Verwenden Sie ältere CertCentral ACME-Anmeldeinformationen
Am 30. Januar 2024 veröffentlichte DigiCert eine neue Version des CertCentral ACME-Dienstes mit Unterstützung für Folgendes:
ACME-basierte Automatisierung für DV-Zertifikate.
Dynamische Validierungsprüfungen der Domänenkontrolle über das ACME-Protokoll.
Automatische Auswahl der Zertifikatsaktion (registrieren/erneuern/neu ausstellen/duplizieren), mit der Möglichkeit, eine neue Registrierung zu überschreiben und zu erzwingen.
Alle ACME-Anmeldeinformationen, die vor der Veröffentlichung vom 30. Januar 2024 in CertCentral erstellt wurden, unterstützen die oben genannten Funktionen nicht und gelten als veraltet. DigiCert empfiehlt, dass Sie neue ACME-Anmeldeinformationen hinzufügen Ersetzen Sie alle alten ACME-Anmeldeinformationen in deinem Account.
Warnung
Wenn Sie Zertifikate mit älteren ACME-Anmeldeinformationen anfordern, führt CertCentral alle Domänenvalidierungsprüfungen selbst durch, unabhängig vom ACME-Protokoll. Der FQDN muss in der CertCentral-Plattform vorab validiert werden und aktiv sein und innerhalb der Validierung Wiederverwendung Zeitraum.
Während eines ACME-Automatisierungsereignisses wird vom ACME-Protokoll selbst keine Autorisierung durchgeführt, auch wenn dies angefordert wird. Alle Autorisierungsprüfungen werden Out-of-Band von CertCentrals Enterprise Registration Authority (RA)-Diensten durchgeführt.
Ersetzen Sie Ihre alten ACME-Anmeldeinformationen
Wenn Sie über ältere ACME-Anmeldeinformationen in Ihrem Konto verfügen, wird über der Tabelle auf der eine Bannermeldung angezeigt ACME-Verzeichnis-URLs Seite in CertCentral. Jeder Satz älterer ACME-Anmeldeinformationen ist mit einem Warnsymbol neben dem gekennzeichnet Status Spalte in der Tabelle.
So ersetzen Sie Ihre alten ACME-Anmeldeinformationen:
Überprüfen Sie das Zertifikatprodukt und die Einstellungen für die alten ACME-Anmeldeinformationen. Sie können dies auf der überprüfen ACME-Verzeichnis-URLs Klicken Sie auf die Seite, indem Sie die QuickInfos neben dem auswählen Beschreibung Spalte.
Fügen Sie neue ACME-Anmeldeinformationen hinzu für dasselbe Zertifikatprodukt und dieselben Einstellungen.
Konfigurieren Sie Ihre ACME-Clients die neuen ACME-Anmeldeinformationen anstelle der alten zu verwenden.
Hinweis
Weitere Informationen zur Verwendung der neuesten ACME-Automatisierungsfunktionen von CertCentral finden Sie unter: Fordern und verwalten Sie Zertifikate mit ACME
Certbot-Beispiele für ältere ACME-Anmeldeinformationen
So verwenden Sie weiterhin Ihre alten ACME-Anmeldeinformationen:
Stellen Sie sicher, dass sowohl die Organisation als auch die Domäne in CertCentral vorab validiert sind. Kontakt DigiCert-Validierungsunterstützung wenn Sie dabei Hilfe benötigen.
Für andere Zertifikatsaktionen als neue Registrierungen hängen Sie die vorhandene Bestell-ID-Nummer und die angeforderte Zertifikatsaktion an die ACME-URL an, wie in den Certbot-Beispielen unten gezeigt.
Stellen Sie ein Zertifikat aus und installieren Sie es
Falls Sie das Certbot-Auto-Skript installiert haben, ersetzen Sie in dem Befehl certbot
durch ./certbot-auto
. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.
Öffnen Sie eine Terminalsitzung auf Ihrem Webserver, z. B. mit SSH.
Beantragen Sie an der Terminaleingabeaufforderung ein Zertifikat mit Certbot und dem folgenden Befehl:
Stellen Sie sicher, dass Sie
YOUR-KEY-IDENTIFIER
durch das KID zur externen Kontobindung ersetzen.Ersetzen Sie
YOUR-HMAC-KEY
durch den HMAC-Schlüssel der externen Kontobindung.Ersetzen Sie
YOUR-ACME-URL
durch die zuvor erstellte ACME-Verzeichnis-URL.Ersetzen Sie außerdem
FQDN
durch den vollqualifizierten Namen der Domäne, die durch das Zertifikat geschützt werden soll. Fügen Sie für jeden FQDN eine zusätzliche-d
-Option hinzu.sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Beispiel:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
Geben Sie nach Bedarf angepasst Ihren Certbot-Befehl ein.
Weitere Informationen über Befehle und Optionen, die in diesen Anweisungen verwendet werden, finden Sie in Certbot-Befehlsoptionen.
Sie werden aufgefordert, die Vertragsbedingungen zu akzeptieren. Geben Sie „A“ ein und drücken Sie die Eingabetaste.
Derzeit gibt es bei DigiCert keine zusätzlichen Nutzungsbedingungen für den ACME.
Falls Ihr Antrag einen FQDN enthält, für den Certbot keinen passenden virtuellen Host findet, werden Sie aufgefordert, den virtuellen Host auszuwählen, auf dem Sie das Zertifikat installieren möchten. Durchsuchen Sie auf Apache das Virtual-Verzeichnis-nach dem ServerName der mit dem FQDN übereinstimmt.
Wählen Sie, ob der HTTP-Verkehr nach HTTPS umgeleitet werden soll.
Falls Sie sich für die Umleitung entscheiden, wird der HTTP-Zugriff auf Ihre Website deaktiviert.
Wenn Sie fertig sind, erhalten Sie vom Server eine Erfolgsmeldung: „Herzlichen Glückwunsch! Sie haben Ihre Domänen... erfolgreich aktiviert.“
Ihr ACME-Zertifikatsantrag ist abgeschlossen und das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Besuchen Sie Ihre Website, um zu bestätigen, dass Ihr Zertifikat vorhanden ist.
Hinweis
ACME Fehlercodes: ACME gibt die gleichen Fehler und Fehlermeldungen zurück wie die CertCentral-API. Eine Liste der Fehlercodes und ihrer Bedeutung finden Sie unter Fehler.
Erneuern Sie ein Zertifikat und stellen Sie es erneut aus
Ein Zertifikat erneuern, wenn es abgelaufen ist oder erneuert werden soll. Ein Zertifikat neu ausstellen, wenn es fehlt oder widerrufen wurde.
Um ein Zertifikat zu verlängern und neu auszustellen, verwenden Sie den unten stehenden Certbot-Befehl:
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Sie müssen die orderId
und die action
an die URL anhängen, wie unten gezeigt.
Beispiel (verlängern):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
Beispiel (neu ausstellen):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
Anmerkung
Für Konten mit Mehrjahresplan:
Erneuern Sie ein Zertifikat, wenn die Abdeckung des Auftrags abläuft.
Stellen Sie ein Zertifikat neu aus, wenn es widerrufen wurde oder innerhalb der Laufzeit des Auftrags abläuft.
Stellen Sie ein Duplikat des Zertifikats aus
Um die Sicherheit zu erhöhen und die Installation des Zertifikats auf mehreren Servern zu vereinfachen, stellen Sie für jeden Server ein Duplikat des Zertifikats aus.
Die Details in dem Duplikat entsprechen denen des Originals. Zweitzertifikate erfordern es niemals, dass DigiCert früheren Kopien Ihres Zertifikats widerruft.
Um ein Zertifikat auszustellen, verwenden Sie den unten stehenden Certbot-Befehl:
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Sie müssen die orderId
und die action
an die URL anhängen, wie unten gezeigt.
Beispiel:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com
Certbot-Befehlsoptionen
certbot
: führt die ausführbare Certbot-Datei aus.certbot-auto
: Verwenden Sie dies anstelle von Certbot, falls das Certbot-Auto-Skript installiert ist. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.--apache
: Gibt das Apache-Certbot-Plug-In an, das das Zertifikat für Sie installiert. Optional.--register-unsafely-without-email
: Ermöglicht Ihnen, das Erstellen eines ACME-Kontos zu überspringen. Da Ihr Antrag bereits mit Ihrem CertCentral-Konto verbunden ist, ist dies nicht erforderlich. Optional.--server “
URL
”
: Gibt an, welcher ACME-Server Ihre Anforderung erfüllen soll. Platzieren Sie Ihre ACME-Verzeichnis-URL in doppelten Anführungszeichen hinter dieser Option.--eab-kid=YOURKID
: Gibt den Schlüsselbezeichner an, der ein Teil der gemeinsamen URL ist.--eab-hmac-key=YOURHMACKEY
: Gibt den Schlüssel an, der zum Signieren der Antwort verwendet wird.-d YOUR
DOMÄNE
: Der vollqualifizierte Domänennamen ist Teil des Zertifikats. Geben Sie für jeden FQDN im Zertifikat ein –d YOURDOMAIN ein. Falls Sie diese Option nicht nutzen, fordert Certbot Sie auf, die Domänen anzugeben, die Sie, basierend auf ihren konfigurierten virtuellen Hosts, einbeziehen möchten. Optional.orderId “YOURORDERID”
: Gibt den Auftrags-ID-Typ des vorhandenen Zertifikats an.action “YOURACTION”
: Gibt die Aktion für das angeforderte Zertifikat an.
Eine vollständige Liste der Certbot-Befehle ist über das Terminal mit certbot –help
verfügbar oder siehe die Liste der Befehle auf der Certbot-Dokumentations-Website.