरी के केंद्र में ACME प्रोटोकॉल रहा है
  • ऑटोमेटेड सर्टिफिकेट मैनेजमेंट से सर्टिफिकेट lifecycle management की लागत और manual errors में उल्लेखनीय कमी आती है
  • बाहरी टूल हटने से attack surface कम होता है और portability बढ़ती है
  • विभिन्न environments में security standardization को बढ़ावा मिलता है

आगे की योजना

  • TLS-ALPN और DNS-01 challenge सपोर्ट जोड़ा जाएगा
  • user feedback के आधार पर फीचर का विस्तार किया जाएगा
  • IoT, API, edge computing को अपनाने का दायरा बढ़ने के साथ ACME के भविष्य में और व्यापक automated security infrastructure में मुख्य भूमिका निभाने की उम्मीद है
  • NGINX का नेटिव ACME सपोर्ट वेब security, automation और scalability को भविष्य के standard के रूप में स्थापित करने की दिशा में आधारभूत भूमिका निभाएगा

शुरुआत करें

  • open source users NGINX Linux पैकेज से prebuilt module का उपयोग कर सकते हैं
  • NGINX Plus enterprise customers को यह F5-supported dynamic module के रूप में उपलब्ध है
  • मॉड्यूल डॉक्यूमेंटेशन के लिए NGINX Docs देखें

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.