Skip to main content

Certbot-Beispiel: Privates CA Manager-Zertifikat für NGINX ausstellen und installieren, Werte aus CSR-Datei lesen

Command syntax

Verwenden Sie an der Befehlszeilenaufforderung die folgende Befehlssyntax, um ein privates CA Manager-Zertifikat für den NGINX-Webserver auszustellen und zu installieren, indem Sie Zertifikatswerte aus einer CSR-Datei (Certificate Signing Request) lesen:

sudo certbot --nginx --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} --csr {MY-CSR-FILE}

Fill in values for the command arguments shown in curly braces, as described below:

Command argument

Description

{MY-KEY-IDENTIFIER}

The external account binding key identifier (KID) of the desired certificate profile in DigiCert​​®​​ Trust Lifecycle Manager.

{MY-HMAC-KEY}

The external account binding HMAC key of the certificate profile.

{ACME-URL}

The ACME Directory URL. For hosted DigiCert® ONE accounts, use https://one.digicert.com/mpki/api/v1/acme/v2/directory

{MY-CONFIG-DIR}

The local directory path that stores your Certbot configuration files for the current application. The configuration files here control how and where Certbot installs the certificates it downloads. If you omit the --config-dir option, Certbot will check in the /etc/letsencrypt directory by default.

{MY-CSR-FILE}

The path to your certificate signing request (CSR) file.

Beispielbefehl:

sudo certbot --nginx --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_other_webserver_config/ --csr my_csr_file.csr

Usage notes

  • Der --csr Die Option wird anstelle von verwendet -d Möglichkeit.

  • Bei Verwendung des --csr Option, das angeforderte Zertifikatsprofil in DigiCert​​®​​ Trust Lifecycle Manager muss sich an der orientieren CA Manager Private Server-Zertifikat Vorlage und für den Betreff-DN muss die Option „Von CSR“ ausgewählt sein Gemeinsamen Namen Feld. Sehen Create an ACME-based profile for private CA Manager certificates.

  • Wenn das angeforderte Zertifikat mit einer bestehenden Bestellung übereinstimmt, DigiCert​​®​​ Trust Lifecycle Manager wendet die Standardautomatisierungsaktion für diese Bestellung an (siehe ACME-Automatisierungsaktionen). Wenn es keine passende Bestellung gibt oder wenn die ACME-URL Folgendes enthält ?action=enroll, Trust Lifecycle Manager behandelt es als neue Bestellung und registriert das neue Zertifikat für Sie.

  • This command only works for private certificates issued from CAs in DigiCert® Private CA. For public certificates, you must use additional options to validate the domain through Certbot. For examples, see here (DNS-01 validation method) and here (HTTP-01 validation method).

In diesem Abschnitt: