Skip to main content

Utilisation d'un client ACME tiers pour l’automatisation d'hôtes

Avec CertCentral, vous pouvez utiliser le client ACME tiers de votre choix pour automatiser les déploiements de certificats et réduire les surcoûts d'administration TLS.

La prise en charge ACME de CertCentral vous permet d'automatiser les certificats publics et privés, OV et EV, aussi bien pour des durées de validité courtes que pour des déploiements sur plusieurs années. Nous prenons également en charge l'option de profil de certificat HTTP Exchange signé, ce qui vous permet d'automatiser le déploiement de vos certificats HTTP Exchange signés (consultez URL de répertoire ACME pour les certificats Signed HTTP Exchange).

Comparaison avec l'automatisation managée CertCentral

L'automatisation managée CertCentral est la solution d'automatisation clé en main de DigiCert. Elle vous permet de gérer toutes vos automatisations à partir de la console web CertCentral et comprend des fonctionnalités qui garantissent qu’ACME et les autres composants logiciels resteront toujours à jour.

Lorsque vous utilisez un client ACME tiers, vous sortez de la solution d'automatisation managée. Vous obtenez des identifiants de base vous permettant d’obtenir vos certificats, mais vous devez installer et maintenir votre propre logiciel ACME et initier les actions d'automatisation en local, sur chacun de vos systèmes.

Avis

Pour utiliser la solution d'automatisation managée de CertCentral, vous devez l'avoir activée pour votre compte. Si l’automatisation managée n’est pas activée, vous ne verrez que ACME Directory URLs (URL de répertoire ACME) et API Keys (clés d’API) dans la liste du menu Automation (Automatisation) de CertCentral.

Pour les clients ACME tiers, vous utiliserez la fonction ACME Directory URLs (URL de répertoire ACME) pour configurer les options d'automatisation et obtenir les identifiants nécessaires à l’obtention des certificats DigiCert.

Avant de commencer

Avant de commencer, assurez-vous que les conditions préalables suivantes sont remplies :

  • Activer l’approbation automatique des demandes de certificat pour votre compte CertCentral.

  • Prévalider les domaines et organisations pour lesquels vous souhaitez obtenir des certificats–nécessaire pour l'émission instantanée de certificats.

Avertissement

CertCentral handles all validation checks itself, independent of the ACME protocol. The FQDN must be prevalidated in the CertCentral platform and be active and within the validation reuse period.

During an ACME automation event, no authorization is performed by the ACME protocol itself even though requested. All authorization checks are performed out of band by CertCentral's enterprise registration authority (RA) services.

Workflow

Vous trouverez ci-dessous le workflow général nécessaire à l'automatisation de certificats DigiCert à l’aide d'un client ACME tiers.

  1. Installez le client ACME tiers.

    Téléchargez le logiciel ACME depuis le site du fournisseur tiers et installez-le sur tous les systèmes qui agiront comme clients d'automatisation.

  2. Configurez les clients ACME tiers

    Suivez les instructions du fournisseur tiers pour configurer le logiciel ACME que vous venez d'installer sur chaque système.

  3. Créez une ou plusieurs URL de répertoire ACME

    Définissez les automatisations ACME tierces autorisées depuis le menu CertCentral ACME Directory URLs (URL de répertoire ACME).

  4. Initiez les événements d'automatisation.

    Enfin, suivez les instructions du fournisseur tiers et utilisez les identifiants utilisés depuis le menu ACME Directory URLs (URL de répertoire ACME) pour initier les événements d'automatisation de certificat sur les clients ACME.

Installez le client ACME tiers.

Vous pouvez utiliser n’importe quel client d'automatisation tiers pour vous procurer des certificats fournis par CertCentral, dès lors qu'il est compatible avec le protocole standard ACME Par exemple, consultez la page EFF's Certbot.

Suivez les instructions du fournisseur du logiciel pour télécharger et installer le client ACME tiers. Par exemple, l’EFF fournit un guide d'installation pour son logiciel Certbot.

Vous devez installer le logiciel client ACME séparément sur chaque système qui réalisera des automatisations de certificats.

Configurez les clients ACME tiers

Configurez le client ACME tiers séparément sur chaque système qui exécutera des automatisations.

Suivez les instructions du fournisseur du programme pour déterminer les paramètres de configuration requis. Assurez-vous que chaque client ACME peut :

  • Effectuer une connexion sortante en HTTPS (port 443).

  • Effectuer une connexion sortante vers l'adresse IP publique 216.168.244.42 (pour acme.digicert.com).

  • Résoudre le nom de domaine absolu (FQDN) du serveur local, que ce soit via DNS ou via un fichier « hosts » local.

Créez une ou plusieurs URL de répertoire ACME

Utilisez la fonction ACME Directory URLs (URL de répertoire ACME) de CertCentral pour configurer les options d'automatisation et obtenir les identifiants nécessaires à la communication entre le client ACME de votre choix et le cloud DigiCert.

  1. Dans votre compte CertCentral, depuis le menu principal à gauche, sélectionnez Automation > ACME Directory URL (Automatisation > URL de répertoire ACME).

  2. Depuis la page ACME Directory URLs (URL de répertoire ACME), sélectionnez Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  3. Dans la fenêtre contextuelle « Add ACME Directory URL » (Ajouter l’URL de répertoire ACME), saisissez un nom facile à identifier pour l’URL.

  4. Dans la liste déroulante Product (Produit), sélectionnez le type de certificat que vous souhaitez émettre.

  5. Dans la liste déroulante Division, sélectionnez une division à associer aux certificats émis depuis cette URL de répertoire ACME.

  6. Dans la liste déroulante Organization (Organisation), sélectionnez l’organisation prévalidée qui sera utilisée pour les certificats émis.

  7. Sélectionnez la période de validité pour les certificats émis depuis cette URL de répertoire ACME.

    • Pour les comptes pluriannuels seulement, sélectionnez d'abord la durée de couverture pluriannuelle dans la liste déroulante.

    • Sélectionnez la période de validité souhaitée pour le certificat.

    • Pour une période de validité personnalisée, saisissez le nombre de jours souhaité.

  8. (Facultatif) Pour activer l'option de profil de certificat « Signed HTTP Exchange », développez Additional certificate options (Autres options du certificat) et sélectionnez Include the CanSignHttpExchanges extension in the certificate (Inclure l’extension CanSignHttpExchanges dans le certificat).. Pour plus de détails sur cette option, consultez la page URL de répertoire ACME pour les certificats Signed HTTP Exchange.

  9. Sélectionnez Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  10. Dans la fenêtre contextuelle New ACME Directory URL (Nouvelle URL de répertoire ACME), copiez votre URL ACME unique accompagnée des informations de liaison de compte externe, et enregistrez-la.

    Cette information est requise pour que votre client ACME puisse obtenir des certificats de CertCentral. Elle ne s'affichera qu'une seule fois.

    Après l’avoir copiée et enregistrée dans un endroit sûr, sélectionnez I understand I will not see this again (J'ai compris que je ne reverrai plus cette information) pour la faire disparaître.

Votre nouvelle URL de répertoire ACME est ajoutée à la liste des URL dans la page correspondante.

  • For details about certificates issued via the ACME URL, select the information icon next to the URL Description.

  • To revoke the ACME URL credentials, select the Revoke link on the right.

Avertissement

Store your ACME URL credentials in a secure location to prevent malicious actors from issuing certificates for your prevalidated domains.

If you ever lose your ACME URL credentials or suspect they have been compromised, revoke the existing ACME URL immediately and then create a new ACME URL to use.

When you revoke an ACME URL, the old credentials get permanently disabled and can no longer be used by any ACME clients to request certificates.

Initiez les événements d'automatisation.

Une fois le client ACME tiers de votre choix installé et configuré, et une URL de répertoire ACME définie pour ce dernier dans CertCentral, vous êtes prêt à commencer à utiliser le client ACME pour vous procurer des certificats DigiCert.

Pour les clients ACME tiers, les actions d'automatisation doivent être initiés en local sur chaque système. Suivez les instructions du fournisseur du logiciel et utilisez les identifiants de l’URL de répertoire ACME que vous avez paramétré dans CertCentral.

Pour des exemples d’initialisation d'actions d'automatisation avec le client EFF Certbot, consultez la page Exemples d’automatisation avec des clients ACME tiers.

Rubriques connexes