Guide de l'utilisateur ACME

Il s’agit de la période ouverte de prise en charge de la version bêta du protocole ACME dans CertCentral. Pour obtenir une liste des problèmes connus, consultez la section Problèmes connus ci-dessous. Pour signaler des erreurs, veuillez prendre contact avec notre équipe de support.

Avant de commencer

Avant de commencer, assurez-vous que les conditions préalables suivantes sont remplies :

  • Vous êtes administrateur dans votre compte CertCentral
    Pour accéder à ACME dans votre compte CertCentral, accédez à la page « Account Access » (Accès au compte) depuis le menu latéral, puis cliquez sur Account > Account Access (Compte > Accès au compte) pour afficher la section ACME Directory URLs (URL du répertoire ACME).
  • Vous devez disposer d’un accès racine à votre serveur web
    Ces instructions ne s’appliquent qu’aux serveurs Apache. Toutefois, DigiCert ACME devrait être compatible avec tous les serveurs web.
  • Vous devez disposer d’un client de travail ACME, CertBot de préférence, installé sur votre serveur web
    DigiCert recommande d’utiliser votre client ACME préféré. Cependant, ces instructions ne s’appliquent qu’au client CertBot. Un guide d’installation de CertBot est disponible auprès de l’EFF. Consultez la page CertBot EFF.
  • Vous devez avoir activé l’approbation automatique des demandes de certificat pour votre compte CertCentral. Consultez la page Activer l’approbation automatique des demandes de certificat.
  • Vous devez avoir prévalidé les domaines et les organisation de sorte qu’ils soient prêts pour l’émission instantanée.
    Pour que l’émission ACME instantanée fonctionne, vous devez avoir prévalidé le domaine et l’organisation utilisés dans votre demande de certificat ACME. Consultez les pages Gérer les organisations et Gérer les domaines.

Il n’est pas recommandé d’utiliser la version bêta de DigiCert ACME dans un environnement de production.

Créer une URL de répertoire ACME

Commencez par générer une URL de répertoire ACME unique dans votre compte CertCentral. Vous devrez l’inclure dans votre commande de certificat CertBot.

  1. Dans votre compte CertCentral, dans le menu latéral, cliquez sur Account > Account Access (Compte > Accès au compte).

    ACME Directory URLS on Account Access page in CertCentral

  1. Sur la page « Account Access », dans la section « URL de répertoire ACME », cliquez sur Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  1. Dans la fenêtre contextuelle « Add ACME Directory URL » (Ajouter l’URL de répertoire ACME), saisissez un nom convivial pour l’URL.

  1. Dans le menu déroulante Product (Produit), sélectionnez le certificat à émettre via le protocole ACME.

À l’heure actuelle, DigiCert ACME n’est compatible qu’avec les certificats OV et EV TLS/SSL.

  1. Dans le menu déroulant Organization (Organisation), sélectionnez l’organisation prévalidée pour laquelle vous souhaitez émettre le certificat.

  1. Cliquez sur Add ACME Directory URL (Ajouter l’URL de répertoire ACME).

  1. Dans la fenêtre contextuelle « New ACME Directory URL » (Nouvelle URL de répertoire ACME), copiez votre URL ACME unique et enregistrez-la.

    Vous devrez vous en servir pour demander un certificat via ACME.

Lorsque vous générez une URL de répertoire ACME, elle ne s’affiche qu’une seule fois. Il n’existe aucun moyen de récupérer une URL ACME égarée. S’il vous arrive de perdre une URL ACME, vous devrez révoquer l’URL égarée et en générer une autre.

  1. Cliquez sur I understand I will not see this again (Je comprends que je ne pourrai plus voir cette information).

Votre nouvelle URL de répertoire ACME est ajoutée à la liste des URL de répertoire ACME sur la page « Account Access » (Accès au compte), accessible depuis le menu latéral en cliquant sur Account > Access (Compte > Accès). Pour afficher les détails du certificat pouvant être commandé via l’URL de répertoire ACME, à côté du nom de l’URL,, cliquez sur l’icône d’information.

ACME : émettre et installer un certificat

Si vous avez installé le script certbot-auto, remplacez certbot par ./certbot-auto dans la commande. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.

Codes d’erreur ACME :
ACME renvoie les mêmes erreurs et messages d’erreurs que ceux renvoyés dans l’API CertCentral. Pour obtenir une liste des codes d’erreur et leur définition, consultez la page Erreurs.

  1. Utilisez votre client ACME de préférence pour vous connecter à votre serveur web via SSH.

  1. À l’invite du terminal, demandez un certificat à l’aide de CertBot et de la commande ci-dessous.

    • Veillez à bien remplacer YOUR-ACME-URL par l’URL de répertoire ACME précédemment créée (consultez la section Créer une URL de répertoire ACME).
    • Veillez à bien remplacer FQDN par le nom de domaine complet que le certificat doit protéger. Pour chaque FQDN, ajoutez une option -d supplémentaire.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Vous trouverez ci-dessous un exemple complet de commande à titre de référence. Voici un exemple complet de commande à titre de référence.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. Saisissez votre commande CertBot, personnalisée selon le besoin.

    Pour plus d’informations sur les commandes et options utilisées dans ces instructions, consultez la page Options ACME.

  1. Il vous sera demandé d’accepter les conditions d’utilisation du service. Saisissez "A” et appuyez sur enter.

    À l’heure actuelle, DigiCert ne prévoit pas de conditions d’utilisation de service supplémentaires pour la version bêta d’ACME.

Si votre demande comprend un FQDN pour lequel CertBot ne peut trouver de machine virtuelle hôte, vous serez invité à sélectionner l’hôte virtuel sur lequel vous souhaitez installer le certificat.
Sur Apache, vérifiez la liste des répertoires virtuels pour que le nom du serveur corresponde au FQDN.

  1. Sélectionnez si vous souhaitez rediriger le trafic HTTP vers HTTPS.

    La redirection du trafic désactive l’accès HTTP à votre site web.

  1. Lorsque vous avez terminé, votre serveur affiche un message de réussite : “Congratulations! You have successfully enabled your domains…” (Félicitations ! vous avez activé vos domaines).

Félicitations ! Votre demande de certificat ACME est terminée et le certificat nouvellement émis est installé sur votre serveur web. Vous pouvez visiter votre site web pour confirmer la réussite de l’installation.

Et ensuite ?

Votre demande de certificat ACME est terminée. Le certificat nouvellement émis est installé sur votre serveur web. Vous pouvez visiter votre site web pour confirmer la réussite de l’installation.

Vous pouvez réutiliser l’URL de répertoire ACME pour demander d’autres certificats du même type et la même organisation prévalidée.

Pour demander des certificats de type différent ou pour une autre organisation, vous devez créer une URL de répertoire ACME unique pour ce produit ou cette organisation. Consultez la page Créer une URL de répertoire ACME.

Options ACME

  • certbot : exécute l’exécutable du CertBot.
  • certbot-auto: À utiliser à la place du CertBot lorsque le script certbot-auto est installé. Vous devrez peut-être spécifier le chemin du script certbot-auto si vous ne l’avez pas ajouté à la configuration du chemin d’accès au serveur.
  • --apache: Spécifie le plug-in CertBot Apache qui installera le certificat. Facultatif.
  • --register-unsafely-without-email: Vous permet de passer l’étape de création d’un compte ACME. Comme votre demande est déjà connectée à votre compte CertCentral, cela n’est pas nécessaire. Facultatif.
  • --server “URL : Spécifie le serveur ACME qui doit traiter votre demande. Veuillez placer votre URL de répertoire ACME entre guillemets après cette option.
  • -d YOURDOMAIN : Nom de domaine complet inclus dans le certificat. Pour chaque FQDN du certificat, vous devez ajouter une option –d YOURDOMAIN. Si vous ne le faites pas, CertBot vous demandera quels domaines vous souhaitez inclure selon les hôtes virtuels que vous avez configurés. Facultatif.

Une liste complète des commandes CertBot est disponible via le terminal avec certbot –help. Les commandes sont également documentées sur le site web de CertBot.

Rubriques connexes