Certbot-Beispiel: Öffentliches Vertrauenszertifikat für Apache mithilfe der HTTP-01-Domänenvalidierung ausstellen und installieren
Command syntax
Verwenden Sie an der Befehlszeilenaufforderung die folgende Befehlssyntax, um ein öffentliches DV/OV/EV-Zertifikat für den Apache-Webserver auszustellen und zu installieren und eine Domänenkontrollvalidierung über HTTP-01 anzufordern:
sudo certbot --apache --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} -d {FQDN} --manual --preferred-challenges httpFill in values for the command arguments shown in curly braces, as described below:
Command argument | Description |
|---|---|
| The external account binding key identifier (KID) of the desired certificate profile in DigiCert® Trust Lifecycle Manager. |
| The external account binding HMAC key of the certificate profile. |
| The ACME Directory URL. For hosted DigiCert® ONE accounts, use https://one.digicert.com/mpki/api/v1/acme/v2/directory |
| The local directory path that stores your Certbot configuration files for the current application. The configuration files here control how and where Certbot installs the certificates it downloads. If you omit the |
| The fully qualified domain name you want the certificate to secure. For each FQDN, add an additional |
Beispielbefehl:
sudo certbot --apache --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_other_public_webserver_config/ -d test.com -d www.test.com --manual --preferred-challenges http
Usage notes
Das angeforderte Zertifikatsprofil in DigiCert® Trust Lifecycle Manager muss sich an der orientieren Öffentliches Serverzertifikat von CertCentral Vorlage. Sehen Create an ACME-based profile for public CertCentral certificates.
Der
--preferred-challengesDie Option gibt die bevorzugte Form der Domänenvalidierung an. EingebenhttpHier können Sie eine HTTP-01-Validierung anfordern.Dieser Befehl wird interaktiv ausgeführt. Certbot präsentiert Ihnen das folgende Menü, in dem Sie entscheiden können, wie die HTTP-Validierung durchgeführt wird:
Wählen Sie im obigen Menü Option 1 aus, damit Certbot den Apache-Webserver automatisch für die HTTP-Validierung konfiguriert. Auf Ihrem Webserver muss Port 80 geöffnet sein. Certbot fügt der virtuellen Hostkonfiguration für Port 80 Zeilen wie die folgenden hinzu:
Nach der Validierung wird der Befehl abgeschlossen und das Zertifikat wird ausgestellt und installiert.
Wenn das angeforderte Zertifikat mit einer bestehenden Bestellung übereinstimmt, DigiCert® Trust Lifecycle Manager wendet die Standardautomatisierungsaktion für diese Bestellung an (siehe ACME-Automatisierungsaktionen). Wenn es keine passende Bestellung gibt oder wenn die ACME-URL Folgendes enthält
?action=enroll, Trust Lifecycle Manager behandelt es als neue Bestellung und registriert das neue Zertifikat für Sie.