Guía del usuario de la integración de la automatización de ACME manual

Con ACME + CertCentral, use su cliente ACME preferido para automatizar su implementación de certificados SSL/TLS y eliminar el tiempo que pasa llevando a cabo las instalaciones de certificados manualmente.

La compatibilidad del protocolo ACME de CertCentral le deja automatizar implementaciones de certificados OV y EV SSL/TLS de 1 año y con validez personalizada. Nuestro protocolo ACME también admite la opción de perfil del certificado de intercambio firmado de HTTP para que pueda automatizar sus implementaciones de certificados de intercambio firmado de HTTP (consulte las URL del directorio ACME para certificados de intercambio firmado de HTTP).

Para conocer una lista de los problemas actuales conocidos, consulte Automatización: problemas conocidos. Para informar errores, póngase en contacto con nuestro Equipo de asistencia. .

Antes de comenzar

Antes de comenzar, asegúrese de satisfacer estos requisitos previos:

  • Administrador o gestor de su cuenta de CertCentral
    Para acceder a ACME en su cuenta de CertCentral, vaya a la página URL del directorio ACME (en el menú lateral, haga clic en Automatización > URL del directorio ACME).
  • Acceso de usuario raíz a su servidor web
    Estas indicaciones solo abarcan Apache. No obstante, DigiCert ACME es compatible con todos los servidores web.
  • Cliente ACME operativo instalado en su servidor web, preferentemente CertBot
    DigiCert recomienda usar su Cliente ACME preferido. Sin embargo, solo hemos incluido indicaciones para CertBot. Hay una guía de instalación para CertBot disponible desde el EFF. Vea Certbot de EFF.
  • Aprobaciones automáticas de solicitudes de certificados activadas para su cuenta de CertCentral. Vea Activar aprobaciones automáticas de solicitudes de certificados.
  • Validó previamente los dominios y organizaciones para los que quiere obtener certificados, lo que es necesario para la emisión de certificados instantánea.
    Para que la emisión de certificados instantánea de ACME funcione, debe validar previamente el dominio y la organización usados en sus solicitudes de certificado ACME. Vea Administrar organizaciones y Administrar dominios.

Además de CertBot, DigiCert también proporciona asistencia de administrador de certificados para ayudarlo a crear y administrar los certificados SSL/TLS. Consulte Configurar administrador de certificados y servicio DigiCert ACME con Kubernetes.

Crear URL del directorio ACME

Para comenzar, genere una URL única del directorio ACME en su cuenta de CertCentral. Deberá incluir su URL del directorio ACME con una vinculación de cuenta externa (EAB) en su comando de solicitud de certificado CertBot.

  1. En su cuenta de CertCentral, en el menú lateral, haga clic en Automatización > Las URL del directorio ACME.

  1. En la página de las URL del directorio ACME, haga clic en Agregar URL del directorio ACME.

  1. En la ventana emergente Agregar URL del directorio ACME, ingrese un Nombre descriptivo para la URL.

  1. En la lista desplegable Producto, seleccione el certificado que desea emitir usando ACME.

Actualmente, DigiCert ACME solo es compatible con los certificados OV y EV TLS/SSL.

  1. En el menú desplegable División, vincule una división con la URL del directorio ACME.

Todos los certificados que se emitan desde esta URL se adjuntarán a la división que se elija.

  1. En la lista desplegable Organización, seleccione la Organización validada previamente para la que desea emitir un certificado.

  1. (Opcional) Seleccione su Duración de la cobertura multianual de la lista desplegable si tiene una cuenta con Plan multianual.

  1. En Período de validez,, seleccione Personalizar duración y en la casilla Días, ingrese un número.

  1. Haga clic en Agregar URL del directorio ACME.

  1. En la ventana emergente Nueva URL del directorio ACME, copie la URL ACME única junto con la información de la vinculación de cuenta externa (EAB) y guárdela.

    Deberá usar esta información para solicitar su certificado usando ACME.

Cuando genera una URL del directorio ACME, la clave de URL, KID y HMAC aparece solo una vez. No hay forma de recuperar la información perdida. Si alguna vez pierde los detalles de una URL ACME, deberá revocarla y generar una nueva.

  1. Haga clic en Entiendo que no volveré a ver esto.

Su nueva URL del directorio ACME se agrega a la lista de las URL que están en la página de las URL del directorio ACME (en el menú lateral, haga clic en Automatización > Las URL del directorio ACME). Para obtener información del certificado que quiere pedir a través de la URL del directorio ACME, haga clic en el ícono de información que aparece junto a la descripción de la URL.

ACME: Emitir e instalar un certificado

Si instaló la secuencia de comandos autocertbot, reemplace certbot por ./certbot-auto en el comando. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración RUTA de su servidor.

Código de error ACME:
ACME devuelve los mismos errores y mensajes de error que los que se devuelven en la API de CertCentral. Para obtener una lista de códigos de error y su significado, vea Errores.

  1. Use su cliente ACME preferido para conectarse a su servidor web usando SSH.

  1. En la petición del terminal, solicite un certificado usando CertBot y el siguiente comando.

    • Asegúrese de reemplazar YOUR-KEY-IDENTIFIER con el KID de la vinculación de cuenta externa.
    • Asegúrese de reemplazar YOUR-HMAC-KEY con la clave HMAC de la vinculación de cuenta externa.
    • Asegúrese de reemplazar YOUR-ACME-URL por la URL del directorio ACME creado anteriormente (vea Crear URL del directorio ACME).
    • Asegúrese de reemplazar FQDN por el nombre de dominio completo que desea proteger con el certificado. Para cada FQDN, agregue una opción -d adicional.
bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Este es un ejemplo de un comando completo de referencia con una vinculación de cuenta externa.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  1. Ingresar su comando CertBot, Personalizado según sea necesario.

    Para obtener información adicional sobre los comandos y las opciones usadas en estas indicaciones, vea Opciones ACME.

  1. Se le pedirá que acepte los Términos del servicio. Escriba "A” y presione enter.

    Actualmente, DigiCert no tiene Términos del servicio adicionales para ACME.

Si su solicitud incluye un FQDN para el que CertBot no puede encontrar un host virtual coincidente, se le pedirá que seleccione el host virtual en el que desea instalar el certificado.
En Apache, verifique la lista Directorio virtual para encontrar un ServerName que coincida con el FQDN.

  1. Seleccione si redireccionará el tráfico HTTP a HTTPS.

    Elegir redireccionar desactiva el acceso HTTP a su sitio web.

  1. Cuando haya terminado, su servidor mostrará un mensaje de éxito: “¡Felicitaciones! Ha activado correctamente sus dominios...

¡Felicitaciones! Su solicitud de certificado ACME está completa y el certificado recientemente emitido está instalado en su servidor web. Puede visitar su sitio web para confirmar que la instalación fue exitosa.

ACME: Renovar y reemitir un certificado

Renueve un certificado cuando haya caducado o tenga que renovarse y reemita un certificado cuando se haya revocado o falte.

Para renovar y reemitir, use el comando de CertBot a continuación:

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Tiene que anexar el orderId y el action a la URL, como se muestra en los ejemplos a continuación:

Este es un ejemplo de un comando completo de referencia para la renovación.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Este es un ejemplo de un comando completo de referencia para la reemisión.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Para cuentas con Planes multianuales,

  • renueve un certificado cuando la cobertura del pedido esté por caducar,
  • reemita un certificado si se ha revocado o está por caducar dentro de la cobertura del pedido.

Qué sigue

Su solicitud de certificado ACME está completa. El certificado recientemente emitido se instala en su servidor web. Visite su sitio web para confirmar que la instalación fue exitosa.

Puede volver a usar su URL del directorio ACME para hacer solicitudes de certificados adicionales para el miso producto del certificado y la misma organización validada previamente.

A fin de solicitar certificados para un producto o una organización diferente, cree una nueva URL del directorio ACME única para ese producto u organización. Vea Crear URL del directorio ACME.

Opción ACME

  • certbot: abre el CertBot ejecutable.
  • certbot-auto: Utilizar en lugar de certbot cuando se instala la secuencia de comandos autocertbot. Es posible que deba especificar la ruta de autocertbot si no se agrega a la configuración RUTA de su servidor.
  • --apache: Especifique el complemento Apache Certbot que instalará el certificado para usted. Opcional.
  • --register-unsafely-without-email: Le permite omitir la creación de una cuenta ACME. Dado que su solicitud ya está conectada a su cuenta de CertCentral, esto no es necesario. Opcional.
  • --server “URL: Especifique qué servidor ACME debería completar su solicitud. Coloque su URL del directorio ACME entre comillas dobles después de esta opción.
  • --eab-kid “YOURKID : Especifica el identificador clave, que es parte de la URL común.
  • --eab-hmac-key “YOURHMACKEY: Especifica la clave utilizada para firmar la respuesta.
  • -d YOURDOMINIO: El nombre de dominio completo incluido en el certificado. Para cada FQDN que figure en el certificado, incluya un –d SUDOMINIO. Si no incluye esta opción, CertBot le preguntará sobre los dominios que quiere incluir en función de sus host virtuales configurados. Opcional.
  • orderId “YOURORDERID: Especifica el tipo de Id. del pedido del certificado existente.
  • action “YOURACTION: Especifica la acción en el certificado que se está solicitando.

Una lista completa de los comandos CertBot está disponible a través del terminal con certbot –help. Los comandos también se documentan en el Sitio web de documentación CertBot.

Temas relacionados

Acerca de nosotros

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.