Benutzeranleitung für manuelle ACME-Automatisierungsintegration

Verwenden Sie für ACME + CertCentral Ihren bevorzugten ACME-Client, um die SSL/TLS-Zertifikatsbereitstellungen zu automatisieren und die Zeit für manuelle Zertifikatinstallationen einzusparen.

Der CertCentral ACME-Protokoll-Support ermöglicht Ihnen, die Bereitstellung von einjährigen OV- und EV-SSL/TLS-Zertifikaten und solchen mit benutzerdefinierter Gültigkeit zu automatisieren. Unser ACME-Protokoll unterstützt auch die Signed HTTP-Exchange-Zertifikatsprofiloption, sodass Sie Ihre Signed HTTP Exchange-Bereitstellungen automatisieren können (siehe ACME-Verzeichnis-URLs für Signed HTTP-Exchange-Zertifikate).

Hier finden Sie eine aktuelle Liste der bekannten Probleme: Automatisierung: Bekannte Probleme. Falls Sie einen Fehler melden möchten, wenden Sie sich bitte an unser Supportteam. .

Bevor Sie beginnen

Sorgen Sie zuerst dafür, dass diese Voraussetzungen erfüllt sind:

  • Administrator oder Manager Ihres CertCentral-Kontos
    um in Ihrem Konto auf ACME zuzugreifen, gehen Sie auf die Seite „ACME-Verzeichnis-URLs“ (klicken Sie in der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs).
  • Root-Zugriff auf Ihren Webserver
    Diese Anweisungen gelten nur für Apache. DigiCert ACME ist jedoch mit allen Webservern kompatibel.
  • Funktionierender ACME-Client auf Ihrem Webserver – vorzugsweise CertBot
    DigiCert empfiehlt, Ihren bevorzugten ACME-Client zu verwenden. Wir haben jedoch nur Anweisungen für CertBot berücksichtigt. Eine Installationsanleitung für CertBot ist im EFF verfügbar. Siehe Certbot im EFF.
  • Automatische Genehmigung von Zertifikatsanträgen ist für Ihr CertCentral-Konto aktiviert. Siehe Aktivieren der automatischen Genehmigung von Zertifikatsanträgen.
  • Validieren Sie vorab die Domänen und Organisationen, für die Sie Zertifikate wollen – benötigt für die sofortige Ausstellung von Zertifikaten.
    Damit für ACME die Sofortausstellung von Zertifikaten funktioniert, müssen Sie die Domäne und die Organisation in Ihren ACME-Zertifikatsanträgen vorab validieren. Siehe Verwalten von Organisationen und Verwalten von Domänen.

Zusätzlich zu CertBot bietet DigiCert auch Unterstützung für cert-manager, um Sie bei der Erstellung und Verwaltung von SSL/TLS-Zertifikaten zu unterstützen. Siehe Konfigurieren von cert-manager und DigiCert ACME-Dienst mit Kubernetes.

Erstellen einer ACME-Verzeichnis-URL

Generieren Sie zunächst eine eindeutige ACME-Verzeichnis-URL in Ihrem CertCentral-Konto. Sie müssen Ihre ACME-Verzeichnis-URL mit externer Kontobindung (EAB) in Ihren CertBot-Zertifikatsanforderungsbefehl aufnehmen.

  1. Klicken Sie in Ihrem CertCentral-Konto im Menü der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs.

  1. Klicken Sie auf der Seite „ACME-Verzeichnis-URLs“ auf ACME-Verzeichnis-URL hinzufügen.

  1. Geben Sie im Einblendfenster „ACME-Verzeichnis-URL“ einen Anzeigenamen für die URL ein.

  1. Wählen Sie in der Dropdownliste Produkt das Zertifikat aus, das Sie mit ACME ausstellen möchten.

Zurzeit unterstützt DigiCert ACME nur OV- und EV-TLS/SSL-Zertifikate.

  1. Verknüpfen Sie in der Dropdownliste Abteilung, eine Abteilung mit der ACME-Verzeichnis-URL.

Alle von dieser URL ausgestellten Zertifikate werden an die ausgewählte Abteilung angehängt.

  1. Wählen Sie in der Dropdownliste Organisation die vorab validierte Organisation, für die Sie das Zertifikat ausstellen möchten.

  1. (Optional) Wählen Sie die Gültigkeitsdauer aus dem Dropdown-Menü aus, wenn Sie ein Konto mit Mehrjahresplan haben.

  1. Unter Gültigkeitsdauer, wählen Sie Benutzerdefinierte Länge und im Feld Tage geben Sie eine Zahl ein.

  1. Klicken Sie auf ACME-Verzeichnis-URL hinzufügen.

  1. Kopieren Sie im Popup-Fenster Neue ACME-Verzeichnis-URL Ihre eindeutige ACME-URL zusammen mit den Informationen zur externen Kontobindung (EAB) und speichern Sie sie.

    Sie benötigen diese Informationen, um Ihr Zertifikat mit ACME zu beantragen.

Wenn Sie eine ACME-Verzeichnis-URL generieren, werden die URL, die KID und der HMAC-Schlüssel nur einmal angezeigt. Es gibt keine Möglichkeit, die verlorenen Informationen wiederherzustellen. Wenn Sie die Details der ACME-URL verlieren, müssen Sie die verlorene URL widerrufen und eine neue generieren.

  1. Klicken Sie auf Ich verstehe, dass ich sie nicht wiedersehen werde.

Ihre neue ACME-Verzeichnis-URL wird zur Liste der URLs auf der Seite ACME-Verzeichnis-URLs hinzugefügt (Klicken Sie im Menü der Seitenleiste auf Automatisierung > ACME-Verzeichnis-URLs). Um Einzelheiten über das Zertifikat zu erfahren, das Sie über die ACME-Verzeichnis-URL bestellen können, klicken Sie auf das Informationssymbol neben der URL-Beschreibung.

ACME: Ausstellen und Installieren eines Zertifikats

Falls Sie das Certbot-Auto-Skript installiert haben, ersetzen Sie in dem Befehl certbot durch ./certbot-auto. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.

ACME-Fehlercodes
ACME gibt die gleichen Fehler und Fehlermeldungen zurück wie die CertCentral-API. Eine Liste der Fehlercodes und ihrer Bedeutung finden Sie hier Fehler.

  1. Verwenden Sie Ihren bevorzugten ACME-Client für eine Verbindung zu Ihrem Webserver über SSH.

  1. Beantragen Sie an der Terminaleingabeaufforderung mit CertBot und dem folgenden Befehl ein Zertifikat.

    • Stellen Sie sicher, dass Sie den YOUR-KEY-IDENTIFIER durch die KID für die externe Kontobindung ersetzen.
    • Stellen Sie sicher, dass Sie den YOUR-HMAC-KEY mit dem HMAC-Schlüssel der externen Kontobindung ersetzen.
    • Ersetzen Sie YOUR-ACME-URL durch die zuvor erstellte ACME-Verzeichnis-URL (siehe Erstellen einer ACME-Verzeichnis-URL).
    • Ersetzen Sie außerdem FQDN durch den vollqualifizierten Domänennamen der Domäne, die durch das Zertifikat geschützt werden soll. Fügen Sie für jeden FQDN eine zusätzliche -d-Option hinzu.
bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Hier ist ein Beispiel eines kompletten Befehls als Referenz mit externer Kontobindung.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  1. Geben Sie Ihren CertBot-Befehl ein,, der nach Bedarf angepasst ist.

    Weitere Informationen über Befehle und Optionen, die in diesen Anweisungen verwendet werden, finden Sie in ACME-Optionen.

  1. Sie werden aufgefordert, die Vertragsbedingungen zu akzeptieren. Geben Sie "A” ein, und drücken Sie auf enter.

    Derzeit gibt es bei DigiCert keine zusätzlichen Nutzungsbedingungen für den ACME.

Falls Ihr Antrag einen FQDN enthält, für den CertBot keinen passenden virtuellen Host findet, werden Sie aufgefordert, den virtuellen Host auszuwählen, auf dem Sie das Zertifikat installieren möchten.
Durchsuchen Sie auf Apache das Virtual Directory nach dem ServerName der mit dem FQDN übereinstimmt.

