Skip to main content

Paramétrer une application personnalisée pour l’automatisation managée

L'automatisation managée de CertCentral est compatible nativement avec la plupart des serveurs Web les plus populaires.

CertCentral fournit également la flexibilité d'étendre la gestion des certificats à d'autres applications non prises en charge nativement, en permettant de configurer des clients ACME tiers via l’option « application personnalisée ».

Pour activer l'automatisation managée pour une application personnalisée, suivez les étapes suivantes :

Step 1: Install DigiCert agent

Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about how to deploy DigiCert agents on your servers, see Installer et activer un agent d'automation ACME.

Paramétrer un client ACME tiers

In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.

L'automatisation managée de CertCentral fonctionne avec n’importe quel client tiers compatible avec le protocole ACME, qui est un standard de l’industrie.

Step 3: Create shell script

You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.

The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.

Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):

Exemple 1. Certbot (Linux)
directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

Exemple 2. Win-ACME (Windows)
set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variable definitions at the top of these shell scripts set the required ACME request parameters:

  • These must match up with the ACME arguments you configure for the custom application in CertCentral.

  • During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.

Commands used in the shell script:

  • Must include all mandatory parameters.

  • Must not exceed 512 characters.

  • Must not include special directives like rm -rf or rmdir

The shell script filename:

  • Must end with .bat or .sh

  • Must not exceed 255 characters.

Configurer les paramètres d'automatisation managée

Utilisez le menu Manage automation (Gérer l’automatisation) de CertCentral pour finaliser la configuration pour votre application personnalisée.

  1. Dans votre compte CertCentral, depuis le menu principal à gauche, cliquez sur Automation > Manage automation (Automatisation > Gérer l'automatisation).

  2. Depuis la vue Manage automation (Gérer l'automatisation), sélectionnez le Nom de l'agent ACME local tournant sur le même hôte de certificat que l’application personnalisée.

  3. Dans le volet de configuration de l'agent, à droite, rendez-vous en bas dans la section Configure IP/Port (Configurer l’IP/Port).

  4. Trouvez l'adresse IP et le numéro de port de l'application personnalisée. Sélectionnez Custom (Personnalisé) comme nom d'application.

  5. Dans le champ Client command path (chemin de commande du client), saisissez le chemin d'accès complet vers le scripte chargé d’invoquer le client ACME tiers.

    Par exemple :

    • Windows : G:\certcentral\agent\custom_automation_1.bat

    • Linux : /home/certcentral/agent/custom_automation_1.sh

  6. Dans le champ Client command arguments (Arguments de commande du client), indiquez les arguments généraux ACME à utiliser.

    Par exemple :

    {acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}

    À noter :

    • Chaque argument doit être saisi exactement tel qu’affiché ici.

    • L’ordre des arguments doit correspondre à la manière dont ils sont utilisés dans votre script shell.

    • Lors d'un événement d'automatisation, les valeurs requises pour ces arguments sont obtenues automatiquement du profil d'automatisation sélectionné.

    Explication des arguments ACME pris en charge par l'automatisation managée CertCentral :

    • {acmeDirectoryUrl} – Paramètres d’URL de répertoire ACME

    • {hosts} – Détails de l’hôte de certificat

    • {email} – Adresse e-mail recevant les notifications.

    • {key} – Algorithme de la clé (RSA ou ECC).

    • {extActKid} – Clé d’identification du compte externe utilisée dans l’URL

    • {extActHmac} – Clé HMAC pour la signature de la réponse

  7. Sélectionnez Save (Enregistrer) pour appliquer vos modifications aux paramètres d'automatisation.

Et ensuite ?

Après avoir paramétré l’application personnalisée, vous pourrez gérer l’automatisation de vos certificats de la même manière qu'avec les autres applications managées.

Dans cette section​: