Skip to main content

Einrichten einer benutzerdefinierten Anwendung für Managed Automation

Die CertCentral Managed Automation unterstützt die gängigsten Webserver-Anwendungen.

CertCentral bietet außerdem die Flexibilität, die Zertifikatsverwaltung für zusätzliche Anwendungen zu erweitern, die nicht nativ unterstützt werden, indem die Konfiguration von ACME-Clients von Drittanbietern über die Option „benutzerdefinierte Anwendung“ ermöglicht wird.

Führen Sie die folgenden Schritte aus, um die verwaltete Automatisierung für eine benutzerdefinierte Anwendung zu aktivieren:

Step 1: Install DigiCert agent

Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about how to deploy DigiCert agents on your servers, see Installieren und aktivieren eines ACME-Automatisierungsagent auf Linux.

Einrichten eines ACME-Clients eines Drittanbieters

In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.

CertCentral Managed Automation funktioniert mit jedem Drittanbieter-Client, der das ACME-Protokoll nach Industriestandard unterstützt.

Step 3: Create shell script

You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.

The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.

Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):

Beispiel 1. Certbot (Linux)
directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

Beispiel 2. Win-ACME (Windows)
set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variable definitions at the top of these shell scripts set the required ACME request parameters:

  • These must match up with the ACME arguments you configure for the custom application in CertCentral.

  • During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.

Commands used in the shell script:

  • Must include all mandatory parameters.

  • Must not exceed 512 characters.

  • Must not include special directives like rm -rf or rmdir

The shell script filename:

  • Must end with .bat or .sh

  • Must not exceed 255 characters.

Einstellungen für Managed Automation konfigurieren

Verwenden Sie das CertCentral-Menü Automatisierung verwalten, um die Konfiguration für Ihre benutzerdefinierte Anwendung abzuschließen:

  1. Gehen Sie in Ihrem CertCentral-Konto im linken Hauptmenü auf Automatisierung > Automatisierung verwalten.

  2. Wählen Sie in der Ansicht Automatisierung verwalten den Namen des lokalen ACME-Agents aus, der auf demselben Zertifikatshost wie die benutzerdefinierte Anwendung ausgeführt wird.

  3. Gehen Sie rechts im Konfigurationsfenster des Agents zum Abschnitt IP/Port konfigurieren.

  4. Suchen Sie die IP-Adresse und die Portnummer für die benutzerdefinierte Anwendung. Wählen Sie Benutzerdefiniert als Anwendungsname.

  5. Geben Sie im Feld Client-Befehlspfad den vollständigen Verzeichnispfad für das Shell-Skript an, das den ACME-Client eines Drittanbieters aufrufen wird.

    Beispiel:

    • Windows: G:\certcentral\agent\custom_automation_1.bat

    • Linux: /home/certcentral/agent/custom_automation_1.sh

  6. Geben Sie im Feld Client-Befehlsargumente die zu verwendenden allgemeinen ACME-Argumente an.

    Beispiel:

    {acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}

    Beachten Sie Folgendes:

    • Jedes Argument muss genau wie hier dargestellt eingegeben werden.

    • Die Reihenfolge der Argumente muss mit der Verwendung in Ihrem Shell-Skript übereinstimmen.

    • Während eines Automatisierungsereignisses werden die erforderlichen Werte für diese Argumente automatisch aus dem ausgewählten Automatisierungsprofil abgerufen.

    Erklärung der von CertCentral unterstützten ACME-Argumente:

    • {acmeDirectoryUrl} – Einstellungen der ACME Verzeichnis-URL.

    • {hosts} – Zertifikatshost-Details.

    • {email} – E-Mail-Adresse für Benachrichtigungen.

    • {key} – Schlüsselalgorithmus (RSA oder ECC).

    • {extActKid} – In der URL verwendete externe Schlüssel-ID.

    • {extActHmac} – HMAC-Schlüssel zum Signieren der Antwort.

  7. Wählen Sie Speichern, um die Konfigurationsänderungen in Kraft zu setzen.

Wie geht es weiter?

Nach dem Einrichten der benutzerdefinierten Anwendung können Sie für diese Zertifikatsautomatisierungen auf die gleiche Weise verwalten wie für andere verwaltete Anwendungen.

In diesem Abschnitt: