Utiliser les anciennes informations d'identification CertCentral ACME
Le 30 janvier 2024, DigiCert a publié une nouvelle version du service CertCentral ACME prenant en charge les éléments suivants :
Automatisation basée sur ACME pour les certificats DV.
Vérifications de validation du contrôle de domaine dynamique via le protocole ACME.
Sélection automatique de l'action du certificat (inscription/renouvellement/réémission/duplication), avec la possibilité de remplacer et de forcer une nouvelle inscription.
Toutes les informations d'identification ACME créées dans CertCentral avant la version du 30 janvier 2024 ne prennent pas en charge les fonctionnalités ci-dessus et sont considérées comme héritées. DigiCert vous recommande d'ajouter de nouvelles informations d'identification ACME à remplacer toutes les informations d'identification ACME existantes sur ton compte.
Avertissement
Lorsque vous demandez des certificats à l'aide d'informations d'identification ACME héritées, CertCentral gère lui-même toutes les vérifications de validation de domaine, indépendamment du protocole ACME. Le FQDN doit être prévalidé dans la plateforme CertCentral et être actif et au sein du réutilisation de validation période.
Lors d'un événement d'automatisation ACME, aucune autorisation n'est effectuée par le protocole ACME lui-même même si elle est demandée. Tous les contrôles d'autorisation sont effectués hors bande par les services de l'autorité d'enregistrement des entreprises (RA) de CertCentral.
Remplacez vos anciennes informations d'identification ACME
Si vous disposez d'anciens identifiants ACME dans votre compte, vous verrez un message de bannière au-dessus du tableau sur le URL de l'annuaire ACME dans CertCentral. Chaque ensemble d'informations d'identification ACME héritées est marqué d'une icône d'avertissement à côté du Statut colonne du tableau.
Pour remplacer vos anciennes informations d'identification ACME :
Vérifiez le produit de certificat et les paramètres des informations d'identification ACME héritées. Vous pouvez vérifier cela sur le URL de l'annuaire ACME page en sélectionnant les info-bulles à côté de Description colonne.
Ajouter de nouvelles informations d'identification ACME pour le même produit de certificat et les mêmes paramètres.
Configurez vos clients ACME d'utiliser les nouvelles informations d'identification ACME au lieu des anciennes.
Avis
Pour en savoir plus sur l'utilisation des dernières fonctionnalités d'automatisation de CertCentral ACME, consultez : Request and manage certificates with ACME
Exemples de Certbot pour les anciennes informations d'identification ACME
Pour continuer à utiliser vos anciennes informations d'identification ACME :
Assurez-vous que l'organisation et le domaine sont pré-validés dans CertCentral. Contact Prise en charge de la validation DigiCert si vous avez besoin d'aide pour cela.
Pour les actions de certificat autres que les nouvelles inscriptions, ajoutez le numéro d'identification de commande existant et l'action de certificat demandée à l'URL ACME, comme indiqué dans les exemples de Certbot ci-dessous.
Émettre et installer un certificat
Si vous avez installé le script certbot-auto, remplacez certbot par ./certbot-auto dans la commande. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.
Ouvrez une session terminal sur votre serveur Web, par exemple via SSH.
À l’invite du terminal, demandez un certificat à l’aide de CertBot et de la syntaxe ci-dessous :
Veillez à bien remplacer
YOUR-KEY-IDENTIFIERpar la valeur KID de la liaison de compte externe.Veillez à bien remplacer
YOUR-HMAC-KEYpar la clé HMAC de la liaison de compte externe.Veillez à bien remplacer
YOUR-ACME-URLpar l’URL de répertoire ACME créée précédemment.Veillez à bien remplacer
FQDNpar le nom de domaine complet que le certificat doit protéger. Pour chaque FQDN, ajoutez une option-dsupplémentaire.sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Exemple :
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
Saisissez votre commande Certbot, personnalisée selon vos besoins.
Pour plus d’informations sur les commandes et options utilisées dans ces instructions, consultez la page Options de commande Certbot.
Il vous sera demandé d’accepter les conditions d’utilisation du service. Tapez "A” et appuyez sur Entrée.
À l’heure actuelle, DigiCert ne prévoit pas de conditions d’utilisation de service supplémentaires pour l’ACME.
Si votre demande comprend un FQDN pour lequel CertBot ne peut trouver de machine virtuelle hôte, vous serez invité à sélectionner l’hôte virtuel sur lequel vous souhaitez installer le certificat. Sur Apache, vérifiez la liste des répertoires virtuels pour que le nom du serveur corresponde au FQDN.
Sélectionnez si vous souhaitez rediriger le trafic HTTP vers HTTPS.
La redirection du trafic désactive l’accès HTTP à votre site web.
Lorsque vous avez terminé, votre serveur affiche un message de réussite : « Congratulations! You have successfully enabled your domains… » (Félicitations ! vous avez activé vos domaines).
Votre demande de certificat ACME est terminée et le certificat nouvellement émis est installé sur votre serveur web. Visitez votre site Web pour vérifier que votre certificat est installé.
Avis
Codes d’erreur ACME : ACME renvoie les mêmes erreurs et messages d’erreurs que ceux renvoyés dans l’API CertCentral. Pour obtenir une liste des codes d’erreur et leur définition, consultez la page Erreurs.
Renouveler et réémettre un certificat
Renouveler un certificat lorsqu'il a expiré ou doit être renouvelé. Réémettre un certificat lorsqu'il a été révoqué ou est manquant.
Pour renouveler et réémettre un certificat, utilisez la syntaxe de commande Certbot suivante :
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Ajoutez le orderId et la action à la fin de l’URL, comme indiqué ci-dessous :
Exemple (renouvellement):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
Exemple (réémission):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
Note
Pour les plans pluriannuels :
Renouvelez un certificat lorsque la couverture offerte par une commande expire.
Réémettez un certificat s'il est révoqué ou qu'il expire pendant la durée de couverture.
Émettre un duplicata de certificat
Pour renforcer la sécurité et simplifier l'installation du certificat sur plusieurs serveurs, émettez un certificat dupliqué pour chaque serveur.
Les informations du duplicata seront identiques à celles du certificat original. Les certificats dupliqués n’imposent pas la révocation par DigiCert des copies précédentes de votre certificat.
Pour émettre un duplicata de certificat, utilisez la syntaxe de commande Certbot suivante :
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Ajoutez le orderId et la action à la fin de l’URL, comme indiqué ci-dessous :
Exemple :
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com
Options de commande Certbot
certbot: exécute l’exécutable du CertBot.certbot-auto: À utiliser à la place du CertBot lorsque le script certbot-auto est installé. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.--apache: Spécifie le plug-in CertBot Apache qui installera le certificat. Facultatif.--register-unsafely-without-email: Vous permet de passer l’étape de création d’un compte ACME. Comme votre demande est déjà connectée à votre compte CertCentral, cela n’est pas nécessaire. Facultatif.--server “URL”: Spécifie le serveur ACME qui doit traiter votre demande. Veuillez placer votre URL de répertoire ACME entre guillemets après cette option.--eab-kid=YOURKID: Précise l’identifiant clé, qui fait partie de l’URL commune<--eab-hmac-key=YOURHMACKEY: Précise la clé utilisée pour la signature de la réponse.-d YOURDOMAIN: Nom de domaine complet inclus dans le certificat. Pour chaque FQDN du certificat, ajoutez une option –d YOURDOMAIN. Si vous ne le faites pas, Certbot vous demandera quels domaines vous souhaitez inclure selon les hôtes virtuels que vous avez configurés. Facultatif.orderId “YOURORDERID”: Précise le type d'identifiant de commande du certificat existant.action “YOURACTION”: Précise l’action sur le certificat demandé.
Une liste exhaustive des commandes Certbot est disponible via le terminal avec la commande certbot –help. Vous pouvez également voir la liste des commandes sur le site de la documentation Certbot.