Con ACME + CertCentral, use su cliente ACME preferido para automatizar su implementación de certificados SSL/TLS y eliminar el tiempo que pasa llevando a cabo las instalaciones de certificados manualmente.
La compatibilidad del protocolo ACME de CertCentral le deja automatizar implementaciones de certificados OV y EV SSL/TLS de 1 año y con validez personalizada. Nuestro protocolo ACME también admite la opción de perfil del certificado de intercambio firmado de HTTP para que pueda automatizar sus implementaciones de certificados de intercambio firmado de HTTP (consulte las URL del directorio ACME para certificados de intercambio firmado de HTTP).
Para conocer una lista de los problemas actuales conocidos, consulte Automatización: problemas conocidos. Para informar errores, póngase en contacto con nuestro Equipo de asistencia. .
Antes de comenzar, asegúrese de satisfacer estos requisitos previos:
Además de CertBot, DigiCert también proporciona asistencia de administrador de certificados para ayudarlo a crear y administrar los certificados SSL/TLS. Consulte Configurar administrador de certificados y servicio DigiCert ACME con Kubernetes.
Para comenzar, genere una URL única del directorio ACME en su cuenta de CertCentral. Deberá incluir su URL del directorio ACME con una vinculación de cuenta externa (EAB) en su comando de solicitud de certificado CertBot.
En su cuenta de CertCentral, en el menú lateral, haga clic en Automatización > Las URL del directorio ACME.
En la página de las URL del directorio ACME, haga clic en Agregar URL del directorio ACME.
En la ventana emergente Agregar URL del directorio ACME, ingrese un Nombre descriptivo para la URL.
En la lista desplegable Producto, seleccione el certificado que desea emitir usando ACME.
Actualmente, DigiCert ACME solo es compatible con los certificados OV y EV TLS/SSL.
En el menú desplegable División, vincule una división con la URL del directorio ACME.
Todos los certificados que se emitan desde esta URL se adjuntarán a la división que se elija.
En la lista desplegable Organización, seleccione la Organización validada previamente para la que desea emitir un certificado.
(Opcional) Seleccione su Duración de la cobertura multianual de la lista desplegable si tiene una cuenta con Plan multianual.
En Período de validez,, seleccione Personalizar duración y en la casilla Días, ingrese un número.
Haga clic en Agregar URL del directorio ACME.
En la ventana emergente Nueva URL del directorio ACME, copie la URL ACME única junto con la información de la vinculación de cuenta externa (EAB) y guárdela.
Deberá usar esta información para solicitar su certificado usando ACME.
Cuando genera una URL del directorio ACME, la clave de URL, KID y HMAC aparece solo una vez. No hay forma de recuperar la información perdida. Si alguna vez pierde los detalles de una URL ACME, deberá revocarla y generar una nueva.
Haga clic en Entiendo que no volveré a ver esto.
Su nueva URL del directorio ACME se agrega a la lista de las URL que están en la página de las URL del directorio ACME (en el menú lateral, haga clic en Automatización > Las URL del directorio ACME). Para obtener información del certificado que quiere pedir a través de la URL del directorio ACME, haga clic en el ícono de información que aparece junto a la descripción de la URL.
Si instaló la secuencia de comandos autocertbot, reemplace certbot
por ./certbot-auto
en el comando. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración RUTA de su servidor.
Código de error ACME:
ACME devuelve los mismos errores y mensajes de error que los que se devuelven en la API de CertCentral. Para obtener una lista de códigos de error y su significado, vea Errores.
Use su cliente ACME preferido para conectarse a su servidor web usando SSH.
En la petición del terminal, solicite un certificado usando CertBot y el siguiente comando.
YOUR-KEY-IDENTIFIER
con el KID de la vinculación de cuenta externa.YOUR-HMAC-KEY
con la clave HMAC de la vinculación de cuenta externa.YOUR-ACME-URL
por la URL del directorio ACME creado anteriormente (vea Crear URL del directorio ACME).FQDN
por el nombre de dominio completo que desea proteger con el certificado. Para cada FQDN, agregue una opción -d
adicional.sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN
Este es un ejemplo de un comando completo de referencia con una vinculación de cuenta externa.
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
Ingresar su comando CertBot, Personalizado según sea necesario.
Para obtener información adicional sobre los comandos y las opciones usadas en estas indicaciones, vea Opciones ACME.
Se le pedirá que acepte los Términos del servicio. Escriba "A” y presione enter.
Actualmente, DigiCert no tiene Términos del servicio adicionales para ACME.
Si su solicitud incluye un FQDN para el que CertBot no puede encontrar un host virtual coincidente, se le pedirá que seleccione el host virtual en el que desea instalar el certificado.
En Apache, verifique la lista Directorio virtual para encontrar un ServerName que coincida con el FQDN.
Seleccione si redireccionará el tráfico HTTP a HTTPS.
Elegir redireccionar desactiva el acceso HTTP a su sitio web.
Cuando haya terminado, su servidor mostrará un mensaje de éxito: “¡Felicitaciones! Ha activado correctamente sus dominios...”
¡Felicitaciones! Su solicitud de certificado ACME está completa y el certificado recientemente emitido está instalado en su servidor web. Puede visitar su sitio web para confirmar que la instalación fue exitosa.
Renueve un certificado cuando haya caducado o tenga que renovarse y reemita un certificado cuando se haya revocado o falte.
Para renovar y reemitir, use el comando de CertBot a continuación:
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN
Tiene que anexar el orderId
y el action
a la URL, como se muestra en los ejemplos a continuación:
Este es un ejemplo de un comando completo de referencia para la renovación.
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
Este es un ejemplo de un comando completo de referencia para la reemisión.
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
Para cuentas con Planes multianuales,
Su solicitud de certificado ACME está completa. El certificado recientemente emitido se instala en su servidor web. Visite su sitio web para confirmar que la instalación fue exitosa.
Puede volver a usar su URL del directorio ACME para hacer solicitudes de certificados adicionales para el miso producto del certificado y la misma organización validada previamente.
A fin de solicitar certificados para un producto o una organización diferente, cree una nueva URL del directorio ACME única para ese producto u organización. Vea Crear URL del directorio ACME.
certbot
: abre el CertBot ejecutable.certbot-auto
: Utilizar en lugar de certbot cuando se instala la secuencia de comandos autocertbot. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración RUTA de su servidor.--apache
: Especifique el complemento Apache Certbot que instalará el certificado para usted. Opcional.--register-unsafely-without-email
: Le permite omitir la creación de una cuenta ACME. Dado que su solicitud ya está conectada a su cuenta de CertCentral, esto no es necesario. Opcional.--server “
URL
”
: Especifique qué servidor ACME debería completar su solicitud. Coloque su URL del directorio ACME entre comillas dobles después de esta opción.--eab-kid “YOUR
KID
”
: Especifica el identificador clave, que es parte de la URL común.--eab-hmac-key “YOUR
HMACKEY
”
: Especifica la clave utilizada para firmar la respuesta.-d YOUR
DOMINIO
: El nombre de dominio completo incluido en el certificado. Para cada FQDN que figure en el certificado, incluya un –d SUDOMINIO. Si no incluye esta opción, CertBot le preguntará sobre los dominios que quiere incluir en función de sus host virtuales configurados. Opcional.orderId “YOUR
ORDERID
”
: Especifica el tipo de Id. del pedido del certificado existente.action “YOUR
ACTION
”
: Especifica la acción en el certificado que se está solicitando.Una lista completa de los comandos CertBot está disponible a través del terminal con certbot –help. Los comandos también se documentan en el Sitio web de documentación CertBot.
Temas relacionados