Certbot-Beispiel: Privates CA Manager-Zertifikat für NGINX ausstellen und installieren, Werte aus CSR-Datei lesen
Command syntax
Verwenden Sie an der Befehlszeilenaufforderung die folgende Befehlssyntax, um ein privates CA Manager-Zertifikat für den NGINX-Webserver auszustellen und zu installieren, indem Sie Zertifikatswerte aus einer CSR-Datei (Certificate Signing Request) lesen:
sudo certbot --nginx --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} --csr {MY-CSR-FILE}
Fill in values for the command arguments shown in curly braces, as described below:
Command argument | Description |
---|---|
| The EAB key identifier (KID). For DigiCert® Trust Lifecycle Manager. accounts, use certificate profile. |
| The EAB HMAC key. |
| For hosted DigiCert® ONE accounts, use https://one.digicert.com/mpki/api/v1/acme/v2/directory |
| Local path to Certbot configuration files for the current application. These files control how and where Certbot installs certificates. If |
| The path to your certificate signing request (CSR) file. |
Beispielbefehl:
sudo certbot --nginx --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_other_webserver_config/ --csr my_csr_file.csr
Usage notes
Der
--csr
Die Option wird anstelle von verwendet-d
Möglichkeit.Bei Verwendung des
--csr
Option, das angeforderte Zertifikatsprofil in DigiCert® Trust Lifecycle Manager muss sich an der orientieren CA Manager Private Server-Zertifikat Vorlage und für den Betreff-DN muss die Option „Von CSR“ ausgewählt sein Gemeinsamen Namen Feld. Sehen Create an ACME-based profile for private CA Manager certificates.Wenn das angeforderte Zertifikat mit einer bestehenden Bestellung übereinstimmt, DigiCert® Trust Lifecycle Manager wendet die Standardautomatisierungsaktion für diese Bestellung an (siehe ACME-Automatisierungsaktionen). Wenn es keine passende Bestellung gibt oder wenn die ACME-URL Folgendes enthält
?action=enroll
, Trust Lifecycle Manager behandelt es als neue Bestellung und registriert das neue Zertifikat für Sie.This command only works for private certificates issued from CAs in DigiCert® Private CA. For public certificates, you must use additional options to validate the domain through Certbot. For examples, see here (DNS-01 validation method) and here (HTTP-01 validation method).