Skip to main content

Ejemplos de automatización con clientes ACME de terceros

Con CertCentral, puede automatizar certificados usando cualquier cliente ACME de terceros. Uno de esos clientes es Certbot de EFF.

Los ejemplos aquí demuestran el uso del cliente Certbot para iniciar las acciones de automatización de certificados para el servidor web Apache.

Aunque estos ejemplos usan Certbot, tenga en cuenta que DigiCert admite cualquier cliente ACME o servidor web.

Aviso

Para obtener instrucciones sobre cómo usar el administrador de certificados Kubernetes para crear y administrar certificados TLS/SSL, consulte Configurar administrador de certificados y servicio DigiCert ACME con Kubernetes.

Antes de comenzar

  • Asegúrese de haber instalado y configurado su cliente ACME preferido siguiendo las pautas del proveedor del software.

  • Configure una URL de directorio ACME para su cliente ACME preferido en CertCentral. Consulte Usar un cliente ACME de terceros para automatizaciones de host.

  • Privilegios de raíz requeridos para instalar certificados para el servidor web.

Certbot: Emitir e instalar un certificado

Si instaló la secuencia de comandos autocertbot, reemplace certbot por ./certbot-auto en el comando. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración de la RUTA de su servidor.

Aviso

Código de error ACME: ACME devuelve los mismos errores y mensajes de error que los que se devuelven en la API de CertCentral. Para obtener una lista de códigos de error y su significado, vea Errores.

  1. Abra una sesión de terminal en su servidor web, por ejemplo usando SSH.

  2. En la petición del terminal, solicite un certificado con Certbot y el siguiente sintaxis de comando:

    • Asegúrese de reemplazar YOUR-KEY-IDENTIFIER con el KID de la vinculación de cuenta externa.

    • Asegúrese de reemplazar YOUR-HMAC-KEY con la clave HMAC de la vinculación de cuenta externa.

    • Asegúrese de reemplazar YOUR-ACME-URL con la URL de directorio ACME: creada anteriormente.

    • Asegúrese de reemplazar FQDN por el nombre de dominio completo que desea que proteja el certificado. Para cada FQDN, agregue una opción -d adicional.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Ejemplo:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  3. Ingrese su comando Certbot, personalizado, según sea necesario.

    Para obtener información adicional sobre los comandos y las opciones usadas en estas indicaciones, vea Certbot: Opciones de automatización de ACME

  4. Se le pedirá que acepte los Términos del servicio. Escriba "A” y presione Intro.

    Actualmente, DigiCert no tiene Términos del servicio adicionales para ACME.

    Nota

    Si su solicitud incluye un FQDN para el que Certbot no puede encontrar un host virtual coincidente, se le pedirá que seleccione el host virtual en el que desea instalar el certificado. En Apache, verifique la lista Directorio virtual para encontrar un ServerName que coincida con el FQDN.

  5. Seleccione si redireccionará el tráfico HTTP a HTTPS.

    Elegir redireccionar desactiva el acceso HTTP a su sitio web.

  6. Cuando haya terminado, su servidor mostrará un mensaje de éxito: “¡Felicitaciones! Ha activado correctamente sus dominios...”.

Su solicitud de certificado ACME está completa y el certificado recientemente emitido está instalado en su servidor web. Verifique su sitio web para confirmar su certificado esté en su lugar.

Certbot: Renovar y reemitir un certificado

Renovar un certificado cuando haya caducado o deba renovarse. Reemitir un certificado cuando falte o haya sido revocado.

Para renovar y reemitir, use la sintaxis de comando de Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Nota

Anexe el orderId y el action a la URL, como se muestra a continuación.

Ejemplo (renovar):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Ejemplo (reemitir):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Nota

Para cuentas con Planes multianuales:

  • renueve un certificado cuando la cobertura del pedido esté por caducar,

  • Reemita un certificado si fue revocado o está por caducar dentro de la cobertura del pedido.

Certbot: Emitir un certificado duplicado

Para aumentar la seguridad y simplificar instalación del certificado en varios servidores, emita un duplicado del certificado para cada servidor.

Nota

Los detalles del duplicado del certificado serán los mismos que los del certificado original. Los certificados duplicados nunca necesitan que DigiCert revoque las copias anteriores de su certificado.

Para emitir un certificado duplicado, use la sintaxis de comando de Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Nota

Anexe el orderId y el action a la URL, como se muestra a continuación.

Ejemplo:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Certbot: Opciones de automatización de ACME

  • certbot: abra el Certbot ejecutable.

  • certbot-auto: Use esto en lugar de Certbot cuando la secuencia de comandos autocertbot esté instalada. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración de la RUTA de su servidor.

  • --apache: Especifique el complemento Apache Certbot que instalará el certificado para usted. Opcional.

  • --register-unsafely-without-email: Le permite omitir la creación de una cuenta ACME. Dado que su solicitud ya está conectada a su cuenta de CertCentral, esto no es necesario. Opcional.

  • --server “ URL : Especifique qué servidor ACME debería completar su solicitud. Coloque su URL del directorio ACME entre comillas dobles después de esta opción.

  • --eab-kid=YOURKID: Especifica el identificador clave, que es parte de la URL común.

  • --eab-hmac-key=YOURHMACKEY: Especifica la clave utilizada para firmar la respuesta.

  • -d YOUR DOMINIO: El nombre de dominio completo incluido en el certificado. Para cada FQDN que figure en el certificado, incluya un –dSUDOMINIO. Si no incluye esta opción, Certbot le preguntará sobre los dominios que quiere incluir en función de sus host virtuales configurados. Opcional.

  • orderId “YOURORDERID: Especifica el tipo de Id. del pedido del certificado existente.

  • action “YOURACTION: Especifica la acción en el certificado que se está solicitando.

Una lista completa de los comandos Certbot está disponible a través del terminal con certbot –help o consulte la lista de comandos en el sitio web de documentación de Certbot.

¿Qué sigue?

Su solicitud de certificado ACME está completa y el certificado recientemente emitido está instalado en su servidor web. Verifique su sitio web para confirmar su certificado esté en su lugar.

Puede volver a usar su URL del directorio ACME para hacer solicitudes de certificados adicionales para el miso producto del certificado y la misma organización validada previamente.

A fin de solicitar certificados para un producto o una organización diferente, cree una nueva URL del directorio ACME única para ese producto u organización. Consulte Usar un cliente ACME de terceros para automatizaciones de host.