ACME-Benutzerhandbuch

Dies ist die offene Betaphase für den ACME-Protokoll-Support in CertCentral. Unten im Abschnitt Bekannte Probleme finden Sie eine aktuelle Liste der bekannten Probleme. Falls Sie einen Fehler melden möchten, wenden Sie sich bitte an unser Supportteam.

Bevor Sie beginnen

Sorgen Sie zuerst dafür, dass diese Voraussetzungen erfüllt sind:

  • Sie sind Administrator im CertCentral-Konto
    Um in Ihrem CertCentral-Konto auf ACME zugreifen zu können, gehen Sie auf die Seite „Kontozugriff“ (klicken Sie im Menü der Seitenleiste auf Konto > Kontozugriff). Dort sehen Sie den Abschnitt ACME-Verzeichnis-URLs.
  • Sie haben Root-Rechte auf Ihrem Webserver
    Diese Anweisungen gelten nur für Apache. DigiCert ACME sollte jedoch mit allen Webservern kompatibel sein.
  • Sie benötigen einen funktionierenden ACME-Client auf Ihrem Webserver, vorzugsweise CertBot.
    DigiCert empfiehlt, Ihren bevorzugten ACME-Client zu verwenden. Wir haben jedoch nur Anweisungen für CertBot berücksichtigt. Eine Installationsanleitung für CertBot ist im EFF verfügbar. Siehe Certbot im EFF.
  • Automatische Genehmigung von Zertifikatsanträgen ist für Ihr CertCentral-Konto aktiviert. Siehe Aktivieren der automatischen Genehmigung von Zertifikatsanträgen.
  • Domänen und Organisationen sind durch Vorabvalidierung bereit für eine sofortige Ausstellung.
    Damit die ACME-Sofortausstellung funktioniert, müssen Sie die Domäne und die Organisation in ihrem ACME-Zertifikatsantrag vorab validieren. Siehe Verwalten von Organisationen und Verwalten von Domänen.

DigiCert ACME Beta sollte nicht in einer Produktionsumgebung verwendet werden.

Erstellen einer ACME-Verzeichnis-URL

Generieren Sie zunächst eine eindeutige ACME-Verzeichnis-URL in Ihrem CertCentral-Konto. Sie müssen Ihre ACME-Verzeichnis-URL in den Befehl Ihres CertBot-Zertifikatsantrags aufnehmen.

  1. Klicken Sie in Ihrem CertCentral-Konto im Menü der Seitenleiste auf Konto > Kontozugriff.

    ACME Directory URLS on Account Access page in CertCentral

  1. Klicken Sie auf der Seite „Kontozugriff“ im Abschnitt „ACME-Verzeichnis-URLs“ auf ACME-Verzeichnis-URL hinzufügen.

  1. Geben Sie im Einblendfenster „ACME-Verzeichnis-URL“ einen Anzeigenamen für die URL ein.

  1. Wählen Sie in der Dropdownliste Produkt das Zertifikat aus, das Sie mit ACME ausstellen möchten.

Zurzeit unterstützt DigiCert ACME nur OV- und EV-TLS/SSL-Zertifikate.

  1. Wählen Sie in der Dropdownliste Organisation die vorab validierte Organisation, für die Sie das Zertifikat ausstellen möchten.

  1. Klicken Sie auf ACME-Verzeichnis-URL hinzufügen.

  1. Geben Sie im Einblendfenster „Neue ACME-Verzeichnis-URL“ Ihre eindeutige ACME-URL ein und speichern Sie sie.

    Sie benötigen diese URL, um Ihr Zertifikat mit ACME zu beantragen.

Wenn Sie eine ACME-Verzeichnis-URL generieren, wird sie nur einmal angezeigt. Es gibt keine Möglichkeit, eine verlorene ACME-URL zurückzuerhalten. Wenn Sie eine ACME-URL verlieren, müssen Sie die verlorene URL widerrufen und eine neue generieren.

  1. Klicken Sie auf Ich verstehe, dass ich sie nicht wiedersehen werde.

Ihre neue ACME-Verzeichnis-URL wird zur Liste der ACME-Verzeichnis-URLs auf der Seite „Kontozugriff“ hinzugefügt (Klicken Sie im Menü der Seitenleiste auf Konto > Kontozugriff). Um Einzelheiten über das Zertifikat zu erhalten, das über die ACME-Verzeichnis-URL bestellt werden kann, klicken Sie auf das Info-Symbol neben dem URL-Namen,.

ACME: Ausstellen und Installieren eines Zertifikats

Falls Sie das Certbot-Auto-Skript installiert haben, ersetzen Sie in dem Befehl certbot durch ./certbot-auto. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.

ACME Fehlercodes:
ACME gibt die gleichen Fehler und Fehlermeldungen zurück wie die CertCentral-API. Eine Liste der Fehlercodes und ihrer Bedeutung finden Sie hier Fehler.

  1. Verwenden Sie Ihren bevorzugten ACME-Client für eine Verbindung zu Ihrem Webserver über SSH.

  1. Beantragen Sie an der Terminaleingabeaufforderung mit CertBot und dem folgenden Befehl ein Zertifikat.

    • Ersetzen Sie YOUR-ACME-URL durch die zuvor erstellte ACME-Verzeichnis-URL (siehe Erstellen einer ACME-Verzeichnis-URL).
    • Ersetzen Sie außerdem FQDN durch den vollqualifizierten Domänennamen der Domäne, die durch das Zertifikat geschützt werden soll. Fügen Sie für jeden FQDN eine zusätzliche -d-Option hinzu.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Unten ist ein Referenzbeispiel für einen vollständigen Befehl. Hier ist ein Beispiel für einen vollständigen Befehl.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. Geben Sie Ihren CertBot-Befehl ein, der nach Bedarf angepasst ist.

    Weitere Informationen über Befehle und Optionen, die in diesen Anweisungen verwendet werden, finden Sie in ACME-Optionen.

  1. Sie werden aufgefordert, die Vertragsbedingungen zu akzeptieren. Geben Sie "A” ein, und drücken Sie auf enter.

    Zurzeit hat DigiCert keine zusätzliche Nutzungsbedingungen für ACME Beta.

Falls Ihr Antrag einen FQDN enthält, für den CertBot keinen passenden virtuellen Host findet, werden Sie aufgefordert, den virtuellen Host auszuwählen, auf dem Sie das Zertifikat installieren möchten.
Durchsuchen Sie auf Apache das Virtual Directory nach dem ServerName der mit dem FQDN übereinstimmt.

  1. Wählen Sie, ob der HTTP-Verkehr nach HTTPS umgeleitet werden soll.

    Falls Sie sich für die Umleitung entscheiden, wird der HTTP-Zugriff auf Ihre Website deaktiviert.

  1. Wenn Sie fertig sind, erhalten Sie vom Server eine Erfolgsmeldung: “Congratulations! Sie haben Ihre Domänen” erfolgreich aktiviert.

Congratulations! Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Sie können Ihre Website besuchen, um zu bestätigen, dass die Installation erfolgreich war.

Wie geht es weiter?

Ihr ACME-Zertifikatsantrag ist abgeschlossen. Das neu ausgestellte Zertifikat ist auf Ihrem Webserver installiert. Besuchen Sie Ihre Website, um zu bestätigen, dass die Installation erfolgreich war.

Sie können Ihre ACME-Verzeichnis-URL wiederverwenden, um weitere Zertifikate für dasselbe Zertifikatsprodukt und die vorab validierte Organisation zu beantragen.

Um Zertifikate für ein anderes Produkt oder eine andere Organisation zu beantragen, müssen Sie eine neue eindeutige ACME-Verzeichnis-URL für das Produkt oder die Organisation erstellen. Sie Erstellen einer ACME-Verzeichnis-URL.

ACME-Optionen

  • certbot: führt die ausführbare Datei CertBot aus.
  • certbot-auto: Anstelle von CertBot verwenden, falls das certbot-auto-Skript installiert ist. Falls er nicht zur PATH-Konfiguration Ihres Servers hinzugefügt wurde, müssen Sie den Pfad von certbot-auto angeben.
  • --apache: Gibt den Apache-CertBot-Plugin an, der das Zertifikat für Sie installiert. Optional
  • --register-unsafely-without-email: Ermöglicht Ihnen, das Erstellen eines ACME-Kontos zu überspringen. Da Ihr Antrag bereits mit Ihrem CertCentral-Konto verbunden ist, ist dies nicht erforderlich. Optional
  • --server “URL: Gibt an, welcher ACME-Server Ihre Anforderung erfüllen soll. Platzieren Sie Ihre ACME-Verzeichnis-URL in doppelten Anführungszeichen hinter dieser Option.
  • -d YOURDOMAIN: Der vollqualifizierte Domänennamen ist Teil des Zertifikats. Geben Sie für jeden FQDN im Zertifikat ein –d YOURDOMAIN ein. Falls Sie diese Option nicht nutzen, fordert CertBot Sie auf, die Domänen anzugeben, die Sie, basierend auf ihren konfigurierten virtuellen Hosts, einbeziehen möchten. Optional

Mit dem Befehl certbot -help erhalten Sie eine vollständige durch das Terminal verfügbare Liste der CertBot-Befehle. Die Befehle sind auch auf der CertBot-Dokumentation-Website dokumentiert.

Verwandte Themen