Skip to main content

Utilice credenciales heredadas de CertCentral ACME

El 30 de enero de 2024, DigiCert lanzó una nueva versión del servicio CertCentral ACME compatible con lo siguiente:

  • Automatización basada en ACME para certificados DV.

  • Verificaciones de validación de control de dominio dinámico a través del protocolo ACME.

  • Selección automática de la acción del certificado (inscribir/renovar/reemitir/duplicar), con la capacidad de anular y forzar una nueva inscripción.

Cualquier credencial ACME creada en CertCentral antes de la versión del 30 de enero de 2024 no admite las funciones anteriores y se considera heredada. DigiCert recomienda que agregue nuevas credenciales ACME a reemplazar cualquier credencial ACME heredada en tu cuenta.

Aviso

Cuando solicita certificados utilizando credenciales ACME heredadas, CertCentral maneja todas las comprobaciones de validación del dominio por sí mismo, independientemente del protocolo ACME. El FQDN debe estar prevalidado en la plataforma CertCentral y estar activo y dentro del reutilización de validación período.

Durante un evento de automatización ACME, el protocolo ACME no realiza ninguna autorización aunque se solicite. Todas las comprobaciones de autorización las realizan fuera de banda los servicios de autoridad de registro empresarial (RA) de CertCentral.

Reemplace sus credenciales ACME heredadas

Si tiene credenciales ACME heredadas en su cuenta, verá un mensaje de banner encima de la tabla en la URL del directorio ACME página en CertCentral. Cada conjunto de credenciales ACME heredadas está marcado con un icono de advertencia junto al Estado columna de la tabla.

Para reemplazar sus credenciales ACME heredadas:

  1. Verifique el producto del certificado y la configuración de las credenciales ACME heredadas. Puedes comprobar esto en el URL del directorio ACME página seleccionando la información sobre herramientas junto a Descripción columna.

  2. Agregar nuevas credenciales ACME para el mismo producto de certificado y configuración.Usar un cliente ACME de terceros para automatizaciones de host

  3. Configura tus clientes ACME utilizar las nuevas credenciales ACME en lugar de las heredadas.Usar un cliente ACME de terceros para automatizaciones de host

Aviso

Para obtener más información sobre cómo utilizar las últimas funciones de automatización de CertCentral ACME, consulte: Request and manage certificates with ACME

Ejemplos de Certbot para credenciales ACME heredadas

Para continuar usando sus credenciales ACME heredadas:

  • Asegúrese de que tanto la organización como el dominio estén validados previamente en CertCentral. Contacto Soporte de validación de DigiCert si necesitas ayuda con esto.

  • Para acciones de certificado que no sean nuevas inscripciones, agregue el número de identificación del pedido existente y la acción de certificado solicitada a la URL de ACME como se muestra en los ejemplos de Certbot a continuación.

Emitir e instalar un certificado

Si instaló la secuencia de comandos autocertbot, reemplace certbot por ./certbot-auto en el comando. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración de la RUTA de su servidor.

  1. Abra una sesión de terminal en su servidor web, por ejemplo usando SSH.

  2. En la petición del terminal, solicite un certificado con Certbot y el siguiente sintaxis de comando:

    • Asegúrese de reemplazar YOUR-KEY-IDENTIFIER con el KID de la vinculación de cuenta externa.

    • Asegúrese de reemplazar YOUR-HMAC-KEY con la clave HMAC de la vinculación de cuenta externa.

    • Asegúrese de reemplazar YOUR-ACME-URL con la URL de directorio ACME: creada anteriormente.

    • Asegúrese de reemplazar FQDN por el nombre de dominio completo que desea que proteja el certificado. Para cada FQDN, agregue una opción -d adicional.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Ejemplo:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  3. Ingrese su comando Certbot, personalizado, según sea necesario.

    Para obtener información adicional sobre los comandos y las opciones usadas en estas indicaciones, vea Opciones de comando de Certbot

  4. Se le pedirá que acepte los Términos del servicio. Escriba "A” y presione Intro.

    Actualmente, DigiCert no tiene Términos del servicio adicionales para ACME.

    Si su solicitud incluye un FQDN para el que Certbot no puede encontrar un host virtual coincidente, se le pedirá que seleccione el host virtual en el que desea instalar el certificado. En Apache, verifique la lista Directorio virtual para encontrar un ServerName que coincida con el FQDN.

  5. Seleccione si redireccionará el tráfico HTTP a HTTPS.

    Elegir redireccionar desactiva el acceso HTTP a su sitio web.

  6. Cuando haya terminado, su servidor mostrará un mensaje de éxito: “¡Felicitaciones! Ha activado correctamente sus dominios...”.

Su solicitud de certificado ACME está completa y el certificado recientemente emitido está instalado en su servidor web. Verifique su sitio web para confirmar su certificado esté en su lugar.

Aviso

Código de error ACME: ACME devuelve los mismos errores y mensajes de error que los que se devuelven en la API de CertCentral. Para obtener una lista de códigos de error y su significado, vea Errores.

Renovar y reemitir un certificado

Renovar un certificado cuando haya caducado o deba renovarse. Reemitir un certificado cuando falte o haya sido revocado.

Para renovar y reemitir, use la sintaxis de comando de Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Anexe el orderId y el action a la URL, como se muestra a continuación.

Ejemplo (renovar):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Ejemplo (reemitir):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Nota

Para cuentas con Planes multianuales:

  • renueve un certificado cuando la cobertura del pedido esté por caducar,

  • Reemita un certificado si fue revocado o está por caducar dentro de la cobertura del pedido.

Emitir un certificado duplicado

Para aumentar la seguridad y simplificar instalación del certificado en varios servidores, emita un duplicado del certificado para cada servidor.

Los detalles del duplicado del certificado serán los mismos que los del certificado original. Los certificados duplicados nunca necesitan que DigiCert revoque las copias anteriores de su certificado.

Para emitir un certificado duplicado, use la sintaxis de comando de Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Anexe el orderId y el action a la URL, como se muestra a continuación.

Ejemplo:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Opciones de comando de Certbot

  • certbot: abra el Certbot ejecutable.

  • certbot-auto: Use esto en lugar de Certbot cuando la secuencia de comandos autocertbot esté instalada. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración de la RUTA de su servidor.

  • --apache: Especifique el complemento Apache Certbot que instalará el certificado para usted. Opcional.

  • --register-unsafely-without-email: Le permite omitir la creación de una cuenta ACME. Dado que su solicitud ya está conectada a su cuenta de CertCentral, esto no es necesario. Opcional.

  • --server “ URL : Especifique qué servidor ACME debería completar su solicitud. Coloque su URL del directorio ACME entre comillas dobles después de esta opción.

  • --eab-kid=YOURKID: Especifica el identificador clave, que es parte de la URL común.

  • --eab-hmac-key=YOURHMACKEY: Especifica la clave utilizada para firmar la respuesta.

  • -d YOUR DOMINIO: El nombre de dominio completo incluido en el certificado. Para cada FQDN que figure en el certificado, incluya un –dSUDOMINIO. Si no incluye esta opción, Certbot le preguntará sobre los dominios que quiere incluir en función de sus host virtuales configurados. Opcional.

  • orderId “YOURORDERID: Especifica el tipo de Id. del pedido del certificado existente.

  • action “YOURACTION: Especifica la acción en el certificado que se está solicitando.

Una lista completa de los comandos Certbot está disponible a través del terminal con certbot –help o consulte la lista de comandos en el sitio web de documentación de Certbot.

En esta sección: