Guide de l'utilisateur pour l'intégration manuelle de l'automation ACME

Avec ACME + CertCentral, utilisez votre client ACME préféré pour automatiser vos déploiements de certificats SSL/TLS et éviter le temps passé à installer manuellement les certificats.

La prise en charge du protocole ACME par CertCentral vous permet d'automatiser les déploiements de certificats SSL/TLS OV et EV d'un an ou à validité personnalisée. Notre protocole ACME prend également en charge l'option de profil de certificat HTTP Exchange signé, ce qui vous permet d'automatiser le déploiement de vos certificats HTTP Exchange signés (consultez la page URL de répertoire ACME pour certificats Signed HTTP Exchange).

Pour obtenir une liste des problèmes actuellement connus, consultez la page Automatisation : Problèmes connus. Pour signaler des erreurs, veuillez prendre contact avec notre équipe de support. .

Avant de commencer

Avant de commencer, assurez-vous que les conditions préalables suivantes sont remplies :

  • Administrateur ou gestionnaire dans votre compte CertCentral
    Pour accéder à ACME dans votre compte CertCentral, accédez à la page des URL de répertoire ACME, accessible depuis le menu latéral en cliquant sur Automation > ACME Directory URLs (Automation > URL de répertoire ACME).
  • Accès racine à votre serveur web
    Ces instructions ne s’appliquent qu’aux serveurs Apache. Toutefois, DigiCert ACME est compatible avec tous les serveurs web.
  • Vous devez disposer d’un client de travail ACME, CertBot de préférence, installé sur votre serveur web
    DigiCert recommande d’utiliser votre client ACME préféré. Cependant, ces instructions ne s’appliquent qu’au client CertBot. Un guide d’installation de CertBot est disponible auprès de l’EFF. Consultez la page CertBot EFF.
  • Vous devez avoir activé l’approbation automatique des demandes de certificat pour votre compte CertCentral. Consultez la page Activer l’approbation automatique des demandes de certificat.
  • Vous devez avoir prévalidé les domaines et les organisation pour lesquels vous souhaitez obtenir des certificats, afin de pouvoir les délivrer instantanément
    Pour que l’émission de certificats ACME instantanée fonctionne, vous devez avoir prévalidé le domaine et l’organisation utilisés dans vos demandes de certificat ACME. Consultez les pages Gérer les organisations et Gérer les domaines.

En plus de CertBot, DigiCert fournit également la prise en charge de cert-manager pour vous aider à créer et à gérer vos certificats SSL/TLS. Se référer à la section Configurer cert-manager et les services DigiCert ACME avec Kubernetes.

Créer une URL de répertoire ACME

Commencez par générer une URL de répertoire ACME unique dans votre compte CertCentral. Vous devrez l’inclure dans votre commande de certificat CertBot avec liaison de compte externe (External account binding ou EAB).

  1. Dans votre compte CertCentral, depuis le menu latéral, cliquez sur Automation > ACME Directory URLs (Automation > URL de répertoire ACME).

  1. Sur la page URL de répertoire ACME, cliquez sur Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  1. Dans la fenêtre contextuelle « Add ACME Directory URL » (Ajouter l’URL de répertoire ACME), saisissez un nom convivial pour l’URL.

  1. Dans le menu déroulante Product (Produit), sélectionnez le certificat à émettre via le protocole ACME.

À l’heure actuelle, DigiCert ACME n’est compatible qu’avec les certificats OV et EV TLS/SSL.

  1. Dans le menu déroulant Division, associez une division à l'URL du répertoire ACME.

Tous les certificats délivrés à partir de cette URL seront attachés à la division sélectionnée.

  1. Dans le menu déroulant Organization (Organisation), sélectionnez l’organisation prévalidée pour laquelle vous souhaitez émettre le certificat.

  1. (Facultatif) Sélectionnez la durée de votre couverture pluriannuelle depuis la liste déroulante si vous disposez d'un compte doté d'un plan pluriannuel.

  1. Sous la section Période de validité, sélectionnez Durée personnalisée et dans le champ Jours, saisissez un chiffre.

  1. Cliquez sur Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  1. Dans la fenêtre contextuelle « New ACME Directory URL » (Nouvelle URL de répertoire ACME), copiez votre URL ACME unique accompagnée des informations de liaison de compte externe (EAB), et enregistrez-la.

    Vous devrez vous en servir pour demander un certificat via ACME.

Lorsque vous générez une URL de répertoire ACME, l’URL, la clé HMAC et la valeur KID ne s’affichent qu’une seule fois. Il n’existe aucun moyen de récupérer ces informations si vous les perdez. Si vous perdez vos données d’URL ACME, vous devrez révoquer l’URL perdue et en générer une autre.

  1. Cliquez sur I understand I will not see this again (Je comprends que je ne pourrai plus voir cette information).

Votre nouvelle URL de répertoire ACME est ajoutée à la liste des URL de répertoire ACME sur la page, accessible depuis le menu latéral en cliquant sur Automation > ACME Directory URLs (Automation > URL de répertoire ACME). Pour afficher les détails relatifs aux certificat que vous pouvez commander via l'URL de répertoire ACME, cliquez sur l'icône d'information située à côté de la description de l'URL.

ACME : émettre et installer un certificat

Si vous avez installé le script certbot-auto, remplacez certbot par ./certbot-auto dans la commande. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.

Codes d’erreur ACME :
ACME renvoie les mêmes erreurs et messages d’erreurs que ceux renvoyés dans l’API CertCentral. Pour obtenir une liste des codes d’erreur et leur définition, consultez la page Erreurs.

  1. Utilisez votre client ACME de préférence pour vous connecter à votre serveur web via SSH.

  1. À l’invite du terminal, demandez un certificat à l’aide de CertBot et de la commande ci-dessous.

    • Veillez à bien remplacer YOUR-KEY-IDENTIFIER par la valeur KID de la liaison de compte externe.
    • Veillez à bien remplacer YOUR-HMAC-KEY par la clé HMAC de la liaison de compte externe.
    • Veillez à bien remplacer YOUR-ACME-URL par l’URL de répertoire ACME précédemment créée (consultez la section Créer une URL de répertoire ACME).
    • Veillez à bien remplacer FQDN par le nom de domaine complet que le certificat doit protéger. Pour chaque FQDN, ajoutez une option -d supplémentaire.
bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Voici un exemple complet de commande à titre de référence avec liaison de compte externe.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  1. Saisissez votre commande CertBot, personnalisée selon le besoin.

    Pour plus d’informations sur les commandes et options utilisées dans ces instructions, consultez la page Options ACME.

  1. Il vous sera demandé d’accepter les conditions d’utilisation du service. Saisissez "A” et appuyez sur enter.

    À l’heure actuelle, DigiCert ne prévoit pas de conditions d’utilisation de service supplémentaires pour l’ACME.

Si votre demande comprend un FQDN pour lequel CertBot ne peut trouver de machine virtuelle hôte, vous serez invité à sélectionner l’hôte virtuel sur lequel vous souhaitez installer le certificat.
Sur Apache, vérifiez la liste des répertoires virtuels pour que le nom du serveur corresponde au FQDN.

  1. Sélectionnez si vous souhaitez rediriger le trafic HTTP vers HTTPS.

    La redirection du trafic désactive l’accès HTTP à votre site web.

  1. Lorsque vous avez terminé, votre serveur affiche un message de réussite : “Félicitations ! You have successfully enabled your domains…” (Félicitations ! vous avez activé vos domaines).

Félicitations ! Votre demande de certificat ACME est terminée et le certificat nouvellement émis est installé sur votre serveur web. Vous pouvez visiter votre site web pour confirmer la réussite de l’installation.

ACME : Renouveler et réémettre le certificat

Renouveler un certificat lorsqu'il a expiré ou doit être renouvelé et réémettre un certificat lorsqu'il a été révoqué ou est manquant.

Pour renouveler et réémettre un certificat, utilisez la commande CertBot ci-dessous :

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Vous devez ajouter le orderId et la action à la fin de l’URL, comme indiqué dans l’exemple ci-dessous :

Voici un exemple complet de commande à titre de référence pour le renouvellement.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Voici un exemple complet de commande à titre de référence pour la réémission.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Pour les comptes dotés de plans pluriannuels,

  • Renouvelez un certificat lorsque la couverture offerte par une commande expire.
  • Réémettez un certificat s'il est révoqué ou qu'il expire pendant la durée de couverture.

Et ensuite ?

Votre demande de certificat ACME est terminée. Le certificat nouvellement émis est installé sur votre serveur web. Vous pouvez visiter votre site web pour confirmer la réussite de l’installation.

Vous pouvez réutiliser l’URL de répertoire ACME pour demander d’autres certificats du même type et la même organisation prévalidée.

Pour demander des certificats de type différent ou pour une autre organisation, vous devez créer une URL de répertoire ACME unique pour ce produit ou cette organisation. Consultez la page Créer une URL de répertoire ACME.

Options ACME

  • certbot : exécute l’exécutable du CertBot.
  • certbot-auto: À utiliser à la place du CertBot lorsque le script certbot-auto est installé. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.
  • --apache: Spécifie le plug-in CertBot Apache qui installera le certificat. Facultatif.
  • --register-unsafely-without-email: Vous permet de passer l’étape de création d’un compte ACME. Comme votre demande est déjà connectée à votre compte CertCentral, cela n’est pas nécessaire. Facultatif.
  • --server “URL: Spécifie le serveur ACME qui doit traiter votre demande. Veuillez placer votre URL de répertoire ACME entre guillemets après cette option.
  • --eab-kid “YOURKID : Précise l’identifiant clé, qui fait partie de l’URL commune<
  • --eab-hmac-key “YOURHMACKEY: Précise la clé utilisée pour la signature de la réponse.
  • -d YOURDOMAIN : Nom de domaine complet inclus dans le certificat. Pour chaque FQDN du certificat, vous devez ajouter une option –d YOURDOMAIN. Si vous ne le faites pas, CertBot vous demandera quels domaines vous souhaitez inclure selon les hôtes virtuels que vous avez configurés. Facultatif.
  • orderId “YOURORDERID: Précise le type d'identifiant de commande du certificat existant.
  • action “YOURACTION: Précise l’action sur le certificat demandé.

Une liste complète des commandes CertBot est disponible via le terminal avec certbot –help. Les commandes sont également documentées sur le site web de CertBot.

Rubriques connexes