Benutzeranleitung für manuelle ACME-Automatisierungsintegration

Verwenden Sie für ACME + CertCentral Ihren bevorzugten ACME-Client, um die SSL/TLS-Zertifikatsbereitstellungen zu automatisieren und die Zeit für manuelle Zertifikatinstallationen einzusparen.

Der CertCentral ACME-Protokoll-Support ermöglicht Ihnen, die Bereitstellung von einjährigen und zweijährigen OV- und EV-SSL/TLS-Zertifikaten sowie solchen mit benutzerdefinierter Gültigkeit zu automatisieren. Unser ACME-Protokoll unterstützt auch die Signed HTTP-Exchange-Zertifikatsprofiloption, sodass Sie Ihre Signed HTTP Exchange-Bereitstellungen automatisieren können (siehe ACME-Verzeichnis-URLs für Signed HTTP-Exchange-Zertifikate).

Dies ist die offene Betaphase für den ACME-Protokoll-Support in CertCentral. Eine aktuelle Liste der bekannten Probleme finden Sie unter Bekannte Probleme. Falls Sie einen Fehler melden möchten, wenden Sie sich bitte an unser Supportteam.

Bevor Sie beginnen

Sorgen Sie zuerst dafür, dass diese Voraussetzungen erfüllt sind:

  • Administrator oder Manager Ihres CertCentral-Kontos
    um in Ihrem Konto auf ACME zuzugreifen, gehen Sie auf die Seite „ACME-Verzeichnis-URLs“ (klicken Sie in der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs).
  • Root-Zugriff auf Ihren Webserver
    Diese Anweisungen gelten nur für Apache. DigiCert ACME ist jedoch mit allen Webservern kompatibel.
  • Funktionierender ACME-Client auf Ihrem Webserver – vorzugsweise CertBot
    DigiCert empfiehlt, Ihren bevorzugten ACME-Client zu verwenden. Wir haben jedoch nur Anweisungen für CertBot berücksichtigt. Eine Installationsanleitung für CertBot ist im EFF verfügbar. Siehe Certbot im EFF.
  • Automatische Genehmigung von Zertifikatsanträgen ist für Ihr CertCentral-Konto aktiviert. Siehe Aktivieren der automatischen Genehmigung von Zertifikatsanträgen.
  • Validieren Sie vorab die Domänen und Organisationen, für die Sie Zertifikate wollen – benötigt für die sofortige Ausstellung von Zertifikaten.
    Damit für ACME die Sofortausstellung von Zertifikaten funktioniert, müssen Sie die Domäne und die Organisation in Ihren ACME-Zertifikatsanträgen vorab validieren. Siehe Verwalten von Organisationen und Verwalten von Domänen.

DigiCert ACME Beta sollte nicht in einer Produktionsumgebung verwendet werden.

Erstellen einer ACME-Verzeichnis-URL

Generieren Sie zunächst eine eindeutige ACME-Verzeichnis-URL in Ihrem CertCentral-Konto. Sie müssen Ihre ACME-Verzeichnis-URL in den Befehl Ihres CertBot-Zertifikatsantrags aufnehmen.

  1. Klicken Sie in Ihrem CertCentral-Konto im Menü der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs.

    ACME Directory URLs page

  1. Klicken Sie auf der Seite „ACME-Verzeichnis-URLs“ auf ACME-Verzeichnis-URL hinzufügen.

  1. Geben Sie im Einblendfenster „ACME-Verzeichnis-URL“ einen Anzeigenamen für die URL ein.

  1. Wählen Sie in der Dropdownliste Produkt das Zertifikat aus, das Sie mit ACME ausstellen möchten.

Zurzeit unterstützt DigiCert ACME nur OV- und EV-TLS/SSL-Zertifikate.

  1. Wählen Sie in der Dropdownliste Organisation die vorab validierte Organisation, für die Sie das Zertifikat ausstellen möchten.

  1. Klicken Sie auf ACME-Verzeichnis-URL hinzufügen.

  1. Geben Sie im Einblendfenster „Neue ACME-Verzeichnis-URL“ Ihre eindeutige ACME-URL ein und speichern Sie sie.

    Sie benötigen diese URL, um Ihr Zertifikat mit ACME zu beantragen.

Wenn Sie eine ACME-Verzeichnis-URL generieren, wird sie nur einmal angezeigt. Es gibt keine Möglichkeit, eine verlorene ACME-URL zurückzuerhalten. Wenn Sie eine ACME-URL verlieren, müssen Sie die verlorene URL widerrufen und eine neue generieren.

  1. Klicken Sie auf Ich verstehe, dass ich sie nicht wiedersehen werde.

Ihre neue ACME-Verzeichnis-URL wird zur Liste der URLs auf der Seite ACME-Verzeichnis-URLs hinzugefügt (Klicken Sie im Menü der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs). Um Einzelheiten über das Zertifikat zu erfahren, das Sie über die ACME-Verzeichnis-URL bestellen können, klicken Sie auf das Informationssymbol neben der URL-Beschreibung.

