Certbot-Beispiel: Zertifikat mithilfe von ACME-URL-Abfrageparametern erneuern, erneut ausstellen oder duplizieren
Jedes Mal, wenn Sie eine Zertifikatautomatisierung mit einem ACME-Client eines Drittanbieters anfordern, CertCentral sucht nach vorhandenen Zertifikatsbestellungen und wendet, wenn eine passende Zertifikatsbestellung gefunden wird, die Standardlebenszyklusaktion für diese Bestellung an. Sehen ACME-Automatisierungsaktionen.
Sie können den ACME-Client eines Drittanbieters auch explizit anweisen, eine bestimmte Lebenszyklusaktion für eine vorhandene Zertifikatsbestellung auszuführen, indem Sie den Automatisierungsaktionstyp und die Zertifikatsbestellungs-ID als Abfrageparameter zur ACME-URL hinzufügen.
Betrachten Sie beispielsweise die folgenden ACME-URLs, die Abfrageparameter für Automatisierungsaktionen und Bestell-IDs enthalten:
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456Erneuern Sie das Zertifikat ab der Bestell-ID-Nummer 555123456.
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012Stellen Sie das Zertifikat mit der Bestell-ID-Nummer 555789012 erneut aus.
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678Stellen Sie ein Duplikat des Zertifikats mit der Bestell-ID-Nummer 555345678 aus.
Die folgenden Beispiele veranschaulichen vollständige Certbot-Clientbefehle, die ACME-URLs mit hinzugefügten Abfrageparametern enthalten.
Erneuern Sie das öffentliche Vertrauenszertifikat mit der Bestell-ID-Nummer 555123456 für Domänen
example.comUndwww.example.com, Verwendung von HTTP-1 zur Validierung der Domänenkontrolle und Installation des erneuerten Zertifikats auf dem lokalen Apache-Webserver:sudo certbot --apache --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456 --config-dir /usr/local/certbot/my_other_public_webserver_config/ -d test.com -d www.test.com --preferred-challenges http
Stellen Sie das öffentliche Trust-Wildcard-Zertifikat mit der Bestell-ID-Nummer 555789012 erneut aus
*.my.example.com, Verwendung von DNS-1 zur Domänenkontrollvalidierung und Installation des neu ausgestellten Zertifikats auf dem lokalen NGINX-Webserver:sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012 --config-dir /usr/local/certbot/my_public_webserver_config/ -d *.my.example.com --manual --preferred-challenges dns
Stellen Sie für Domänen ein Duplikat des öffentlichen Vertrauenszertifikats mit der Bestell-ID-Nummer 555345678 aus
test.comUndmail.test.com, Verwendung von HTTP-1 zur Domänenkontrollvalidierung und Installation des doppelten Zertifikats auf dem lokalen NGINX-Webserver:sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678 --config-dir /usr/local/certbot/my_public_webserver_config/ -d test.com -d mail.test.com --preferred-challenges http
Wenn die ACME-Automatisierungsanforderung gültig ist, wird das resultierende Zertifikat wie üblich automatisch ausgestellt und für Sie installiert.