Certbot-Beispiel: Zertifikat mithilfe von ACME-URL-Abfrageparametern erneuern, erneut ausstellen oder duplizieren
Jedes Mal, wenn Sie eine Zertifikatautomatisierung mit einem ACME-Client eines Drittanbieters anfordern, DigiCert® Trust Lifecycle Manager sucht nach vorhandenen Zertifikatsbestellungen und wendet, wenn eine passende Zertifikatsbestellung gefunden wird, die Standardlebenszyklusaktion für diese Bestellung an. Sehen ACME-Automatisierungsaktionen.
Sie können den ACME-Client eines Drittanbieters auch explizit anweisen, eine bestimmte Lebenszyklusaktion für eine vorhandene Zertifikatsbestellung auszuführen, indem Sie den Automatisierungsaktionstyp und die Zertifikatsbestellungs-ID als Abfrageparameter zur ACME-URL hinzufügen.
Hinweis
Trust Lifecycle Manager can automatically renew and reissue certificates for existing orders when applicable. See ACME-Automatisierungsaktionen.
To duplicate an existing certificate, the certificate profile must have duplicates enabled, and you must include the automation action and order ID in the ACME URL.
Betrachten Sie beispielsweise die folgenden ACME-URLs, die Abfrageparameter für Automatisierungsaktionen und Bestell-IDs enthalten:
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456Erneuern Sie das Zertifikat ab der Bestell-ID-Nummer 555123456.
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012Stellen Sie das Zertifikat mit der Bestell-ID-Nummer 555789012 erneut aus.
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678Stellen Sie ein Duplikat des Zertifikats mit der Bestell-ID-Nummer 555345678 aus.
Die folgenden Beispiele veranschaulichen vollständige Certbot-Clientbefehle, die ACME-URLs mit hinzugefügten Abfrageparametern enthalten.
Erneuern Sie das öffentliche Vertrauenszertifikat mit der Bestell-ID-Nummer 555123456 für Domänen
example.comUndwww.example.com, Verwendung von HTTP-1 zur Validierung der Domänenkontrolle und Installation des erneuerten Zertifikats auf dem lokalen Apache-Webserver:sudo certbot --apache --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456 --config-dir /usr/local/certbot/my_other_public_webserver_config/ -d test.com -d www.test.com --preferred-challenges http
Stellen Sie das öffentliche Trust-Wildcard-Zertifikat mit der Bestell-ID-Nummer 555789012 erneut aus
*.my.example.com, Verwendung von DNS-1 zur Domänenkontrollvalidierung und Installation des neu ausgestellten Zertifikats auf dem lokalen NGINX-Webserver:sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012 --config-dir /usr/local/certbot/my_public_webserver_config/ -d *.my.example.com --manual --preferred-challenges dns
Stellen Sie für Domänen ein Duplikat des öffentlichen Vertrauenszertifikats mit der Bestell-ID-Nummer 555345678 aus
test.comUndmail.test.com, Verwendung von HTTP-1 zur Domänenkontrollvalidierung und Installation des doppelten Zertifikats auf dem lokalen NGINX-Webserver:sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678 --config-dir /usr/local/certbot/my_public_webserver_config/ -d test.com -d mail.test.com --preferred-challenges http
Wenn die ACME-Automatisierungsanforderung gültig ist, wird das resultierende Zertifikat wie üblich automatisch ausgestellt und für Sie installiert.