  1. Wählen Sie, ob der HTTP-Verkehr nach HTTPS umgeleitet werden soll.

    Falls Sie sich für die Umleitung entscheiden, wird der HTTP-Zugriff auf Ihre Website deaktiviert.

  1. Wenn Sie fertig sind, erhalten Sie vom Server eine Erfolgsmeldung: “Herzlichen Glückwunsch! Sie haben Ihre Domänen” erfolgreich aktiviert.

Herzlichen Glückwunsch! Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Sie können Ihre Website besuchen, um zu bestätigen, dass die Installation erfolgreich war.

ACME: Ein Zertifikat erneuern und erneut ausstellen

Erneuern Sie ein Zertifikat, wenn es abgelaufen oder zur Erneuerung fällig ist, und stellen Sie ein Zertifikat erneut aus, wenn es widerrufen wurde oder fehlt.

Um ein Zertifikat zu erneuern und neu auszustellen, verwenden Sie den unten stehenden CertBot-Befehl:

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Sie müssen die orderId und die action an die URL anhängen, wie in den Beispielen unten gezeigt:

Hier ist ein Beispiel für einen vollständigen Befehl als Referenz für die Erneuerung.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Hier ist ein Beispiel für einen vollständigen Befehl als Referenz für die erneute Ausstellung.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Für Konten mit Mehrjahresplan:

  • Erneuern Sie ein Zertifikat, wenn die Abdeckung des Auftrags abläuft.
  • Stellen Sie ein Zertifikat neu aus, wenn es widerrufen wurde oder innerhalb des Auftragsumfangs abläuft.

Wie geht es weiter?

Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Besuchen Sie Ihre Website, um zu bestätigen, dass die Installation erfolgreich war.

Sie können Ihre ACME-Verzeichnis-URL wiederverwenden, um weitere Zertifikate für dasselbe Zertifikatsprodukt und die vorab validierte Organisation zu beantragen.

Um Zertifikate für ein anderes Produkt oder eine andere Organisation zu beantragen, müssen Sie eine neue eindeutige ACME-Verzeichnis-URL für das Produkt oder die Organisation erstellen. Sie Erstellen einer ACME-Verzeichnis-URL.

ACME-Optionen

  • certbot: führt die ausführbare Datei CertBot aus.
  • certbot-auto: Anstelle von CertBot verwenden, falls das certbot-auto-Skript installiert ist. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.
  • --apache: Gibt den Apache-CertBot-Plugin an, der das Zertifikat für Sie installiert. Optional
  • --register-unsafely-without-email: Ermöglicht Ihnen, das Erstellen eines ACME-Kontos zu überspringen. Da Ihr Antrag bereits mit Ihrem CertCentral-Konto verbunden ist, ist dies nicht erforderlich. Optional
  • --server “URL: Gibt an, welcher ACME-Server Ihre Anforderung erfüllen soll. Platzieren Sie Ihre ACME-Verzeichnis-URL in doppelten Anführungszeichen hinter dieser Option.
  • --eab-kid “YOURKID : Gibt den Schlüsselbezeichner an, der ein Teil der gemeinsamen URL ist.
  • --eab-hmac-key “YOURHMACKEY: Gibt den Schlüssel an, der zum Signieren der Antwort verwendet wird.
  • -d YOURDOMAIN: Der vollqualifizierte Domänennamen ist Teil des Zertifikats. Geben Sie für jeden FQDN im Zertifikat ein –d YOURDOMAIN ein. Falls Sie diese Option nicht nutzen, fordert CertBot Sie auf, die Domänen anzugeben, die Sie, basierend auf ihren konfigurierten virtuellen Hosts, einbeziehen möchten. Optional
  • orderId “YOURORDERID: Gibt den Auftrags-ID-Typ des vorhandenen Zertifikats an.
  • action “YOURACTION: Gibt die Aktion für das angeforderte Zertifikat an.

Mit dem Befehl certbot -help erhalten Sie eine vollständige durch das Terminal verfügbare Liste der CertBot-Befehle. Die Befehle sind auch auf der CertBot-Dokumentation-Website dokumentiert.

Verwandte Themen