Establecer una aplicación personalizada para la automatización administrada

La automatización administrada de CertCentral admite las aplicaciones de servidor web más populares de manera diferente.

CertCentral también ofrece la flexibilidad de extender la administración de certificados para aplicaciones adicionales no admitidas de manera nativa al permitir la configuración de clientes ACME de terceros a través de la opción "personalizar aplicación".

Para habilitar la automatización administrada para una aplicación personalizada, siga estos pasos:

Step 1: Install DigiCert agent

Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about how to deploy DigiCert agents on your servers, see Instalar y activar un agente de automatización ACME.

Configurar un cliente ACME de terceros

In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.

La automatización administrada de CertCentral funciona con cualquier cliente externo que admita el protocolo ACME estándar del sector.

Step 3: Create shell script

You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.

The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.

Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):

ejemplo 1. Certbot (Linux)

directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

ejemplo 2. Win-ACME (Windows)

set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variable definitions at the top of these shell scripts set the required ACME request parameters:

These must match up with the ACME arguments you configure for the custom application in CertCentral.
During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.

Commands used in the shell script:

Must include all mandatory parameters.
Must not exceed 512 characters.
Must not include special directives like rm -rf or rmdir

The shell script filename:

Must end with .bat or .sh
Must not exceed 255 characters.

Realizar la configuración de la automatización administrada

Use el menú Administrar automatización de CertCentral para completar la configuración para su aplicación personalizada:

En la cuenta de CertCentral, en el menú principal izquierdo, vaya a Automatización > Administrar automatización.
Desde la vista Administrar automatización, seleccione el Nombre del agente ACME local que se ejecuta en el mismo host de certificado como la aplicación personalizada.
En el panel de configuración del agente a la derecha, descienda a la sección Configurar IP/Puerto.
Ubique la dirección IP y el número de puerto para la aplicación personalizada. Seleccione Personalizado como el nombre de la aplicación.
En el campo Ruta de comandos del cliente, proporcione la ruta completa de directorio correspondiente para el script shell que invocará el cliente ACME de terceros.
Por ejemplo:
- Windows: G:\certcentral\agent\custom_automation_1.bat
- Linux: /home/certcentral/agent/custom_automation_1.sh
En el campo Argumentos de los comandos del cliente, especifique los argumentos ACME generales que se utilizarán.
Por ejemplo:
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}
Tenga en cuenta lo siguiente:
- Cada argumento se debe ingresar exactamente como se muestra aquí.
- El orden de los argumentos debe coincidir con cómo se usan en su script shell.
- Durante un evento de automatización, los valores requeridos para estos argumentos se obtienen automáticamente desde el perfil de automatización seleccionado.
Explicación de los argumentos ACME admitidos por la automatización administrada de CertCentral:
- {acmeDirectoryUrl}: configuración de URL de directorio ACME.
- {hosts}: detalles del host del certificado.
- {email}: dirección de correo electrónico para notificaciones.
- {key}: algoritmo de la clave (RSA o ECC).
- {extActKid}: identificador clave de cuenta externa usado en la URL.
- {extActHmac}: clave HMAC para firmar la respuesta.
Seleccione Guardar para implementar la configuración de automatización actualizada.

¿Qué sigue?

Después de configurar la aplicación personalizada, puede administrar las automatizaciones de certificados para ella del mismo modo que otras aplicaciones administradas.

En esta sección: