Guide de l'utilisateur pour l'intégration manuelle de l'automation ACME

Avec ACME + CertCentral, utilisez votre client ACME préféré pour automatiser vos déploiements de certificats SSL/TLS et éviter le temps passé à installer manuellement les certificats.

La prise en charge du protocole ACME par CertCentral vous permet d'automatiser les déploiements de certificats SSL/TLS OV et EV d'un an, de deux ans et de validité personnalisée. Notre protocole ACME prend également en charge l'option de profil de certificat HTTP Exchange signé, ce qui vous permet d'automatiser le déploiement de vos certificats HTTP Exchange signés (consultez la page URL de répertoire ACME pour certificats Signed HTTP Exchange).

Il s’agit de la période ouverte de prise en charge de la version bêta du protocole ACME dans CertCentral. Pour obtenir une liste des problèmes actuellement connus, consultez la page Problèmes connus. Pour signaler des erreurs, veuillez prendre contact avec notre équipe de support.

Avant de commencer

Avant de commencer, assurez-vous que les conditions préalables suivantes sont remplies :

  • Administrateur ou gestionnaire dans votre compte CertCentral
    Pour accéder à ACME dans votre compte CertCentral, accédez à la page des URL de répertoire ACME, accessible depuis le menu latéral en cliquant sur Automation > ACME Directory URLs (Automation > URL de répertoire ACME).
  • Accès racine à votre serveur web
    Ces instructions ne s’appliquent qu’aux serveurs Apache. Toutefois, DigiCert ACME est compatible avec tous les serveurs web.
  • Vous devez disposer d’un client de travail ACME, CertBot de préférence, installé sur votre serveur web
    DigiCert recommande d’utiliser votre client ACME préféré. Cependant, ces instructions ne s’appliquent qu’au client CertBot. Un guide d’installation de CertBot est disponible auprès de l’EFF. Consultez la page CertBot EFF.
  • Vous devez avoir activé l’approbation automatique des demandes de certificat pour votre compte CertCentral. Consultez la page Activer l’approbation automatique des demandes de certificat.
  • Vous devez avoir prévalidé les domaines et les organisation pour lesquels vous souhaitez obtenir des certificats, afin de pouvoir les délivrer instantanément
    Pour que l’émission de certificats ACME instantanée fonctionne, vous devez avoir prévalidé le domaine et l’organisation utilisés dans vos demandes de certificat ACME. Consultez les pages Gérer les organisations et Gérer les domaines.

Il n’est pas recommandé d’utiliser la version bêta de DigiCert ACME dans un environnement de production.

Créer une URL de répertoire ACME

Commencez par générer une URL de répertoire ACME unique dans votre compte CertCentral. Vous devrez l’inclure dans votre commande de certificat CertBot.

  1. Dans votre compte CertCentral, depuis le menu latéral, cliquez sur Automation > ACME Directory URLs (Automation > URL de répertoire ACME).

    ACME Directory URLs page

  1. Sur la page URL de répertoire ACME, cliquez sur Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  1. Dans la fenêtre contextuelle « Add ACME Directory URL » (Ajouter l’URL de répertoire ACME), saisissez un nom convivial pour l’URL.

  1. Dans le menu déroulante Product (Produit), sélectionnez le certificat à émettre via le protocole ACME.

À l’heure actuelle, DigiCert ACME n’est compatible qu’avec les certificats OV et EV TLS/SSL.

  1. Dans le menu déroulant Organization (Organisation), sélectionnez l’organisation prévalidée pour laquelle vous souhaitez émettre le certificat.

  1. Cliquez sur Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  1. Dans la fenêtre contextuelle « New ACME Directory URL » (Nouvelle URL de répertoire ACME), copiez votre URL ACME unique et enregistrez-la.

    Vous devrez vous en servir pour demander un certificat via ACME.

Lorsque vous générez une URL de répertoire ACME, elle ne s’affiche qu’une seule fois. Il n’existe aucun moyen de récupérer une URL ACME égarée. S’il vous arrive de perdre une URL ACME, vous devrez révoquer l’URL égarée et en générer une autre.

  1. Cliquez sur I understand I will not see this again (Je comprends que je ne pourrai plus voir cette information).

Votre nouvelle URL de répertoire ACME est ajoutée à la liste des URL de répertoire ACME sur la page, accessible depuis le menu latéral en cliquant sur Automation > ACME Directory URLs (Automation > URL de répertoire ACME). Pour afficher les détails relatifs aux certificat que vous pouvez commander via l'URL de répertoire ACME, cliquez sur l'icône d'information située à côté de la description de l'URL.

ACME : émettre et installer un certificat

Si vous avez installé le script certbot-auto, remplacez certbot par ./certbot-auto dans la commande. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.

Codes d’erreur ACME :
ACME renvoie les mêmes erreurs et messages d’erreurs que ceux renvoyés dans l’API CertCentral. Pour obtenir une liste des codes d’erreur et leur définition, consultez la page Erreurs.

  1. Utilisez votre client ACME de préférence pour vous connecter à votre serveur web via SSH.

  1. À l’invite du terminal, demandez un certificat à l’aide de CertBot et de la commande ci-dessous.

    • Veillez à bien remplacer YOUR-ACME-URL par l’URL de répertoire ACME précédemment créée (consultez la section Créer une URL de répertoire ACME).
    • Veillez à bien remplacer FQDN par le nom de domaine complet que le certificat doit protéger. Pour chaque FQDN, ajoutez une option -d supplémentaire.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Voici un exemple complet de commande à titre de référence.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. Saisissez votre commande CertBot, personnalisée selon le besoin.

    Pour plus d’informations sur les commandes et options utilisées dans ces instructions, consultez la page Options ACME.

  1. Il vous sera demandé d’accepter les conditions d’utilisation du service. Saisissez "A” et appuyez sur enter.

    À l’heure actuelle, DigiCert ne prévoit pas de conditions d’utilisation de service supplémentaires pour la version bêta d’ACME.

Si votre demande comprend un FQDN pour lequel CertBot ne peut trouver de machine virtuelle hôte, vous serez invité à sélectionner l’hôte virtuel sur lequel vous souhaitez installer le certificat.
Sur Apache, vérifiez la liste des répertoires virtuels pour que le nom du serveur corresponde au FQDN.

  1. Sélectionnez si vous souhaitez rediriger le trafic HTTP vers HTTPS.

    La redirection du trafic désactive l’accès HTTP à votre site web.

  1. Lorsque vous avez terminé, votre serveur affiche un message de réussite : “Félicitations ! You have successfully enabled your domains…” (Félicitations ! vous avez activé vos domaines).

Félicitations ! Votre demande de certificat ACME est terminée et le certificat nouvellement émis est installé sur votre serveur web. Vous pouvez visiter votre site web pour confirmer la réussite de l’installation.

Et ensuite ?

Votre demande de certificat ACME est terminée. Le certificat nouvellement émis est installé sur votre serveur web. Vous pouvez visiter votre site web pour confirmer la réussite de l’installation.

Vous pouvez réutiliser l’URL de répertoire ACME pour demander d’autres certificats du même type et la même organisation prévalidée.

Pour demander des certificats de type différent ou pour une autre organisation, vous devez créer une URL de répertoire ACME unique pour ce produit ou cette organisation. Consultez la page Créer une URL de répertoire ACME.

Options ACME

  • certbot : exécute l’exécutable du CertBot.
  • certbot-auto: À utiliser à la place du CertBot lorsque le script certbot-auto est installé. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.
  • --apache: Spécifie le plug-in CertBot Apache qui installera le certificat. Facultatif.
  • --register-unsafely-without-email: Vous permet de passer l’étape de création d’un compte ACME. Comme votre demande est déjà connectée à votre compte CertCentral, cela n’est pas nécessaire. Facultatif.
  • --server “URL: Spécifie le serveur ACME qui doit traiter votre demande. Veuillez placer votre URL de répertoire ACME entre guillemets après cette option.
  • -d YOURDOMAIN : Nom de domaine complet inclus dans le certificat. Pour chaque FQDN du certificat, vous devez ajouter une option –d YOURDOMAIN. Si vous ne le faites pas, CertBot vous demandera quels domaines vous souhaitez inclure selon les hôtes virtuels que vous avez configurés. Facultatif.

Une liste complète des commandes CertBot est disponible via le terminal avec certbot –help. Les commandes sont également documentées sur le site web de CertBot.

Rubriques connexes