ACME: Ausstellen und Installieren eines Zertifikats

Falls Sie das Certbot-Auto-Skript installiert haben, ersetzen Sie in dem Befehl certbot durch ./certbot-auto. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.

ACME-Fehlercodes
ACME gibt die gleichen Fehler und Fehlermeldungen zurück wie die CertCentral-API. Eine Liste der Fehlercodes und ihrer Bedeutung finden Sie hier Fehler.

  1. Verwenden Sie Ihren bevorzugten ACME-Client für eine Verbindung zu Ihrem Webserver über SSH.

  1. Beantragen Sie an der Terminaleingabeaufforderung mit CertBot und dem folgenden Befehl ein Zertifikat.

    • Ersetzen Sie YOUR-ACME-URL durch die zuvor erstellte ACME-Verzeichnis-URL (siehe Erstellen einer ACME-Verzeichnis-URL).
    • Ersetzen Sie außerdem FQDN durch den vollqualifizierten Domänennamen der Domäne, die durch das Zertifikat geschützt werden soll. Fügen Sie für jeden FQDN eine zusätzliche -d-Option hinzu.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Hier ist ein Beispiel für einen vollständigen Befehl.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. Geben Sie Ihren CertBot-Befehl ein,, der nach Bedarf angepasst ist.

    Weitere Informationen über Befehle und Optionen, die in diesen Anweisungen verwendet werden, finden Sie in ACME-Optionen.

  1. Sie werden aufgefordert, die Vertragsbedingungen zu akzeptieren. Geben Sie "A” ein, und drücken Sie auf enter.

    Zurzeit hat DigiCert keine zusätzliche Nutzungsbedingungen für ACME Beta.

Falls Ihr Antrag einen FQDN enthält, für den CertBot keinen passenden virtuellen Host findet, werden Sie aufgefordert, den virtuellen Host auszuwählen, auf dem Sie das Zertifikat installieren möchten.
Durchsuchen Sie auf Apache das Virtual Directory nach dem ServerName der mit dem FQDN übereinstimmt.

  1. Wählen Sie, ob der HTTP-Verkehr nach HTTPS umgeleitet werden soll.

    Falls Sie sich für die Umleitung entscheiden, wird der HTTP-Zugriff auf Ihre Website deaktiviert.

  1. Wenn Sie fertig sind, erhalten Sie vom Server eine Erfolgsmeldung: “Herzlichen Glückwunsch! Sie haben Ihre Domänen” erfolgreich aktiviert.

Congratulations! Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Sie können Ihre Website besuchen, um zu bestätigen, dass die Installation erfolgreich war.

Wie geht es weiter?

Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Besuchen Sie Ihre Website, um zu bestätigen, dass die Installation erfolgreich war.

Sie können Ihre ACME-Verzeichnis-URL wiederverwenden, um weitere Zertifikate für dasselbe Zertifikatsprodukt und die vorab validierte Organisation zu beantragen.

Um Zertifikate für ein anderes Produkt oder eine andere Organisation zu beantragen, müssen Sie eine neue eindeutige ACME-Verzeichnis-URL für das Produkt oder die Organisation erstellen. Sie Erstellen einer ACME-Verzeichnis-URL.

ACME-Optionen

  • certbot: führt die ausführbare Datei CertBot aus.
  • certbot-auto: Anstelle von CertBot verwenden, falls das certbot-auto-Skript installiert ist. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.
  • --apache: Gibt den Apache-CertBot-Plugin an, der das Zertifikat für Sie installiert. Optional
  • --register-unsafely-without-email: Ermöglicht Ihnen, das Erstellen eines ACME-Kontos zu überspringen. Da Ihr Antrag bereits mit Ihrem CertCentral-Konto verbunden ist, ist dies nicht erforderlich. Optional
  • --server “URL: Gibt an, welcher ACME-Server Ihre Anforderung erfüllen soll. Platzieren Sie Ihre ACME-Verzeichnis-URL in doppelten Anführungszeichen hinter dieser Option.
  • -d YOURDOMAIN: Der vollqualifizierte Domänennamen ist Teil des Zertifikats. Geben Sie für jeden FQDN im Zertifikat ein –d YOURDOMAIN ein. Falls Sie diese Option nicht nutzen, fordert CertBot Sie auf, die Domänen anzugeben, die Sie, basierend auf ihren konfigurierten virtuellen Hosts, einbeziehen möchten. Optional

Mit dem Befehl certbot -help erhalten Sie eine vollständige durch das Terminal verfügbare Liste der CertBot-Befehle. Die Befehle sind auch auf der CertBot-Dokumentation-Website dokumentiert.

Verwandte Themen