Imposta un’applicazione personalizzata per l’automazione gestita

L'automazione gestita CertCentral supporta le applicazioni server web più comuni direttamente dalla scatola.

CertCentral fornisce anche la flessibilità di estendere la gestione certificati per altre applicazioni non supportate nativamente consentendo la configurazione di client ACME di terze parti tramite l’opzione "applicazione personalizzata".

Per attivare l’automazione gestita per un’applicazione personalizzata, segui questa procedura:

Step 1: Install DigiCert agent

Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about how to deploy DigiCert agents on your servers, see Installa e attiva un agente di automazione ACME.

Imposta il client ACME di terze parti

In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.

L’automazione gestita CertCentral funziona con qualsiasi client di terze parti che supporta il protocollo ACME standard di settore.

Step 3: Create shell script

You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.

The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.

Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):

Esempio 1. Certbot (Linux)

directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

Esempio 2. Win-ACME (Windows)

set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variable definitions at the top of these shell scripts set the required ACME request parameters:

These must match up with the ACME arguments you configure for the custom application in CertCentral.
During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.

Commands used in the shell script:

Must include all mandatory parameters.
Must not exceed 512 characters.
Must not include special directives like rm -rf or rmdir

The shell script filename:

Must end with .bat or .sh
Must not exceed 255 characters.

Configura le impostazioni di automazione gestita

Usa il menu Gestisci automazione CertCentral per completare la configurazione per la tua applicazione personalizzata:

Nell’account CertCentral, nel menu principale sinistro, vai su Automazione > Gestisci automazione.
Dalla visualizzazione Gestisci automazione, seleziona il Nome dell’agente ACME locale che viene eseguito sullo stesso host certificato dell’applicazione personalizzata.
Nel riquadro della configurazione agente a destra, scendi nella sezione Configura IP/Porta.
Individua il numero di indirizzo IP e porta per l’applicazione personalizzata. Seleziona Personalizza come nome applicazione.
Nel campo Percorso di comando client, indica il percorso completo della directory per lo script della shell che invocherà il client ACME di terze parti.
Ad esempio:
- Windows: G:\certcentral\agent\custom_automation_1.bat
- Linux: /home/certcentral/agent/custom_automation_1.sh
Nel campo Argomenti dei comandi client, specifica gli argomenti ACME generali da usare.
Ad esempio:
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}
Nota che:
- Ciascun argomento deve essere inserito esattamente come mostrato qui.
- L’ordine degli argomenti deve corrispondere a come vengono usati nel tuo script della shell.
- Durante un evento di automazione, i valori richiesti per questi argomenti vengono automaticamente ottenuti dal profilo di automazione selezionato.
Spiegazione degli argomenti ACME supportati dall’automazione gestita CertCentral:
- {acmeDirectoryUrl} – Impostazioni URL ACME directory.
- {hosts} – Dettagli dell’host certificato.
- {email} – Indirizzo email per le notifiche.
- {key} – Algoritmo chiave (RSA o ECC).
- {extActKid} – Identificatore chiave account esterno usato nell’URL.
- {extActHmac} – Chiave HMAC per firmare la risposta.
Seleziona Salva per applicare le impostazioni di automazione aggiornate.

Passaggi successivi

Dopo aver impostato l’applicazione personalizzata, puoi gestire le relative automazioni certificato allo stesso modo di altre applicazioni gestite.

In questa sezione: