Paramétrer une application personnalisée pour l’automatisation managée

L'automatisation managée de CertCentral est compatible nativement avec la plupart des serveurs Web les plus populaires.

CertCentral fournit également la flexibilité d'étendre la gestion des certificats à d'autres applications non prises en charge nativement, en permettant de configurer des clients ACME tiers via l’option « application personnalisée ».

Pour activer l'automatisation managée pour une application personnalisée, suivez les étapes suivantes :

Paramétrer un client ACME tiers
Sur l'hôte du certificat, installez et configurez le client ACME tiers de votre choix.
Créer un script shell
Sur l’hôte du certificat, créez un script d'assistance que CertCentral pourra utiliser pour invoquer le client ACME tiers.
Configurer les paramètres d'automatisation managée
Dans CertCentral, utilisez le menu Manage automation (Gérer l’automatisation) pour configurer le script shell à utiliser avec l’application personnalisée.

Avis

Les automatisations personnalisées nécessitent toujours qu'un agent d'automatisation ACME DigiCert soit installé et activé sur l'hôte de certificat local.

Paramétrer un client ACME tiers

L'automatisation managée de CertCentral fonctionne avec n’importe quel client tiers compatible avec le protocole ACME, qui est un standard de l’industrie.

Suivez les instructions du fournisseur du logiciel pour installer et configurer votre client ACME tiers sur l’hôte du certificat.

Créer un script shell

CertCentral a besoin d'un script shell sur l’hôte du certificat pour invoquer le client ACME tiers. Pendant un événement d'automatisation, l'agent DigiCert appelle le script shell pour invoquer le client, qui à son tour récupère et installe le certificat.

Le script shell doit contenir les commandes d'automatisation basiques nécessaires au client ACME tiers. La syntaxe varie en fonction du client ACME tiers utilisé. Consultez les instructions du fournisseur du logiciel pour en savoir plus.

Vous trouverez ci-dessous des exemples de scripts shell utilisés pour obtenir des certificats DigiCert à l’aide des clients tiers EFF Certbot (Linux) et Win-ACME (Windows).

Exemple 1. EFF Certbot (Linux)

directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

Exemple 2. Win-ACME (Windows)

set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Les définitions de variables en haut de ces scripts shell lisent les arguments ACME requis.

Celles-ci doivent correspondre aux arguments ACME que vous configurez pour l’application personnalisée dans CertCentral.
Pendant un événement d'automatisation, les valeurs de ces arguments sont fournies par l'agent d'automatisation DigiCert local qui appelle le script shell.

Commandes utilisées dans le script shell :

Doit comprendre tous les paramètres requis.
Ne doit pas dépasser les 512 caractères.
Ne doit pas inclure de directives spéciales telles que rm -rf ou rmdir

Nom de fichier du script shell :

Doit terminer par .bat ou par .sh
Ne doit pas dépasser les 255 caractères.

Configurer les paramètres d'automatisation managée

Utilisez le menu Manage automation (Gérer l’automatisation) de CertCentral pour finaliser la configuration pour votre application personnalisée.

Dans votre compte CertCentral, depuis le menu principal à gauche, cliquez sur Automation > Manage automation (Automatisation > Gérer l'automatisation).
Depuis la vue Manage automation (Gérer l'automatisation), sélectionnez le Nom de l'agent ACME local tournant sur le même hôte de certificat que l’application personnalisée.
Dans le volet de configuration de l'agent, à droite, rendez-vous en bas dans la section Configure IP/Port (Configurer l’IP/Port).
Trouvez l'adresse IP et le numéro de port de l'application personnalisée. Sélectionnez Custom (Personnalisé) comme nom d'application.
Dans le champ Client command path (chemin de commande du client), saisissez le chemin d'accès complet vers le scripte chargé d’invoquer le client ACME tiers.
Par exemple :
- Windows : G:\certcentral\agent\custom_automation_1.bat
- Linux : /home/certcentral/agent/custom_automation_1.sh
Dans le champ Client command arguments (Arguments de commande du client), indiquez les arguments généraux ACME à utiliser.
Par exemple :
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}
À noter :
- Chaque argument doit être saisi exactement tel qu’affiché ici.
- L’ordre des arguments doit correspondre à la manière dont ils sont utilisés dans votre script shell.
- Lors d'un événement d'automatisation, les valeurs requises pour ces arguments sont obtenues automatiquement du profil d'automatisation sélectionné.
Explication des arguments ACME pris en charge par l'automatisation managée CertCentral :
- {acmeDirectoryUrl} – Paramètres d’URL de répertoire ACME
- {hosts} – Détails de l’hôte de certificat
- {email} – Adresse e-mail recevant les notifications.
- {key} – Algorithme de la clé (RSA ou ECC).
- {extActKid} – Clé d’identification du compte externe utilisée dans l’URL
- {extActHmac} – Clé HMAC pour la signature de la réponse
Sélectionnez Save (Enregistrer) pour appliquer vos modifications aux paramètres d'automatisation.

Et ensuite ?

Après avoir paramétré l’application personnalisée, vous pourrez gérer l’automatisation de vos certificats de la même manière qu'avec les autres applications managées.

Pour en savoir plus . Prochaines étapes.

Dans cette section: