Skip to main content

Usa un client ACME di terze parti per le automazioni host

Con CertCentral, puoi usare il tuo client ACME di terze parti preferito per automatizzare le distribuzioni certificato e ridurre il tuo costo di amministrazione TLS.

L’assistenza ACME di CerCentral ti consente di automatizzare i certificati OV ed EV sia pubblici che privati per una validità breve o distribuzioni pluriennali. Supportiamo anche l’opzione profilo certificato Scambio HTTP firmato, che ti consente di automatizzare gli utilizzi del tuo certificato Scambio HTTP firmato (consulta URL directory ACME per certificati Scambio HTTP firmato).

Confronto con l’automazione gestita di CertCentral

L’automazione gestita di CertCentral è la soluzione di automazione preconfigurata di DigiCert. Ti consente di gestire tutte le tue automazioni dalla console web CertCentral e include funzioni per garantire che ACME e altri componenti software siano sempre aggiornati.

Quando utilizzi un client ACME di terze parti, stai lavorando fuori dalla soluzione di automazione gestita. Ottiene le credenziali base da CertCentral per procurarti i certificati, ma devi installare e manutenere il tuo software ACME e avviare le azioni di automazione localmente su ciascun sistema.

Avviso

Per usare la soluzione di automazione gestita di CertCentral, devi averla abilitata per il tuo account. Se l’automazione gestita non è abilitata, vedrai solamente URL directory ACME e Chiavi API nel menu CertCentral Automazione.

Per i client ACME di terze parti, utilizzerai la funzione URL directory ACME per configurare le opzioni di automazione e ottenere le credenziali necessarie per procurarti i certificati DigiCert.

Prima di iniziare

Prima di iniziare, verifica che questi prerequisiti vengano soddisfatti:

  • Abilita le approvazioni automatiche di richiesta certificato per il tuo account CertCentral.

  • Preconvalida i domini e le organizzazioni per cui vuoi ricevere i certificati — necessario per l’emissione dei certificati istantanea.

Avvertimento

CertCentral handles all validation checks itself, independent of the ACME protocol. The FQDN must be prevalidated in the CertCentral platform and be active and within the validation reuse period.

During an ACME automation event, no authorization is performed by the ACME protocol itself even though requested. All authorization checks are performed out of band by CertCentral's enterprise registration authority (RA) services.

Flusso di lavoro

Di seguito è riportato il flusso di lavoro generale necessario per automatizzare i certificati DigiCert con un client ACME di terze parti:

  1. Installa il software client ACME di terze parti

    Scarica il software ACME dal fornitore di terze parti e installalo su qualsiasi sistema che fungerà da client di automazione.

  2. Configura i client ACME di terze parti

    Segui le linee guida del fornitore di terze parti per configurare il software ACME installato su ciascun sistema.

  3. Crea uno o più URL directory ACME

    Definisci le automazioni ACME di terze parti consentite dal menu URL ACME Directory di CertCentral.

  4. Avvia gli eventi di automazione

    Infine, segui le linee guida del provider di terze parti e utilizza le credenziali ottenute dal menu URL directory ACME per avviare gli eventi di automazione certificato sui client ACME.

Installa il software client ACME di terze parti

Puoi usare qualsiasi client di automazione di terze parti che supporta il protocollo ACME standard di settore per procurarti i certificati da CertCentral. Ad esempio, consulta Certbot di EFF.

Segui le linee guida del provider del software per scaricare e installare il client ACME di terze parti. Ad esempio, EFF fornisce una guida di installazione per il loro software Certbot.

Devi installare il software client ACME separatamente su ciascun sistema che eseguirà le automazioni certificato.

Configura i client ACME di terze parti

Configura il software client ACME di terze parti separatamente su ciascun sistema che eseguirà le automazioni.

Segui le linee guida del provider del software per determinare i parametri di configurazione necessari. Verifica che ciascun client ACME possa:

  • Collegare l’uscita a HTTPS (porta 443).

  • Collegare l’uscita all’indirizzo IP pubblico 216.168.244.42 (per acme.digicert.com).

  • Risolvi i nomi di dominio completamente qualificati (FQDN) per il server locale, tramite DNS o un file "host" locale.

Crea uno o più URL directory ACME

Usa la funzione CertCentral URL directory ACME per configurare le opzioni di automazione e ottenere le credenziali necessarie affinché il client ACME preferito comunichi con il cloud DigiCert:

  1. Nel tuo account CertCentral, nel menu principale sinistro, seleziona Automazione > URL directory ACME.

  2. Dalla pagina URL directory ACME, seleziona Aggiungi URL directory ACME.

  3. Nella finestra a comparsa Aggiungi URL directory ACME, inserisci un Nome facilmente identificabile per l’URL.

  4. Nel menu a discesa Prodotto, seleziona il tipo di certificato che vuoi emettere.

  5. Nel menu a discesa Divisione, seleziona una divisione da associare con i certificati emessi da questo URL directory ACME.

  6. Nel menu a discesa Organizzazione, seleziona l’organizzazione preconvalidata per i certificati emessi.

  7. Seleziona il Periodo di validità per i certificati emessi da questo URL directory ACME:

    • Solo per gli account pluriennali, prima seleziona la tua Lunghezza della copertura pluriennale dal menu a discesa.

    • Seleziona l’opzione Periodo di validità certificato desiderata.

    • Per un periodo di validità Lunghezza personalizzata, inserisci il numero desiderato di Giorni.

  8. (Opzionale) Per abilitare l’opzione del profilo certificato Scambio HTTP firmato, espandi Opzioni certificato aggiuntive e seleziona Includi l’estensione CanSignHttpExchanges nel certificato. Per ulteriori dettagli su questa opzione, consulta URL directory ACME per certificati Scambio HTTP firmato.

  9. Seleziona Aggiungi URL directory ACME.

  10. Nella finestra a comparsa Nuovo URL directory ACME, copia il tuo URL ACME univoco insieme alle informazioni di associazione account esterno e salvalo.

    Queste informazioni sono necessarie per il tuo client ACME per procurarsi i certificati da CertCentral. Viene visualizzato solo una volta.

    Dopo averlo copiato e salvato in un posto sicuro, seleziona Capisco che non verrà più mostrato per rimuoverlo.

Il tuo nuovo URL directory ACME viene aggiunto all’elenco degli URL nella pagina URL directory ACME.

  • For details about certificates issued via the ACME URL, select the information icon next to the URL Description.

  • To revoke the ACME URL credentials, select the Revoke link on the right.

Avvertimento

Store your ACME URL credentials in a secure location to prevent malicious actors from issuing certificates for your prevalidated domains.

If you ever lose your ACME URL credentials or suspect they have been compromised, revoke the existing ACME URL immediately and then create a new ACME URL to use.

When you revoke an ACME URL, the old credentials get permanently disabled and can no longer be used by any ACME clients to request certificates.

Avvia gli eventi di automazione

Con il client ACME di terze parti preferito installato e configurato, e un URL directory ACME definito in CertCentral, sei pronto per iniziare a usare il client ACME per procurarti i certificati DigiCert.

Per i client ACME di terze parti, le azioni di automazioni devono essere installate localmente su ciascun sistema. Segui le linee guida del provider del software e utilizza le credenziali ottenute dall’URL directory ACME che hai impostato in CertCentral.

Per gli esempi di avvio delle azioni di automazione con il client EFF Certbot, consulta Esempi di automazione con i client ACME di terze parti.

Argomenti correlati

In questa sezione: