Skip to main content

Certbot-Beispiel: Öffentliches Vertrauenszertifikat für NGINX mithilfe der DNS-01-Domänenvalidierung ausstellen und installieren

Command syntax

Verwenden Sie an der Befehlszeilenaufforderung die folgende Befehlssyntax, um ein öffentliches DV/OV/EV-Zertifikat für den NGINX-Webserver auszustellen und zu installieren und eine Domänenkontrollvalidierung über DNS-01 anzufordern:

sudo certbot --nginx --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} -d {FQDN} --manual --preferred-challenges dns

Fill in values for the command arguments shown in curly braces, as described below:

Command argument

Description

{MY-KEY-IDENTIFIER}

The EAB key identifier (KID). For DigiCert​​®​​ Trust Lifecycle Manager. accounts, use certificate profile.

{MY-HMAC-KEY}

The EAB HMAC key.

{ACME-URL}

For hosted DigiCert® ONE accounts, use https://one.digicert.com/mpki/api/v1/acme/v2/directory

{MY-CONFIG-DIR}

Local path to Certbot configuration files for the current application. These files control how and where Certbot installs certificates. If --config-dir is omitted, Certbot defaults to /etc/letsencrypt.

{FQDN}

The fully qualified domain name (FQDN) to secure the certificate. Use -d for each domain; the first entry becomes the common name (CN).

Beispielbefehl:

sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_public_webserver_config/ -d example.com -d www.example.com --manual --preferred-challenges dns

Usage notes

  • Das angeforderte Zertifikatsprofil in DigiCert​​®​​ Trust Lifecycle Manager muss sich an der orientieren Öffentliches Serverzertifikat von CertCentral Vorlage. Sehen Create an ACME-based profile for public CertCentral certificates.

  • Der --preferred-challenges Die Option gibt die bevorzugte Form der Domänenvalidierung an. Eingeben dns Hier können Sie die DNS-01-Validierung anfordern.

  • Der --manual Option bedeutet, dass Sie Ihrer Domain für die Validierungsherausforderung manuell einen DNS-Eintrag hinzufügen.

  • Dieser Befehl wird interaktiv ausgeführt. Certbot stellt die erforderlichen DNS-Validierungsparameter bereit, die als TXT-DNS-Eintrag hinzugefügt werden müssen. Zum Beispiel:

    _acme-challenge.example.com. 300 IN TXT "mJ9ffxp9pX...f0EDcZZ_klG5wWD1"
  • Nachdem der TXT-DNS-Eintrag vorhanden ist, wird der Befehl abgeschlossen und das Zertifikat validiert, ausgestellt und installiert.

  • Wenn das angeforderte Zertifikat mit einer bestehenden Bestellung übereinstimmt, DigiCert​​®​​ Trust Lifecycle Manager wendet die Standardautomatisierungsaktion für diese Bestellung an (siehe ACME-Automatisierungsaktionen). Wenn es keine passende Bestellung gibt oder wenn die ACME-URL Folgendes enthält ?action=enroll, Trust Lifecycle Manager behandelt es als neue Bestellung und registriert das neue Zertifikat für Sie.