Verwenden Sie für ACME + CertCentral Ihren bevorzugten ACME-Client, um die SSL/TLS-Zertifikatsbereitstellungen zu automatisieren und die Zeit für manuelle Zertifikatinstallationen einzusparen.
Der CertCentral ACME-Protokoll-Support ermöglicht Ihnen, die Bereitstellung von einjährigen OV- und EV-SSL/TLS-Zertifikaten und solchen mit benutzerdefinierter Gültigkeit zu automatisieren. Unser ACME-Protokoll unterstützt auch die Signed HTTP-Exchange-Zertifikatsprofiloption, sodass Sie Ihre Signed HTTP Exchange-Bereitstellungen automatisieren können (siehe ACME-Verzeichnis-URLs für Signed HTTP-Exchange-Zertifikate).
Hier finden Sie eine aktuelle Liste der bekannten Probleme: Automatisierung: Bekannte Probleme. Falls Sie einen Fehler melden möchten, wenden Sie sich bitte an unser Supportteam. .
Sorgen Sie zuerst dafür, dass diese Voraussetzungen erfüllt sind:
Zusätzlich zu CertBot bietet DigiCert auch Unterstützung für cert-manager, um Sie bei der Erstellung und Verwaltung von SSL/TLS-Zertifikaten zu unterstützen. Siehe Konfigurieren von cert-manager und DigiCert ACME-Dienst mit Kubernetes.
Generieren Sie zunächst eine eindeutige ACME-Verzeichnis-URL in Ihrem CertCentral-Konto. Sie müssen Ihre ACME-Verzeichnis-URL mit externer Kontobindung (EAB) in Ihren CertBot-Zertifikatsanforderungsbefehl aufnehmen.
Klicken Sie in Ihrem CertCentral-Konto im Menü der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs.
Klicken Sie auf der Seite „ACME-Verzeichnis-URLs“ auf ACME-Verzeichnis-URL hinzufügen.
Geben Sie im Einblendfenster „ACME-Verzeichnis-URL“ einen Anzeigenamen für die URL ein.
Wählen Sie in der Dropdownliste Produkt das Zertifikat aus, das Sie mit ACME ausstellen möchten.
Zurzeit unterstützt DigiCert ACME nur OV- und EV-TLS/SSL-Zertifikate.
Verknüpfen Sie in der Dropdownliste Abteilung, eine Abteilung mit der ACME-Verzeichnis-URL.
Alle von dieser URL ausgestellten Zertifikate werden an die ausgewählte Abteilung angehängt.
Wählen Sie in der Dropdownliste Organisation die vorab validierte Organisation, für die Sie das Zertifikat ausstellen möchten.
(Optional) Wählen Sie die Gültigkeitsdauer aus dem Dropdown-Menü aus, wenn Sie ein Konto mit Mehrjahresplan haben.
Unter Gültigkeitsdauer, wählen Sie Benutzerdefinierte Länge und im Feld Tage geben Sie eine Zahl ein.
Klicken Sie auf ACME-Verzeichnis-URL hinzufügen.
Kopieren Sie im Popup-Fenster Neue ACME-Verzeichnis-URL Ihre eindeutige ACME-URL zusammen mit den Informationen zur externen Kontobindung (EAB) und speichern Sie sie.
Sie benötigen diese Informationen, um Ihr Zertifikat mit ACME zu beantragen.
Wenn Sie eine ACME-Verzeichnis-URL generieren, werden die URL, die KID und der HMAC-Schlüssel nur einmal angezeigt. Es gibt keine Möglichkeit, die verlorenen Informationen wiederherzustellen. Wenn Sie die Details der ACME-URL verlieren, müssen Sie die verlorene URL widerrufen und eine neue generieren.
Klicken Sie auf Ich verstehe, dass ich sie nicht wiedersehen werde.
Ihre neue ACME-Verzeichnis-URL wird zur Liste der URLs auf der Seite ACME-Verzeichnis-URLs hinzugefügt (Klicken Sie im Menü der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs). Um Einzelheiten über das Zertifikat zu erfahren, das Sie über die ACME-Verzeichnis-URL bestellen können, klicken Sie auf das Informationssymbol neben der URL-Beschreibung.
Falls Sie das Certbot-Auto-Skript installiert haben, ersetzen Sie in dem Befehl certbot
durch ./certbot-auto
. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.
ACME-Fehlercodes
ACME gibt die gleichen Fehler und Fehlermeldungen zurück wie die CertCentral-API. Eine Liste der Fehlercodes und ihrer Bedeutung finden Sie hier Fehler.
Verwenden Sie Ihren bevorzugten ACME-Client für eine Verbindung zu Ihrem Webserver über SSH.
Beantragen Sie an der Terminaleingabeaufforderung mit CertBot und dem folgenden Befehl ein Zertifikat.
YOUR-KEY-IDENTIFIER
durch die KID für die externe Kontobindung ersetzen.YOUR-HMAC-KEY
mit dem HMAC-Schlüssel der externen Kontobindung ersetzen.YOUR-ACME-URL
durch die zuvor erstellte ACME-Verzeichnis-URL (siehe Erstellen einer ACME-Verzeichnis-URL).FQDN
durch den vollqualifizierten Domänennamen der Domäne, die durch das Zertifikat geschützt werden soll. Fügen Sie für jeden FQDN eine zusätzliche -d
-Option hinzu.sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN
Hier ist ein Beispiel eines kompletten Befehls als Referenz mit externer Kontobindung.
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
Geben Sie Ihren CertBot-Befehl ein,, der nach Bedarf angepasst ist.
Weitere Informationen über Befehle und Optionen, die in diesen Anweisungen verwendet werden, finden Sie in ACME-Optionen.
Sie werden aufgefordert, die Vertragsbedingungen zu akzeptieren. Geben Sie "A” ein, und drücken Sie auf enter.
Derzeit gibt es bei DigiCert keine zusätzlichen Nutzungsbedingungen für den ACME.
Falls Ihr Antrag einen FQDN enthält, für den CertBot keinen passenden virtuellen Host findet, werden Sie aufgefordert, den virtuellen Host auszuwählen, auf dem Sie das Zertifikat installieren möchten.
Durchsuchen Sie auf Apache das Virtual Directory nach dem ServerName der mit dem FQDN übereinstimmt.
Wählen Sie, ob der HTTP-Verkehr nach HTTPS umgeleitet werden soll.
Falls Sie sich für die Umleitung entscheiden, wird der HTTP-Zugriff auf Ihre Website deaktiviert.
Wenn Sie fertig sind, erhalten Sie vom Server eine Erfolgsmeldung: “Herzlichen Glückwunsch! Sie haben Ihre Domänen” erfolgreich aktiviert.
Herzlichen Glückwunsch! Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Sie können Ihre Website besuchen, um zu bestätigen, dass die Installation erfolgreich war.
Erneuern Sie ein Zertifikat, wenn es abgelaufen oder zur Erneuerung fällig ist, und stellen Sie ein Zertifikat erneut aus, wenn es widerrufen wurde oder fehlt.
Um ein Zertifikat zu erneuern und neu auszustellen, verwenden Sie den unten stehenden CertBot-Befehl:
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN
Sie müssen die orderId
und die action
an die URL anhängen, wie in den Beispielen unten gezeigt:
Hier ist ein Beispiel für einen vollständigen Befehl als Referenz für die Erneuerung.
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
Hier ist ein Beispiel für einen vollständigen Befehl als Referenz für die erneute Ausstellung.
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
Für Konten mit Mehrjahresplan:
Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Besuchen Sie Ihre Website, um zu bestätigen, dass die Installation erfolgreich war.
Sie können Ihre ACME-Verzeichnis-URL wiederverwenden, um weitere Zertifikate für dasselbe Zertifikatsprodukt und die vorab validierte Organisation zu beantragen.
Um Zertifikate für ein anderes Produkt oder eine andere Organisation zu beantragen, müssen Sie eine neue eindeutige ACME-Verzeichnis-URL für das Produkt oder die Organisation erstellen. Sie Erstellen einer ACME-Verzeichnis-URL.
certbot
: führt die ausführbare Datei CertBot aus.certbot-auto
: Anstelle von CertBot verwenden, falls das certbot-auto-Skript installiert ist. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.--apache
: Gibt den Apache-CertBot-Plugin an, der das Zertifikat für Sie installiert. Optional--register-unsafely-without-email
: Ermöglicht Ihnen, das Erstellen eines ACME-Kontos zu überspringen. Da Ihr Antrag bereits mit Ihrem CertCentral-Konto verbunden ist, ist dies nicht erforderlich. Optional--server “
URL
”
: Gibt an, welcher ACME-Server Ihre Anforderung erfüllen soll. Platzieren Sie Ihre ACME-Verzeichnis-URL in doppelten Anführungszeichen hinter dieser Option.--eab-kid “YOUR
KID
”
: Gibt den Schlüsselbezeichner an, der ein Teil der gemeinsamen URL ist.--eab-hmac-key “YOUR
HMACKEY
”
: Gibt den Schlüssel an, der zum Signieren der Antwort verwendet wird.-d YOUR
DOMAIN
: Der vollqualifizierte Domänennamen ist Teil des Zertifikats. Geben Sie für jeden FQDN im Zertifikat ein –d YOURDOMAIN ein. Falls Sie diese Option nicht nutzen, fordert CertBot Sie auf, die Domänen anzugeben, die Sie, basierend auf ihren konfigurierten virtuellen Hosts, einbeziehen möchten. OptionalorderId “YOUR
ORDERID
”
: Gibt den Auftrags-ID-Typ des vorhandenen Zertifikats an.action “YOUR
ACTION
”
: Gibt die Aktion für das angeforderte Zertifikat an.Mit dem Befehl certbot -help erhalten Sie eine vollständige durch das Terminal verfügbare Liste der CertBot-Befehle. Die Befehle sind auch auf der CertBot-Dokumentation-Website dokumentiert.
Verwandte Themen