Skip to main content

Certbot-Beispiel: Zertifikat mithilfe von ACME-URL-Abfrageparametern erneuern, erneut ausstellen oder duplizieren

Jedes Mal, wenn Sie eine Zertifikatautomatisierung mit einem ACME-Client eines Drittanbieters anfordern, CertCentral sucht nach vorhandenen Zertifikatsbestellungen und wendet, wenn eine passende Zertifikatsbestellung gefunden wird, die Standardlebenszyklusaktion für diese Bestellung an. Sehen ACME-Automatisierungsaktionen.

Sie können den ACME-Client eines Drittanbieters auch explizit anweisen, eine bestimmte Lebenszyklusaktion für eine vorhandene Zertifikatsbestellung auszuführen, indem Sie den Automatisierungsaktionstyp und die Zertifikatsbestellungs-ID als Abfrageparameter zur ACME-URL hinzufügen.

Hinweis

CertCentral can automatically renew and reissue certificates for existing orders when applicable. See ACME-Automatisierungsaktionen.

To duplicate an existing certificate, the certificate profile must have duplicates enabled, and you must include the automation action and order ID in the ACME URL.

Betrachten Sie beispielsweise die folgenden ACME-URLs, die Abfrageparameter für Automatisierungsaktionen und Bestell-IDs enthalten:

  • https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456

    Erneuern Sie das Zertifikat ab der Bestell-ID-Nummer 555123456.

  • https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012

    Stellen Sie das Zertifikat mit der Bestell-ID-Nummer 555789012 erneut aus.

  • https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678

    Stellen Sie ein Duplikat des Zertifikats mit der Bestell-ID-Nummer 555345678 aus.

Die folgenden Beispiele veranschaulichen vollständige Certbot-Clientbefehle, die ACME-URLs mit hinzugefügten Abfrageparametern enthalten.

  • Erneuern Sie das öffentliche Vertrauenszertifikat mit der Bestell-ID-Nummer 555123456 für Domänen example.com Und www.example.com, Verwendung von HTTP-1 zur Validierung der Domänenkontrolle und Installation des erneuerten Zertifikats auf dem lokalen Apache-Webserver:

    sudo certbot --apache --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456 --config-dir /usr/local/certbot/my_other_public_webserver_config/ -d test.com -d www.test.com --preferred-challenges http
  • Stellen Sie das öffentliche Trust-Wildcard-Zertifikat mit der Bestell-ID-Nummer 555789012 erneut aus *.my.example.com, Verwendung von DNS-1 zur Domänenkontrollvalidierung und Installation des neu ausgestellten Zertifikats auf dem lokalen NGINX-Webserver:

    sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012 --config-dir /usr/local/certbot/my_public_webserver_config/ -d *.my.example.com --manual --preferred-challenges dns
  • Stellen Sie für Domänen ein Duplikat des öffentlichen Vertrauenszertifikats mit der Bestell-ID-Nummer 555345678 aus test.com Und mail.test.com, Verwendung von HTTP-1 zur Domänenkontrollvalidierung und Installation des doppelten Zertifikats auf dem lokalen NGINX-Webserver:

    sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678 --config-dir /usr/local/certbot/my_public_webserver_config/ -d test.com -d mail.test.com --preferred-challenges http

Wenn die ACME-Automatisierungsanforderung gültig ist, wird das resultierende Zertifikat wie üblich automatisch ausgestellt und für Sie installiert.