Skip to main content

Certbot-Beispiel: Öffentliches Vertrauenszertifikat für NGINX mithilfe der DNS-01-Domänenvalidierung ausstellen und installieren

Command syntax

Verwenden Sie an der Befehlszeilenaufforderung die folgende Befehlssyntax, um ein öffentliches DV/OV/EV-Zertifikat für den NGINX-Webserver auszustellen und zu installieren und eine Domänenkontrollvalidierung über DNS-01 anzufordern:

sudo certbot --nginx --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} -d {FQDN} --manual --preferred-challenges dns

Fill in values for the command arguments shown in curly braces, as described below:

Command argument

Description

{MY-KEY-IDENTIFIER}

The external account binding key identifier (KID) of the desired certificate profile in DigiCert​​®​​ Trust Lifecycle Manager.

{MY-HMAC-KEY}

The external account binding HMAC key of the certificate profile.

{ACME-URL}

The ACME Directory URL. For hosted DigiCert® ONE accounts, use https://one.digicert.com/mpki/api/v1/acme/v2/directory

{MY-CONFIG-DIR}

The local directory path that stores your Certbot configuration files for the current application. The configuration files here control how and where Certbot installs the certificates it downloads. If you omit the --config-dir option, Certbot will check in the /etc/letsencrypt directory by default.

{FQDN}

The fully qualified domain name you want the certificate to secure. For each FQDN, add an additional -d option. The first one you specify is used as the common name (CN).

Beispielbefehl:

sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_public_webserver_config/ -d example.com -d www.example.com --manual --preferred-challenges dns

Usage notes

  • Das angeforderte Zertifikatsprofil in DigiCert​​®​​ Trust Lifecycle Manager muss sich an der orientieren Öffentliches Serverzertifikat von CertCentral Vorlage. Sehen Create an ACME-based profile for public CertCentral certificates.

  • Der --preferred-challenges Die Option gibt die bevorzugte Form der Domänenvalidierung an. Eingeben dns Hier können Sie die DNS-01-Validierung anfordern.

  • Der --manual Option bedeutet, dass Sie Ihrer Domain für die Validierungsherausforderung manuell einen DNS-Eintrag hinzufügen.

  • Dieser Befehl wird interaktiv ausgeführt. Certbot stellt die erforderlichen DNS-Validierungsparameter bereit, die als TXT-DNS-Eintrag hinzugefügt werden müssen. Zum Beispiel:

    _acme-challenge.example.com. 300 IN TXT "mJ9ffxp9pX...f0EDcZZ_klG5wWD1"

  • Nachdem der TXT-DNS-Eintrag vorhanden ist, wird der Befehl abgeschlossen und das Zertifikat validiert, ausgestellt und installiert.

  • Wenn das angeforderte Zertifikat mit einer bestehenden Bestellung übereinstimmt, DigiCert​​®​​ Trust Lifecycle Manager wendet die Standardautomatisierungsaktion für diese Bestellung an (siehe ACME-Automatisierungsaktionen). Wenn es keine passende Bestellung gibt oder wenn die ACME-URL Folgendes enthält ?action=enroll, Trust Lifecycle Manager behandelt es als neue Bestellung und registriert das neue Zertifikat für Sie.

In diesem Abschnitt: