Solución de problemas: Clientes ACME

CertCentral usa el protocolo ACME para automatizar su solicitud de certificado en hosts exclusivos, como servidores web o dispositivos de punto de servicio. DigiCert recomienda usar su cliente ACME preferido. No obstante, usaremos Certbot de EFF como cliente de referencia para todos los ejemplos. La implementación para otros clientes puede variar.

Situación hipotética

CertCentral emite un certificado asociado con la URL de directorio ACME antigua.

  1. El administrador usa el cliente ACME con la URL de directorio ACME antigua.
  2. El administrador crea una nueva URL de directorio ACME para obtener un nuevo certificado.
  3. CertCentral aún emite un certificado usando la URL de directorio ACME antigua en lugar de la URL nueva.

Solución

Para obtener un certificado asociado con la nueva URL de directorio ACME, cree un nuevo directorio, y proporcione el parámetro config-dir cuando solicite el cliente.

  1. Cree un directorio de configuración para el nuevo certificado.

    Por ejemplo:

    C:\< ConfigDirectory >

  2. Ejecute el comando especificando los parámetros del directorio de configuración, URL de directorio ACME, clave HMAC y KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Situación hipotética

La URL de directorio ACME revocada impide obtener un certificado con la nueva URL de directorio ACME.

  1. El administrador usa el cliente ACME con la URL de directorio ACME antigua.
  2. El administrador crea una nueva URL de directorio ACME para obtener un nuevo certificado.
  3. El administrador revoca la URL de directorio ACME antigua.
  4. CertCentral aún emite un certificado usando la URL de directorio ACME antigua en lugar de la URL nueva.

Solución

Para obtener un certificado asociado con la nueva URL de directorio ACME:

  1. Elimine el directorio de configuración del certificado anteriormente emitido configurado con la URL de directorio ACME revocada.

  2. Cree un directorio de configuración para el nuevo certificado.

    Por ejemplo:

    C:\< ConfigDirectory >

  3. Ejecute el comando especificando los parámetros del directorio de configuración, URL de directorio ACME, clave HMAC y KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Situación hipotética

Error de tiempo de espera

  • Cuando la organización asociada con la solicitud de certificado no esté validada.
  • Cuando el dominio asociado con la solicitud de certificado no esté validado.
  • Cuando la solicitud de certificado no esté aprobada dentro de las 24 horas.
  • Cuando el tiempo de aprobación del certificado sea mayor que 90 segundos.

Solución

Antes de realizar una solicitud de certificado:

  • Asegúrese de que la organización esté validada.
  1. Vaya a Certificados > Organizaciones.

  2. En la página Organizaciones, verifique el estado de validación de la organización para la cual haya solicitado el certificado.

Si la organización no está validada, revise la solicitud y vuelva a enviarla para validación. Para obtener más información, consulte Administrar organizaciones.

  • Asegúrese de que el dominio esté validado.
  1. Vaya a Certificados > Dominios.

  2. En la página Dominios, verifique el estado de validación del dominio para el cual haya solicitado el certificado.

Si el dominio no está validado, revise la solicitud y vuelva a enviarla para validación. Para obtener más información, consulte Administrar dominios.

  • Asegúrese de que la solicitud de certificado está aprobada dentro de las 24 horas posteriores a la realización del pedido.
  1. Vaya a Certificados > Solicitudes.

  2. En la página Solicitudes, busque y haga clic en el enlace del pedido del certificado para aprobar la solicitud.

  • Asegúrese de que la configuración de aprobación automática para el certificado solicitado esté habilitada.
  1. Vaya a Configuración > Preferencias.

  2. En la página Preferencias de la división, en Configuración avanzada, en la sección Pasos de la aprobación, seleccione Omitir paso de aprobación: eliminar el paso de aprobación de sus procesos de pedido de certificados.