Skip to main content

Utilizza le credenziali CertCentral ACME legacy

Il 30 gennaio 2024, DigiCert ha rilasciato una nuova versione del servizio CertCentral ACME con il supporto per quanto segue:

  • Automazione basata su ACME per i certificati DV.

  • Verifiche di convalida del controllo dinamico del dominio tramite il protocollo ACME.

  • Selezione automatica dell'azione del certificato (registrazione/rinnovo/riemissione/duplicato), con la possibilità di sovrascrivere e forzare una nuova registrazione.

Qualsiasi credenziale ACME creata in CertCentral prima della versione del 30 gennaio 2024 non supporta le funzionalità di cui sopra e è considerata legacy. DigiCert consiglia di aggiungere nuove credenziali ACME a sostituire eventuali credenziali ACME legacy nel tuo account.

Avvertimento

Quando richiedi certificati utilizzando credenziali ACME legacy, CertCentral gestisce autonomamente tutti i controlli di convalida del dominio, indipendentemente dal protocollo ACME. L'FQDN deve essere preconvalidato nella piattaforma CertCentral ed essere attivo e all'interno del file riutilizzo della convalida periodo.

Durante un evento di automazione ACME, nessuna autorizzazione viene eseguita dal protocollo ACME stesso anche se richiesta. Tutti i controlli di autorizzazione vengono eseguiti fuori banda dai servizi dell'autorità di registrazione aziendale (RA) di CertCentral.

Sostituisci le tue credenziali ACME legacy

Se disponi di credenziali ACME legacy nel tuo account, vedrai un messaggio banner sopra la tabella nella pagina URL della directory ACME pagina in CertCentral. Ogni set di credenziali ACME legacy è contrassegnato da un'icona di avviso accanto a Stato colonna nella tabella.

Per sostituire le tue credenziali ACME legacy:

  1. Verificare il prodotto certificato e le impostazioni per le credenziali ACME legacy. Puoi verificarlo su URL della directory ACME pagina selezionando le descrizioni comandi accanto a Descrizione colonna.

  2. Aggiungi nuove credenziali ACME per lo stesso prodotto certificato e le stesse impostazioni.Usa un client ACME di terze parti per le automazioni host

  3. Configura i tuoi client ACME per utilizzare le nuove credenziali ACME anziché quelle legacy.Usa un client ACME di terze parti per le automazioni host

Avviso

Per ulteriori informazioni su come utilizzare le ultime funzionalità di automazione CertCentral ACME, vedere: Request and manage certificates with ACME

Esempi di Certbot per credenziali ACME legacy

Per continuare a utilizzare le credenziali ACME precedenti:

  • Assicurati che sia l'organizzazione che il dominio siano preconvalidati in CertCentral. Contatto Supporto per la convalida DigiCert se hai bisogno di aiuto con questo.

  • Per le azioni del certificato diverse dalle nuove registrazioni, aggiungi il numero ID dell'ordine esistente e l'azione del certificato richiesta all'URL ACME come mostrato negli esempi Certbot di seguito.

Emettere e installare un certificato

Se hai installato lo script certbot-auto, sostituisci certbot con ./certbot-auto nel comando. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.

  1. Apri una sessione terminale sul server web, ad esempio usando SSH.

  2. Al messaggio terminale, richiedi un certificato usando Certbot e la sintassi di comando riportata di seguito:

    • Assicurati di sostituire YOUR-KEY-IDENTIFIER con il KID dell’associazione account esterno.

    • Assicurati di sostituire YOUR-HMAC-KEY con la chiave HMAC dell’associazione account esterno.

    • Assicurati di sostituire YOUR-ACME-URL con l’URL directory ACME creata in precedenza.

    • Verifica di aver sostituito FQDN con il nome dominio completamente qualificato che vuoi proteggere con il certificato. Per ciascun FQDN, aggiungi un’altra opzione -d.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Esempio:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  3. Inserisci il tuo comando Certbot, personalizzato come opportuno.

