Dépannage : Clients ACME

CertCentral utilise le protocole ACME pour automatiser vos demandes de certificat sur les hôtes dédiés, tels que des serveurs Web et des appareils de point de service. DigiCert recommande d'utiliser votre client ACME favori. Cependant, nous utiliserons Certbot, de l’EFF, comme client de référence dans tous nos exemples. La mise en œuvre sur d'autres clients est susceptible de présenter des différences.

Scénario

CertCentral émet un certificat associé à l'ancienne URL de répertoire ACME.

  1. L'administrateur utilise un client ACME avec l'ancienne URL de répertoire ACME.
  2. L'administrateur crée une nouvelle URL de répertoire ACME pour récupérer un nouveau certificat.
  3. CertCentral continue à émettre le certificat à l'aide de l’ancienne URL de répertoire ACME au lieu de la nouvelle.

Solution

Pour obtenir un certificat associé à la nouvelle URL de répertoire ACME, créez un nouveau répertoire et précisez le paramètre config-dir lorsque vous passez une requête au client.

  1. Créez un répertoire de configuration pour le nouveau certificat.

    Par exemple :

    C:\< ConfigDirectory >

  2. Exécutez la commande indiquant le répertoire de configuration, l’URL de répertoire ACME, la clé HMAC et la valeur KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Scénario

L’URL de répertoire ACME révoquée empêche l’obtention d'un certificat via la nouvelle URL de répertoire ACME.

  1. L'administrateur utilise un client ACME avec l'ancienne URL de répertoire ACME.
  2. L'administrateur crée une nouvelle URL de répertoire ACME pour récupérer un nouveau certificat.
  3. L'admin révoque l'ancienne URL de répertoire ACME.
  4. CertCentral continue à émettre le certificat à l'aide de l’ancienne URL de répertoire ACME au lieu de la nouvelle.

Solution

Pour obtenir un certificat associé à la nouvelle URL de répertoire ACME :

  1. Supprimez le répertoire de configuration du certificat émis précédemment et configuré avec l’ancienne URL de répertoire ACME.

  2. Créez un répertoire de configuration pour le nouveau certificat.

    Par exemple :

    C:\< ConfigDirectory >

  3. Exécutez la commande indiquant le répertoire de configuration, l’URL de répertoire ACME, la clé HMAC et la valeur KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Scénario

Erreur de type délai écoulé

  • Lorsqu’une organisation associée à la demande de certificat n’est pas validée.
  • Lorsqu'un domaine associé à une demande de certificat n’est pas validé.
  • Lorsqu'une demande de certificat n’est pas approuvée sous 24 heures.
  • Lorsque le délai d'approbation du certificat est supérieur à 90 secondes.

Solution

Avant de passer une demande de certificat :

  • Assurez-vous que l’organisation est validée.
  1. Rendez-vous dans Certificats > Organisations.

  2. Sur la page « Organisations », vérifiez l’état de validation de l’organisation pour laquelle vous demandez le certificat.

Si l’organisation n’est pas validée, vérifiez la demande et soumettez à nouveau à validation. Pour obtenir plus d’informations, consultez la page Gérer les organisations.

  • Vérifiez que le domaine est validé.
  1. Rendez-vous sur Certificats > Domaines.

  2. Sur la page « Domaines », vérifiez l’état de validation du domaine pour lequel vous demandez le certificat.

Si le domaine n’est pas validé, vérifiez la demande et soumettez à nouveau à validation. Pour en savoir plus, consultez la page Gérer les domaines.

  • Assurez-vous que la demande de certificat est approuvée dans les 24 heures suivant la commande.
  1. Rendez-vous dans Certificats > Demandes.

  2. Sur la page « Demandes », recherchez et cliquez sur le lien de commande du certificat pour en approuver la demande.

  • Assurez-vous que l'approbation automatique pour le certificat demandé est activée.
  1. Rendez-vous dans Paramètres > Préférences.

  2. Sur la page « Préférences de division », sous « Paramètres avancés », dans la section « Étapes d'approbation », sélectionnez Ignorer l’étape d’approbation : supprimer l’étape d’approbation de vos processus de commande de certificat.