Fehlersuche: ACME-Clients

CertCentral verwendet das ACME-Protokoll, um Ihre Zertifikatsanfrage auf dedizierten Hosts, wie Webservern oder Point-of-Service-Geräten, zu automatisieren. DigiCert empfiehlt, Ihren bevorzugten ACME-Client zu verwenden. Wir werden jedoch Certbot von EFF als Referenz-Client für alle Beispiele verwenden. Die Implementierung für andere Clients kann variieren.

Szenario

CertCentral stellt ein Zertifikat aus, das mit der alten ACME-Verzeichnis-URL verknüpft ist.

  1. Admin verwendet den ACME-Client mit der alten ACME-Verzeichnis-URL.
  2. Admin erstellt eine neue ACME-Verzeichnis-URL, um ein neues Zertifikat zu erhalten.
  3. CertCentral stellt weiterhin ein Zertifikat mit der alten ACME-Verzeichnis-URL anstelle der neuen URL aus.

Lösung

Um ein Zertifikat zu erhalten, das mit der neuen ACME Directory URL verbunden ist, erstellen Sie ein neues Verzeichnis und geben den Parameter config-dir bei der Anforderung des Clients an.

  1. Erstellen Sie ein Konfigurationsverzeichnis für das neue Zertifikat.

    Beispiel:

    C:\< ConfigDirectory >

  2. Führen Sie den Befehl aus und geben Sie das Konfigurationsverzeichnis, die ACME-Verzeichnis-URL, den HMAC-Schlüssel und die KID-Parameter an.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Szenario

Die widerrufene ACME Directory URL verhindert den Erhalt eines Zertifikats mit der neuen ACME-Verzeichnis-URL.

  1. Admin verwendet den ACME-Client mit der alten ACME-Verzeichnis-URL.
  2. Admin erstellt eine neue ACME-Verzeichnis-URL, um ein neues Zertifikat zu erhalten.
  3. Der Admin widerruft die alte ACME-Verzeichnis-URL.
  4. CertCentral stellt weiterhin ein Zertifikat mit der alten ACME-Verzeichnis-URL anstelle der neuen URL aus.

Lösung

Um ein Zertifikat zu erhalten, das mit der neuen ACME-Verzeichnis-URL verknüpft ist:

  1. Löschen Sie das Konfigurationsverzeichnis des zuvor ausgestellten Zertifikats, das mit der widerrufenen ACME-Verzeichnis-URL konfiguriert ist.

  2. Erstellen Sie ein Konfigurationsverzeichnis für das neue Zertifikat.

    Beispiel:

    C:\< ConfigDirectory >

  3. Führen Sie den Befehl aus und geben Sie das Konfigurationsverzeichnis, die ACME-Verzeichnis-URL, den HMAC-Schlüssel und die KID-Parameter an.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Szenario

Timeout-Fehler

  • Wenn die mit der Zertifikatsanfrage verknüpfte Organisation nicht validiert ist.
  • Wenn die mit der Zertifikatsanfrage verknüpfte Domäne nicht validiert wird.
  • Wenn die Zertifikatsanfrage nicht innerhalb von 24 Stunden genehmigt wird.
  • Wenn die Zertifikatsgenehmigungszeit mehr als 90 Sekunden beträgt.

Lösung

Bevor Sie eine Zertifikatsanfrage stellen:

  • Stellen Sie sicher, dass die Organisation validiert ist.
  1. Gehen Sie zu Zertifikate > Organisationen.

  2. Überprüfen Sie auf der Seite Organisationen den Validierungsstatus der Organisation, für die Sie das Zertifikat angefordert haben.

Wenn die Organisation nicht validiert ist, überprüfen Sie die Anfrage und senden Sie sie erneut zur Validierung. Weitere Informationen finden Sie unter Verwalten von Organisationen.

  • Stellen Sie sicher, dass die Domäne validiert ist.
  1. Gehen Sie zu Zertifikate > Domänen.

  2. Überprüfen Sie auf der Seite „Domänen“ den Validierungsstatus der Domäne, für die Sie das Zertifikat angefordert haben.

Wenn die Domäne nicht validiert ist, überprüfen Sie die Anfrage und senden Sie sie erneut zur Validierung. Weitere Informationen finden Sie unter Verwalten von Domänen.

  • Stellen Sie sicher, dass die Zertifikatsanfrage innerhalb von 24 Stunden nach Auftragserteilung genehmigt wird.
  1. Gehen Sie zu Zertifikate > Anfragen.

  2. Suchen Sie auf der Seite „Anfragen“ den Link „Zertifikatsauftrag“ und klicken Sie darauf, um die Anfrage zu genehmigen.

  • Stellen Sie sicher, dass die Einstellungen für die automatische Genehmigung für das angeforderte Zertifikat aktiviert sind.
  1. Gehen Sie zu Einstellungen > Voreinstellungen.

  2. Wählen Sie auf der Seite Divisionspräferenzen unter Erweiterte Einstellungen im Abschnitt Genehmigungsschritte die Option Genehmigungsschritt überspringen: Genehmigungsschritt aus Ihren Zertifikatsaufträgen entfernen.