Guía del usuario de la integración de la automatización de ACME manual

Con ACME + CertCentral, use su cliente ACME preferido para automatizar su implementación de certificados SSL/TLS y eliminar el tiempo que pasa llevando a cabo las instalaciones de certificados manualmente.

La compatibilidad del protocolo ACME de CertCentral le deja automatizar implementaciones de certificados OV y EV SSL/TLS de 1 años, 2 años y con validez personalizada. Nuestro protocolo ACME también admite la opción de perfil del certificado de intercambio firmado de HTTP para que pueda automatizar sus implementaciones de certificados de intercambio firmado de HTTP (consulte las URL del directorio ACME para certificados de intercambio firmado de HTTP).

Este es el período beta abierto para el servicio de asistencia del protocolo ACME en CertCentral. Para conocer una lista de los problemas actuales conocidos, vea Problemas conocidos: Para informar errores, póngase en contacto con nuestro Equipo de asistencia.

Antes de comenzar

Antes de comenzar, asegúrese de satisfacer estos requisitos previos:

  • Administrador o gestor de su cuenta de CertCentral
    Para acceder a ACME en su cuenta de CertCentral, vaya a la página URL del directorio ACME (en el menú lateral, haga clic en Automatización > URL del directorio ACME).
  • Acceso de usuario raíz a su servidor web
    Estas indicaciones solo abarcan Apache. No obstante, DigiCert ACME es compatible con todos los servidores web.
  • Cliente ACME operativo instalado en su servidor web, preferentemente CertBot
    DigiCert recomienda usar su Cliente ACME preferido. Sin embargo, solo hemos incluido indicaciones para CertBot. Hay una guía de instalación para CertBot disponible desde el EFF. Vea Certbot de EFF.
  • Aprobaciones automáticas de solicitudes de certificados activadas para su cuenta de CertCentral. Vea Activar aprobaciones automáticas de solicitudes de certificados.
  • Validó previamente los dominios y organizaciones para los que quiere obtener certificados, lo que es necesario para la emisión de certificados instantánea.
    Para que la emisión de certificados instantánea de ACME funcione, debe validar previamente el dominio y la organización usados en sus solicitudes de certificado ACME. Vea Administrar organizaciones y Administrar dominios.

No se recomienda el uso de DigiCert ACME Beta en un ambiente de producción.

Crear URL del directorio ACME

Para comenzar, genere una URL única del directorio ACME en su cuenta de CertCentral. Deberá incluir su URL del directorio ACME en su comando de solicitud de certificado CertBot.

  1. En su cuenta de CertCentral, en el menú lateral, haga clic en Automatización > Las URL del directorio ACME.

    ACME Directory URLs page

  1. En la página de las URL del directorio ACME, haga clic en Agregar URL del directorio ACME.

  1. En la ventana emergente Agregar URL del directorio ACME, ingrese un Nombre descriptivo para la URL.

  1. En la lista desplegable Producto, seleccione el certificado que desea emitir usando ACME.

Actualmente, DigiCert ACME solo es compatible con los certificados OV y EV TLS/SSL.

  1. En la lista desplegable Organización, seleccione la Organización validada previamente para la que desea emitir un certificado.

  1. Haga clic en Agregar URL del directorio ACME.

  1. En la ventana emergente Nueva URL del directorio ACME, copie la URL ACME única y guárdela.

    Deberá usar esta URL para solicitar su certificado usando ACME.

Cuando genera una URL del directorio ACME, aparece solo una vez. No hay forma de recuperar una URL ACME perdida. Si alguna vez pierde una URL ACME, deberá revocarla y generar una nueva.

  1. Haga clic en Entiendo que no volveré a ver esto.

Su nueva URL del directorio ACME se agrega a la lista de las URL que están en la página de las URL del directorio ACME (en el menú lateral, haga clic en Automatización > Las URL del directorio ACME). Para obtener información del certificado que quiere pedir a través de la URL del directorio ACME, haga clic en el ícono de información que aparece junto a la descripción de la URL.

ACME: Emitir e instalar un certificado

Si instaló la secuencia de comandos autocertbot, reemplace certbot por ./certbot-auto en el comando. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración RUTA de su servidor.

Código de error ACME:
ACME devuelve los mismos errores y mensajes de error que los que se devuelven en la API de CertCentral. Para obtener una lista de códigos de error y su significado, vea Errores.

  1. Use su cliente ACME preferido para conectarse a su servidor web usando SSH.

  1. En la petición del terminal, solicite un certificado usando CertBot y el siguiente comando.

    • Asegúrese de reemplazar YOUR-ACME-URL por la URL del directorio ACME creado anteriormente (vea Crear URL del directorio ACME).
    • Asegúrese de reemplazar FQDN por el nombre de dominio completo que desea proteger con el certificado. Para cada FQDN, agregue una opción -d adicional.
bash 
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Este es un ejemplo de un comando completo de referencia.

bash 
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com

  1. Ingresar su comando CertBot, Personalizado según sea necesario.

    Para obtener información adicional sobre los comandos y las opciones usadas en estas indicaciones, vea Opciones ACME.

  1. Se le pedirá que acepte los Términos del servicio. Escriba "A” y presione enter.

    Actualmente, DigiCert no tiene Términos del servicio adicionales para la versión Beta de ACME.

Si su solicitud incluye un FQDN para el que CertBot no puede encontrar un host virtual coincidente, se le pedirá que seleccione el host virtual en el que desea instalar el certificado.
En Apache, verifique la lista Directorio virtual para encontrar un ServerName que coincida con el FQDN.

  1. Seleccione si redireccionará el tráfico HTTP a HTTPS.

    Elegir redireccionar desactiva el acceso HTTP a su sitio web.

  1. Cuando haya terminado, su servidor mostrará un mensaje de éxito: “¡Felicitaciones! Ha activado correctamente sus dominios...

¡Felicitaciones! Su solicitud de certificado ACME está completa y el certificado recientemente emitido está instalado en su servidor web. Puede visitar su sitio web para confirmar que la instalación fue exitosa.

Qué sigue

Su solicitud de certificado ACME está completa. El certificado recientemente emitido se instala en su servidor web. Visite su sitio web para confirmar que la instalación fue exitosa.

Puede volver a usar su URL del directorio ACME para hacer solicitudes de certificados adicionales para el miso producto del certificado y la misma organización validada previamente.

A fin de solicitar certificados para un producto o una organización diferente, cree una nueva URL del directorio ACME única para ese producto u organización. Vea Crear URL del directorio ACME.

Opción ACME

  • certbot: abre el CertBot ejecutable.
  • certbot-auto: Utilizar en lugar de certbot cuando se instala la secuencia de comandos autocertbot. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración RUTA de su servidor.
  • --apache: Especifique el complemento Apache Certbot que instalará el certificado para usted. Opcional.
  • --register-unsafely-without-email: Le permite omitir la creación de una cuenta ACME. Dado que su solicitud ya está conectada a su cuenta de CertCentral, esto no es necesario. Opcional.
  • --server “URL: Especifique qué servidor ACME debería completar su solicitud. Coloque su URL del directorio ACME entre comillas dobles después de esta opción.
  • -d YOURDOMINIO: El nombre de dominio completo incluido en el certificado. Para cada FQDN que figure en el certificado, incluya un –d SUDOMINIO. Si no incluye esta opción, CertBot le preguntará sobre los dominios que quiere incluir en función de sus host virtuales configurados. Opcional.

Una lista completa de los comandos CertBot está disponible a través del terminal con certbot –help. Los comandos también se documentan en el Sitio web de documentación CertBot.

Temas relacionados

Acerca de nosotros

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.