Skip to main content

Exemples d’automatisation avec des clients ACME tiers

Avec CertCentral, vous pouvez automatiser vos certificats à l’aide de n’importe quel client ACME tiers. EFF Certbot est l'un de ces clients, parmi d'autres..

Les exemples ici présentent l’utilisation du client Certbot pour initier des actions d'automatisation de certificat pour un serveur Apache.

Bien que ces exemples utilisent Certbot, notez que DigiCert est compatible avec tous les serveurs Web ou clients ACME

Avis

Pour obtenir des instructions sur l’utilisation de Kubernetes cert-manager pour créer et gérer des certificats TLS/SSL, consultez la page  Configurer cert-manager et les services DigiCert ACME avec Kubernetes.

Avant de commencer

  • Assurez-vous d'avoir installé et configuré le client ACME de votre choix en suivant les instructions du fournisseur du logiciel.

  • Paramétrez une URL de répertoire ACME pour le client ACME de votre choix dans CertCentral. Consultez Utilisation d'un client ACME tiers pour l’automatisation d'hôtes.

  • Les privilèges root sont nécessaires pour installer des certificats pour le serveur Web.

Certbot : émettre et installer un certificat

Si vous avez installé le script certbot-auto, remplacez certbot par ./certbot-auto dans la commande. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.

Avis

Codes d’erreur ACME : ACME renvoie les mêmes erreurs et messages d’erreurs que ceux renvoyés dans l’API CertCentral. Pour obtenir une liste des codes d’erreur et leur définition, consultez la page Erreurs.

  1. Ouvrez une session terminal sur votre serveur Web, par exemple via SSH.

  2. À l’invite du terminal, demandez un certificat à l’aide de CertBot et de la syntaxe ci-dessous :

    • Veillez à bien remplacer YOUR-KEY-IDENTIFIER par la valeur KID de la liaison de compte externe.

    • Veillez à bien remplacer YOUR-HMAC-KEY par la clé HMAC de la liaison de compte externe.

    • Veillez à bien remplacer YOUR-ACME-URL par l’URL de répertoire ACME créée précédemment.

    • Veillez à bien remplacer FQDN par le nom de domaine complet que le certificat doit protéger. Pour chaque FQDN, ajoutez une option -d supplémentaire.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Exemple :

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  3. Saisissez votre commande Certbot, personnalisée selon vos besoins.

    Pour plus d’informations sur les commandes et options utilisées dans ces instructions, consultez la page Cerbot : Options d’automatisation ACME.

  4. Il vous sera demandé d’accepter les conditions d’utilisation du service. Tapez "A” et appuyez sur Entrée.

    À l’heure actuelle, DigiCert ne prévoit pas de conditions d’utilisation de service supplémentaires pour l’ACME.

    Note

    Si votre demande comprend un FQDN pour lequel CertBot ne peut trouver de machine virtuelle hôte, vous serez invité à sélectionner l’hôte virtuel sur lequel vous souhaitez installer le certificat. Sur Apache, vérifiez la liste des répertoires virtuels pour que le nom du serveur corresponde au FQDN.

  5. Sélectionnez si vous souhaitez rediriger le trafic HTTP vers HTTPS.

    La redirection du trafic désactive l’accès HTTP à votre site web.

  6. Lorsque vous avez terminé, votre serveur affiche un message de réussite : « Congratulations! You have successfully enabled your domains… »  (Félicitations ! vous avez activé vos domaines).

Votre demande de certificat ACME est terminée et le certificat nouvellement émis est installé sur votre serveur web. Visitez votre site Web pour vérifier que votre certificat est installé.

Cerbot : Renouveler et réémettre le certificat

Renouveler un certificat lorsqu'il a expiré ou doit être renouvelé. Réémettre un certificat lorsqu'il a été révoqué ou est manquant.

Pour renouveler et réémettre un certificat, utilisez la syntaxe de commande Certbot suivante :

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Note

Ajoutez le orderId et la action à la fin de l’URL, comme indiqué ci-dessous :

Exemple (renouvellement):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Exemple (réémission):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Note

Pour les plans pluriannuels :

  • Renouvelez un certificat lorsque la couverture offerte par une commande expire.

  • Réémettez un certificat s'il est révoqué ou qu'il expire pendant la durée de couverture.

Cerbot : Émettre un duplicata de certificat

Pour renforcer la sécurité et simplifier l'installation du certificat sur plusieurs serveurs, émettez un certificat dupliqué pour chaque serveur.

Note

Les informations du duplicata seront identiques à celles du certificat original. Les certificats dupliqués n’imposent pas la révocation par DigiCert des copies précédentes de votre certificat.

Pour émettre un duplicata de certificat, utilisez la syntaxe de commande Certbot suivante :

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Note

Ajoutez le orderId et la action à la fin de l’URL, comme indiqué ci-dessous :

Exemple :

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Cerbot : Options d’automatisation ACME

  • certbot : exécute l’exécutable du CertBot.

  • certbot-auto : À utiliser à la place du CertBot lorsque le script certbot-auto est installé. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.

  • --apache : Spécifie le plug-in CertBot Apache qui installera le certificat. Facultatif.

  • --register-unsafely-without-email : Vous permet de passer l’étape de création d’un compte ACME. Comme votre demande est déjà connectée à votre compte CertCentral, cela n’est pas nécessaire. Facultatif.

  • --server “ URL : Spécifie le serveur ACME qui doit traiter votre demande. Veuillez placer votre URL de répertoire ACME entre guillemets après cette option.

  • --eab-kid=YOURKID: Précise l’identifiant clé, qui fait partie de l’URL commune<

  • --eab-hmac-key=YOURHMACKEY: Précise la clé utilisée pour la signature de la réponse.

  • -d YOUR DOMAIN: Nom de domaine complet inclus dans le certificat. Pour chaque FQDN du certificat, ajoutez une option –d YOURDOMAIN. Si vous ne le faites pas, Certbot vous demandera quels domaines vous souhaitez inclure selon les hôtes virtuels que vous avez configurés. Facultatif.

  • orderId “YOURORDERID: Précise le type d'identifiant de commande du certificat existant.

  • action “YOURACTION: Précise l’action sur le certificat demandé.

Une liste exhaustive des commandes Certbot est disponible via le terminal avec la commande certbot –help. Vous pouvez également voir la liste des commandes sur le site de la documentation Certbot.

Et ensuite ?

Votre demande de certificat ACME est terminée et le certificat nouvellement émis est installé sur votre serveur web. Visitez votre site Web pour vérifier que votre certificat est installé.

Vous pouvez réutiliser l’URL de répertoire ACME pour demander d’autres certificats du même type et la même organisation prévalidée.

Pour demander des certificats de type différent ou pour une autre organisation, vous devez créer une URL de répertoire ACME unique pour ce produit ou cette organisation. Consultez Utilisation d'un client ACME tiers pour l’automatisation d'hôtes.