Fehlersuche: ACME-Clients

CertCentral verwendet das ACME-Protokoll, um Ihre Zertifikatsanfrage auf dedizierten Hosts, wie Webservern oder Point-of-Service-Geräten, zu automatisieren. DigiCert empfiehlt, Ihren bevorzugten ACME-Client zu verwenden. Wir werden jedoch Certbot von EFF als Referenz-Client für alle Beispiele verwenden. Die Implementierung für andere Clients kann variieren.

Szenario

CertCentral stellt ein Zertifikat aus, das mit der alten ACME-Verzeichnis-URL verknüpft ist.

  1. Admin verwendet den ACME-Client mit der alten ACME-Verzeichnis-URL.
  2. Admin erstellt eine neue ACME-Verzeichnis-URL, um ein neues Zertifikat zu erhalten.
  3. CertCentral stellt weiterhin ein Zertifikat mit der alten ACME-Verzeichnis-URL anstelle der neuen URL aus.

Lösung

Um ein Zertifikat zu erhalten, das mit der neuen ACME Directory URL verbunden ist, erstellen Sie ein neues Verzeichnis und geben den Parameter config-dir bei der Anforderung des Clients an.

  1. Erstellen Sie ein Konfigurationsverzeichnis für das neue Zertifikat.

    Beispiel:

    C:\< ConfigDirectory >

  2. Führen Sie den Befehl aus und geben Sie das Konfigurationsverzeichnis, die ACME-Verzeichnis-URL, den HMAC-Schlüssel und die KID-Parameter an.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Szenario

Die widerrufene ACME Directory URL verhindert den Erhalt eines Zertifikats mit der neuen ACME-Verzeichnis-URL.

  1. Admin verwendet den ACME-Client mit der alten ACME-Verzeichnis-URL.
  2. Admin erstellt eine neue ACME-Verzeichnis-URL, um ein neues Zertifikat zu erhalten.
  3. Der Admin widerruft die alte ACME-Verzeichnis-URL.
  4. CertCentral stellt weiterhin ein Zertifikat mit der alten ACME-Verzeichnis-URL anstelle der neuen URL aus.

Lösung

Um ein Zertifikat zu erhalten, das mit der neuen ACME-Verzeichnis-URL verknüpft ist:

  1. Löschen Sie das Konfigurationsverzeichnis des zuvor ausgestellten Zertifikats, das mit der widerrufenen ACME-Verzeichnis-URL konfiguriert ist.

  2. Erstellen Sie ein Konfigurationsverzeichnis für das neue Zertifikat.

    Beispiel:

    C:\< ConfigDirectory >

  3. Führen Sie den Befehl aus und geben Sie das Konfigurationsverzeichnis, die ACME-Verzeichnis-URL, den HMAC-Schlüssel und die KID-Parameter an.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Szenario

Timeout-Fehler

  • Wenn die mit der Zertifikatsanfrage verknüpfte Organisation nicht validiert ist.
  • Wenn die mit der Zertifikatsanfrage verknüpfte Domäne nicht validiert wird.
  • Wenn die Zertifikatsanfrage nicht innerhalb von 24 Stunden genehmigt wird.
  • Wenn die Zertifikatsgenehmigungszeit mehr als 90 Sekunden beträgt.

Lösung

Bevor Sie eine Zertifikatsanfrage stellen:

  • Stellen Sie sicher, dass die Organisation validiert ist.

  1. Gehen Sie zu Zertifikate > Organisationen.

  2. Überprüfen Sie auf der Seite Organisationen den Validierungsstatus der Organisation, für die Sie das Zertifikat angefordert haben.

Wenn die Organisation nicht validiert ist, überprüfen Sie die Anfrage und senden Sie sie erneut zur Validierung. Weitere Informationen finden Sie unter Verwalten von Organisationen.

  • Stellen Sie sicher, dass die Domäne validiert ist.

  1. Gehen Sie zu Zertifikate > Domänen.

  2. Überprüfen Sie auf der Seite „Domänen“ den Validierungsstatus der Domäne, für die Sie das Zertifikat angefordert haben.

Wenn die Domäne nicht validiert ist, überprüfen Sie die Anfrage und senden Sie sie erneut zur Validierung. Weitere Informationen finden Sie unter Verwalten von Domänen.

  • Stellen Sie sicher, dass die Zertifikatsanfrage innerhalb von 24 Stunden nach Auftragserteilung genehmigt wird.

  1. Gehen Sie zu Zertifikate > Anfragen.

  2. Suchen Sie auf der Seite „Anfragen“ den Link „Zertifikatsauftrag“ und klicken Sie darauf, um die Anfrage zu genehmigen.

  • Stellen Sie sicher, dass die Einstellungen für die automatische Genehmigung für das angeforderte Zertifikat aktiviert sind.

  1. Gehen Sie zu Einstellungen > Voreinstellungen.

  2. Wählen Sie auf der Seite Divisionspräferenzen unter Erweiterte Einstellungen im Abschnitt Genehmigungsschritte die Option Genehmigungsschritt überspringen: Genehmigungsschritt aus Ihren Zertifikatsaufträgen entfernen.

Über

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.