    Per ulteriori informazioni sui comandi e sulle opzioni usati in queste istruzioni, consulta Opzioni del comando Certbot.

  4. Ti verrà chiesto di accettare i Termini di servizio. Digita "A” e premi Invio.

    Attualmente, DigiCert non ha alcun ulteriore Termine di servizio per ACME.

    Se la tua richiesta include un FQDN per cui Cerbot non riesce a trovare un host virtuale corrispondente, ti verrà chiesto di selezionare l’host virtuale su cui vuoi installare il certificato. Su Apache, controlla l’elenco di Directory virtuali per ServerName da abbinare al FQDN.

  5. Seleziona se reindirizzare il traffico HTTP a HTTPS.

    Se scegli il reindirizzamento, l'accesso HTTP al tuo sito sarà disabilitato.

  6. Al termine, il tuo server visualizza un messaggio di procedura completata con successo: “Congratulazioni! Hai abilitato correttamente i tuoi domini…

La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul server web. Visita il tuo sito web per confermare che il certificato sia in posizione.

Avviso

Codici di errore ACME: ACME riporta gli stessi errori e messaggi di errore di quelli riportati nell’API CertCentral. Per un elenco dei codici di errore e del loro significato, consulta Errori.

Rinnovare e riemettere un certificato

Rinnova un certificato quando è scaduto o è scaduto per il rinnovo. Riemetti un certificato quando manca o è stato revocato.

Per il rinnovo e la riemissione, usa questa sintassi di comando CertBot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Aggiungi orderId e action all’URL, come mostrato di seguito.

Esempio (rinnovo):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Esempio (riemissione):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Nota

Per gli account del piano pluriennale:

  • Rinnova un certificato quando la copertura ordine scade.

  • Riemetti un certificato se è stato revocato o scadrà entro la copertura ordine.

Emettere un certificato duplicato

Per aumentare la sicurezza e semplificare l’installazione del certificato in più server, emetti un certificato duplicato per ciascun server.

I dettagli nel certificato duplicato saranno gli stessi del certificato originale. I certificati duplicati non richiedono mai che DigiCert revochi le copie precedenti del tuo certificato.

Per emettere un certificato duplicato, utilizza questa sintassi di comando Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Aggiungi orderId e action all’URL, come mostrato di seguito.

Esempio:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Opzioni del comando Certbot

  • certbot: esegue l’eseguibile CertBot.

  • certbot-auto: Usa questo al posto di certbot quando si installa lo script certbot-auto. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.

  • --apache: Specifica il plugin Apache Certbot che installerà il certificato per te. Facoltativo.

  • --register-unsafely-without-email: Ti consente di saltare la creazione di un account ACME. Poiché la tua richiesta è già collegata al tuo account CertCentral, questo non è necessario. Facoltativo.

  • --server “ URL : Specifica quale server ACME deve soddisfare la tua richiesta. Posiziona l’URL directory ACME tra virgolette doppie dopo questa opzione.

  • --eab-kid=YOURKID: Specifica l’identificatore chiave, che fa parte dell’URL comune.

  • --eab-hmac-key=YOURHMACKEY: Specifica la chiave usata per firmare la risposta.

  • -d YOUR DOMINIO: Il nome dominio completamente qualificato incluso nel certificato. Per ciascun FQDN nel certificato, includi –d ILTUODOMINIO. Se non includi questa opzione, Certbot ti chiederà dei domini che vuoi includere in base ai tuoi host virtuali configurati. Facoltativo.

  • orderId “YOURORDERID: Specifica il tipo di ID ordine del certificato esistente.

  • action “YOURACTION: Specifica l’azione sul certificato richiesto.

Un elenco completo dei comandi Certbot è disponibile tramite il terminale con certbot –help oppure consulta l’elenco dei comandi sul sito web di documentazione Certbot.

In questa sezione: