Skip to main content

Fehlerbehebungsszenarien bei ACME-Clients von Drittanbietern

CertCentral funktioniert mit jedem Automatisierungs-Client, der das ACME-Protokoll nach Industriestandard unterstützt.

EFF’s Certbot wird hier als Referenzclient für alle Fehlerbehebungsbeispiele verwendet. Die Implementierung für andere Clients kann variieren.

Szenario: CertCentral stellt ein Zertifikat aus, das mit der alten ACME-Verzeichnis-URL verknüpft ist.

Szenario:

  1. Der Administrator verwendet den ACME-Client mit der alten ACME-Verzeichnis-URL.

  2. Der Administrator erstellt eine neue ACME-Verzeichnis-URL, um ein neues Zertifikat zu erhalten.

  3. CertCentral stellt weiterhin ein Zertifikat mit der alten ACME-Verzeichnis-URL anstelle der neuen URL aus.

Lösung:

Um ein Zertifikat zu erhalten, das mit der neuen ACME-Verzeichnis-URL verbunden ist, erstellen Sie ein neues Verzeichnis und geben den Parameter config-dir bei der Anforderung des Clients an.

  1. Erstellen Sie ein Konfigurationsverzeichnis für das neue Zertifikat. Beispiel: C:\<ConfigDirectory>

  2. Führen Sie den Befehl aus und geben Sie das Konfigurationsverzeichnis, die ACME-Verzeichnis-URL, den HMAC-Schlüssel und die KID-Parameter an.

.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir=<UniqueConfigDirectoryPath> --server <ACMEURL> --eab-kid=<KIDValue> --eab-hmac-key=<HMACkeyValue>

Szenario: Die widerrufene ACME-Verzeichnis-URL verhindert den Erhalt eines Zertifikats mit der neuen ACME-Verzeichnis-URL.

Szenario:

  1. Der Administrator verwendet den ACME-Client mit der alten ACME-Verzeichnis-URL.

  2. Der Administrator erstellt eine neue ACME-Verzeichnis-URL, um ein neues Zertifikat zu erhalten.

  3. Der Administrator widerruft die alte ACME-Verzeichnis-URL.

  4. CertCentral stellt weiterhin ein Zertifikat mit der alten ACME-Verzeichnis-URL anstelle der neuen URL aus.

Lösung:

Um ein Zertifikat zu erhalten, das mit der neuen ACME-Verzeichnis-URL verknüpft ist:

  1. Löschen Sie das Konfigurationsverzeichnis des zuvor ausgestellten Zertifikats, das mit der widerrufenen ACME-Verzeichnis-URL konfiguriert ist.

  2. Erstellen Sie ein Konfigurationsverzeichnis für das neue Zertifikat. Beispiel: C:\<ConfigDirectory>

  3. Führen Sie den Befehl aus und geben Sie das Konfigurationsverzeichnis, die ACME-Verzeichnis-URL, den HMAC-Schlüssel und die KID-Parameter an.

.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir=<UniqueConfigDirectoryPath> --server <ACMEURL> --eab-kid=<KIDValue> --eab-hmac-key=<HMACkeyValue>

Szenario: Timeout-Fehler

Timeout-Fehler:

  • Wenn die mit der Zertifikatsanfrage verknüpfte Organisation nicht validiert ist.

  • Wenn die mit der Zertifikatsanfrage verknüpfte Domäne nicht validiert ist.

  • Wenn die Zertifikatsanfrage nicht innerhalb von 24 Stunden genehmigt wird.

  • Wenn die Zertifikatsgenehmigungszeit mehr als 90 Sekunden beträgt.

Lösung:

Bevor Sie eine Zertifikatsanfrage stellen:

  • Stellen Sie sicher, dass die Organisation validiert wurde.

  1. Gehen Sie zu Zertifikate > Organisationen.

  2. Überprüfen Sie auf der Seite Organisationen den Validierungsstatus der Organisation, für die Sie das Zertifikat angefordert haben.

Anmerkung

Wenn die Organisation nicht validiert ist, überprüfen Sie die Anfrage und senden Sie sie erneut zur Validierung. Weitere Informationen finden Sie unter Verwalten von Organisationen.

  • Stellen Sie sicher, dass die Domäne validiert wurde.

  1. Gehen Sie zu Zertifikate > Domänen.

  2. Überprüfen Sie auf der Seite „Domänen“ den Validierungsstatus der Domäne, für die Sie das Zertifikat angefordert haben.

Anmerkung

Wenn die Domäne nicht validiert ist, überprüfen Sie die Anfrage und senden Sie sie erneut zur Validierung. Weitere Informationen finden Sie unter Verwalten von Domänen.

  • Stellen Sie sicher, dass die Zertifikatsanfrage innerhalb von 24 Stunden nach der Auftragserteilung genehmigt wird.

  1. Gehen Sie zu Zertifikate > Anfragen.

  2. Suchen Sie auf der Seite „Anfragen“ den Link „Zertifikatsauftrag“ und klicken Sie darauf, um die Anfrage zu genehmigen.

  • Stellen Sie sicher, dass die Einstellungen für die automatische Genehmigung für das angeforderte Zertifikat aktiviert sind.

  1. Gehen Sie zu Einstellungen > Voreinstellungen.

  2. Wählen Sie auf der Seite Divisionspräferenzen unter Erweiterte Einstellungen im Abschnitt Genehmigungsschritte die Option Genehmigungsschritt überspringen: Genehmigungsschritt aus Ihren Zertifikatsaufträgen entfernen.

In diesem Abschnitt: