Skip to main content

Automatisierungsbeispiele mit ACME-Clients von Drittanbietern

Mit CertCentral können Sie Zertifikate mithilfe eines beliebigen ACME-Clients von Drittanbietern automatisieren. Ein solcher Client ist EFF's Certbot.

Die Beispiele zeigen, wie der Certbot-Client zum Initiieren von Zertifikatsautomatisierungs-Aktionen für den Apache-Webserver eingesetzt wird.

Obwohl diese Beispiele Certbot verwenden, beachten Sie bitte, dass DigiCert jeden ACME-Client oder Webserver unterstützt.

Hinweis

Anweisungen zur Verwendung des Kubernetes Cert-Managers zum Erstellen und Verwalten von TLS/SSL-Zertifikaten finden Sie unter Konfigurieren des Cert-Managers und DigiCert ACME-Diensts mit Kubernetes.

Bevor Sie beginnen

  • Stellen Sie sicher, dass Sie Ihren bevorzugten ACME-Client gemäß der Anleitung des Softwareanbieters installiert und konfiguriert haben.

  • Richten Sie in CertCentral eine ACME-Verzeichnis-URL für Ihren bevorzugten ACME-Client ein. Siehe Verwenden eines ACME-Clients eines Drittanbieters für Host-Automatisierungen.

  • Für die Installation von Zertifikaten für den Webserver sind Root-Berechtigungen erforderlich.

Certbot: Ausstellen und Installieren eines Zertifikats

Falls Sie das Certbot-Auto-Skript installiert haben, ersetzen Sie in dem Befehl certbot durch ./certbot-auto. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.

Hinweis

ACME Fehlercodes: ACME gibt die gleichen Fehler und Fehlermeldungen zurück wie die CertCentral-API. Eine Liste der Fehlercodes und ihrer Bedeutung finden Sie unter Fehler.

  1. Öffnen Sie eine Terminalsitzung auf Ihrem Webserver, z. B. mit SSH.

  2. Beantragen Sie an der Terminaleingabeaufforderung ein Zertifikat mit Certbot und dem folgenden Befehl:

    • Stellen Sie sicher, dass Sie YOUR-KEY-IDENTIFIER durch das KID zur externen Kontobindung ersetzen.

    • Ersetzen Sie YOUR-HMAC-KEY durch den HMAC-Schlüssel der externen Kontobindung.

    • Ersetzen Sie YOUR-ACME-URL durch die zuvor erstellte ACME-Verzeichnis-URL.

    • Ersetzen Sie außerdem FQDN durch den vollqualifizierten Namen der Domäne, die durch das Zertifikat geschützt werden soll. Fügen Sie für jeden FQDN eine zusätzliche -d-Option hinzu.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Beispiel:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  3. Geben Sie nach Bedarf angepasst Ihren Certbot-Befehl ein.

    Weitere Informationen über Befehle und Optionen, die in diesen Anweisungen verwendet werden, finden Sie in Certbot: ACME-Automatisierungsoptionen.

  4. Sie werden aufgefordert, die Vertragsbedingungen zu akzeptieren. Geben Sie „A“ ein und drücken Sie die Eingabetaste.

    Derzeit gibt es bei DigiCert keine zusätzlichen Nutzungsbedingungen für den ACME.

    Anmerkung

    Falls Ihr Antrag einen FQDN enthält, für den Certbot keinen passenden virtuellen Host findet, werden Sie aufgefordert, den virtuellen Host auszuwählen, auf dem Sie das Zertifikat installieren möchten. Durchsuchen Sie auf Apache das Virtual-Verzeichnis-nach dem ServerName der mit dem FQDN übereinstimmt.

  5. Wählen Sie, ob der HTTP-Verkehr nach HTTPS umgeleitet werden soll.

    Falls Sie sich für die Umleitung entscheiden, wird der HTTP-Zugriff auf Ihre Website deaktiviert.

  6. Wenn Sie fertig sind, erhalten Sie vom Server eine Erfolgsmeldung: „Herzlichen Glückwunsch! Sie haben Ihre Domänen... erfolgreich aktiviert.“

Ihr ACME-Zertifikatsantrag ist abgeschlossen und das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Besuchen Sie Ihre Website, um zu bestätigen, dass Ihr Zertifikat vorhanden ist.

Certbot: Ein Zertifikat erneuern und erneut ausstellen

Ein Zertifikat erneuern, wenn es abgelaufen ist oder erneuert werden soll. Ein Zertifikat neu ausstellen, wenn es fehlt oder widerrufen wurde.

Um ein Zertifikat zu verlängern und neu auszustellen, verwenden Sie den unten stehenden Certbot-Befehl:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Anmerkung

Sie müssen die orderId und die action an die URL anhängen, wie unten gezeigt.

Beispiel (verlängern):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Beispiel (neu ausstellen):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Anmerkung

Für Konten mit Mehrjahresplan:

  • Erneuern Sie ein Zertifikat, wenn die Abdeckung des Auftrags abläuft.

  • Stellen Sie ein Zertifikat neu aus, wenn es widerrufen wurde oder innerhalb der Laufzeit des Auftrags abläuft.

Certbot: Erstellen eines Zweitzertifikats

Um die Sicherheit zu erhöhen und die Installation des Zertifikats auf mehreren Servern zu vereinfachen, stellen Sie für jeden Server ein Duplikat des Zertifikats aus.

Anmerkung

Die Details in dem Duplikat entsprechen denen des Originals. Zweitzertifikate erfordern es niemals, dass DigiCert früheren Kopien Ihres Zertifikats widerruft.

Um ein Zertifikat auszustellen, verwenden Sie den unten stehenden Certbot-Befehl:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Anmerkung

Sie müssen die orderId und die action an die URL anhängen, wie unten gezeigt.

Beispiel:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Certbot: ACME-Automatisierungsoptionen

  • certbot: führt die ausführbare Certbot-Datei aus.

  • certbot-auto: Verwenden Sie dies anstelle von Certbot, falls das Certbot-Auto-Skript installiert ist. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.

  • --apache: Gibt das Apache-Certbot-Plug-In an, das das Zertifikat für Sie installiert. Optional.

  • --register-unsafely-without-email: Ermöglicht Ihnen, das Erstellen eines ACME-Kontos zu überspringen. Da Ihr Antrag bereits mit Ihrem CertCentral-Konto verbunden ist, ist dies nicht erforderlich. Optional.

  • --server “ URL : Gibt an, welcher ACME-Server Ihre Anforderung erfüllen soll. Platzieren Sie Ihre ACME-Verzeichnis-URL in doppelten Anführungszeichen hinter dieser Option.

  • --eab-kid=YOURKID: Gibt den Schlüsselbezeichner an, der ein Teil der gemeinsamen URL ist.

  • --eab-hmac-key=YOURHMACKEY: Gibt den Schlüssel an, der zum Signieren der Antwort verwendet wird.

  • -d YOUR DOMÄNE: Der vollqualifizierte Domänennamen ist Teil des Zertifikats. Geben Sie für jeden FQDN im Zertifikat ein –d YOURDOMAIN ein. Falls Sie diese Option nicht nutzen, fordert Certbot Sie auf, die Domänen anzugeben, die Sie, basierend auf ihren konfigurierten virtuellen Hosts, einbeziehen möchten. Optional.

  • orderId “YOURORDERID: Gibt den Auftrags-ID-Typ des vorhandenen Zertifikats an.

  • action “YOURACTION: Gibt die Aktion für das angeforderte Zertifikat an.

Eine vollständige Liste der Certbot-Befehle ist über das Terminal mit certbot –help verfügbar oder siehe die Liste der Befehle auf der Certbot-Dokumentations-Website.

Wie geht es weiter?

Ihr ACME-Zertifikatsantrag ist abgeschlossen und das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Besuchen Sie Ihre Website, um zu bestätigen, dass Ihr Zertifikat vorhanden ist.

Sie können Ihre ACME-Verzeichnis-URL wiederverwenden, um weitere Zertifikate für dasselbe Zertifikatsprodukt und die vorab validierte Organisation zu beantragen.

Um Zertifikate für ein anderes Produkt oder eine andere Organisation zu beantragen, müssen Sie eine neue eindeutige ACME-Verzeichnis-URL für das Produkt oder die Organisation erstellen. Siehe Verwenden eines ACME-Clients eines Drittanbieters für Host-Automatisierungen.