Utilisation d'un client ACME tiers pour l’automatisation d'hôtes
Avec CertCentral, vous pouvez utiliser le client ACME tiers de votre choix pour automatiser les déploiements de certificats et réduire les surcoûts d'administration TLS.
La prise en charge ACME de CertCentral vous permet d'automatiser les certificats publics et privés, OV et EV, aussi bien pour des durées de validité courtes que pour des déploiements sur plusieurs années. Nous prenons également en charge l'option de profil de certificat HTTP Exchange signé, ce qui vous permet d'automatiser le déploiement de vos certificats HTTP Exchange signés (consultez URL de répertoire ACME pour les certificats Signed HTTP Exchange).
Comparaison avec l'automatisation managée CertCentral
L'automatisation managée CertCentral est la solution d'automatisation clé en main de DigiCert. Elle vous permet de gérer toutes vos automatisations à partir de la console web CertCentral et comprend des fonctionnalités qui garantissent qu’ACME et les autres composants logiciels resteront toujours à jour.
Lorsque vous utilisez un client ACME tiers, vous sortez de la solution d'automatisation managée. Vous obtenez des identifiants de base vous permettant d’obtenir vos certificats, mais vous devez installer et maintenir votre propre logiciel ACME et initier les actions d'automatisation en local, sur chacun de vos systèmes.
Avis
Pour utiliser la solution d'automatisation managée de CertCentral, vous devez l'avoir activée pour votre compte. Si l’automatisation managée n’est pas activée, vous ne verrez que ACME Directory URLs (URL de répertoire ACME) et API Keys (clés d’API) dans la liste du menu Automation (Automatisation) de CertCentral.
Pour les clients ACME tiers, vous utiliserez la fonction ACME Directory URLs (URL de répertoire ACME) pour configurer les options d'automatisation et obtenir les identifiants nécessaires à l’obtention des certificats DigiCert.
Avant de commencer
Avant de commencer, assurez-vous que les conditions préalables suivantes sont remplies :
Activer l’approbation automatique des demandes de certificat pour votre compte CertCentral.
Consultez Activer l'approbation automatique des demandes de certificat.
Prévalider les domaines et organisations pour lesquels vous souhaitez obtenir des certificats–nécessaire pour l'émission instantanée de certificats.
Pour que l'émission instantanée de certificats ACME fonctionne, vous devez prévalider le domaine et l’organisation utilisée dans vos demandes de certificats ACME. Consultez Gérer les organisations et Gérer les domaines.
Workflow
Vous trouverez ci-dessous le workflow général nécessaire à l'automatisation de certificats DigiCert à l’aide d'un client ACME tiers.
Installez le client ACME tiers.
Téléchargez le logiciel ACME depuis le site du fournisseur tiers et installez-le sur tous les systèmes qui agiront comme clients d'automatisation.
Configurez les clients ACME tiers
Suivez les instructions du fournisseur tiers pour configurer le logiciel ACME que vous venez d'installer sur chaque système.
Créez une ou plusieurs URL de répertoire ACME
Définissez les automatisations ACME tierces autorisées depuis le menu CertCentral ACME Directory URLs (URL de répertoire ACME).
Initiez les événements d'automatisation.
Enfin, suivez les instructions du fournisseur tiers et utilisez les identifiants utilisés depuis le menu ACME Directory URLs (URL de répertoire ACME) pour initier les événements d'automatisation de certificat sur les clients ACME.
Installez le client ACME tiers.
Vous pouvez utiliser n’importe quel client d'automatisation tiers pour vous procurer des certificats fournis par CertCentral, dès lors qu'il est compatible avec le protocole standard ACME Par exemple, consultez la page EFF's Certbot.
Suivez les instructions du fournisseur du logiciel pour télécharger et installer le client ACME tiers. Par exemple, l’EFF fournit un guide d'installation pour son logiciel Certbot.
Vous devez installer le logiciel client ACME séparément sur chaque système qui réalisera des automatisations de certificats.
Configurez les clients ACME tiers
Configurez le client ACME tiers séparément sur chaque système qui exécutera des automatisations.
Suivez les instructions du fournisseur du programme pour déterminer les paramètres de configuration requis. Assurez-vous que chaque client ACME peut :
Effectuer une connexion sortante en HTTPS (port 443).
Effectuer une connexion sortante vers l'adresse IP publique 216.168.244.42 (pour
acme.digicert.com).Résoudre le nom de domaine absolu (FQDN) du serveur local, que ce soit via DNS ou via un fichier « hosts » local.
Créez une ou plusieurs URL de répertoire ACME
Utilisez la fonction ACME Directory URLs (URL de répertoire ACME) de CertCentral pour configurer les options d'automatisation et obtenir les identifiants nécessaires à la communication entre le client ACME de votre choix et le cloud DigiCert.
Dans votre compte CertCentral, depuis le menu principal à gauche, sélectionnez Automation > ACME Directory URL (Automatisation > URL de répertoire ACME).
Depuis la page ACME Directory URLs (URL de répertoire ACME), sélectionnez Add ACME Directory URL (Ajouter l’URL de répertoire ACME).
Dans la fenêtre contextuelle « Add ACME Directory URL » (Ajouter l’URL de répertoire ACME), saisissez un nom facile à identifier pour l’URL.
Dans la liste déroulante Product (Produit), sélectionnez le type de certificat que vous souhaitez émettre.
Dans la liste déroulante Division, sélectionnez une division à associer aux certificats émis depuis cette URL de répertoire ACME.
Dans la liste déroulante Organization (Organisation), sélectionnez l’organisation prévalidée qui sera utilisée pour les certificats émis.
Sélectionnez la période de validité pour les certificats émis depuis cette URL de répertoire ACME.
Pour les comptes pluriannuels seulement, sélectionnez d'abord la durée de couverture pluriannuelle dans la liste déroulante.
Sélectionnez la période de validité souhaitée pour le certificat.
Pour une période de validité personnalisée, saisissez le nombre de jours souhaité.
(Facultatif) Pour activer l'option de profil de certificat « Signed HTTP Exchange », développez Additional certificate options (Autres options du certificat) et sélectionnez Include the CanSignHttpExchanges extension in the certificate (Inclure l’extension CanSignHttpExchanges dans le certificat).. Pour plus de détails sur cette option, consultez la page URL de répertoire ACME pour les certificats Signed HTTP Exchange.
Sélectionnez Add ACME Directory URL (Ajouter l’URL de répertoire ACME).
Dans la fenêtre contextuelle New ACME Directory URL (Nouvelle URL de répertoire ACME), copiez votre URL ACME unique accompagnée des informations de liaison de compte externe, et enregistrez-la.
Cette information est requise pour que votre client ACME puisse obtenir des certificats de CertCentral. Elle ne s'affichera qu'une seule fois.
Après l’avoir copiée et enregistrée dans un endroit sûr, sélectionnez I understand I will not see this again (J'ai compris que je ne reverrai plus cette information) pour la faire disparaître.
Important
Lorsque vous générez une URL de répertoire ACME, l’URL, la clé HMAC et la valeur KID ne s’affichent qu’une seule fois. Il est impossible de récupérer cette information une fois que vous avez quitté la page. Si vous perdez vos données d’URL ACME, vous devrez révoquer l’URL perdue et en générer une autre.
Votre nouvelle URL de répertoire ACME est ajoutée à la liste des URL dans la page correspondante.
Pour afficher les détails relatifs aux certificats que obtenus via l'URL de répertoire ACME, sélectionnez l'icône d'information située à côté de la description de l'URL.
Initiez les événements d'automatisation.
Une fois le client ACME tiers de votre choix installé et configuré, et une URL de répertoire ACME définie pour ce dernier dans CertCentral, vous êtes prêt à commencer à utiliser le client ACME pour vous procurer des certificats DigiCert.
Pour les clients ACME tiers, les actions d'automatisation doivent être initiés en local sur chaque système. Suivez les instructions du fournisseur du logiciel et utilisez les identifiants de l’URL de répertoire ACME que vous avez paramétré dans CertCentral.
Pour des exemples d’initialisation d'actions d'automatisation avec le client EFF Certbot, consultez la page Exemples d’automatisation avec des clients ACME tiers.