Skip to main content

Esempi di automazione con i client ACME di terze parti

Con CertCentral, puoi automatizzare i certificati usando qualsiasi client ACME di terze parti. Un simile client è Certbot di EFF.

Gli esempi dimostrano l’uso del client Certbot per avviare le azioni di automazione certificato per il server web Apache.

Sebbene questi esempi utilizzino Certbot, DigiCert supporta qualsiasi client ACME o server web.

Avviso

Per le istruzioni su come utilizzare Kubernetes cert-manager per creare e gestire certificati TLS/SSL, consulta  Configura cert-manager e il servizio DigiCert ACME con Kubernetes.

Prima di iniziare

  • Verifica di aver installato e configurato il tuo client ACME preferito seguendo le linee guida del provider del software.

  • Configura un URL directory ACME per il tuo client ACME preferito in CertCentral. Consulta Usa un client ACME di terze parti per le automazioni host.

  • Privilegi principali necessari per installare i certificati per il server web.

Certbot: Emetti ed installa un certificato

Se hai installato lo script certbot-auto, sostituisci certbot con ./certbot-auto nel comando. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.

Avviso

Codici di errore ACME: ACME riporta gli stessi errori e messaggi di errore di quelli riportati nell’API CertCentral. Per un elenco dei codici di errore e del loro significato, consulta Errori.

  1. Apri una sessione terminale sul server web, ad esempio usando SSH.

  2. Al messaggio terminale, richiedi un certificato usando Certbot e la sintassi di comando riportata di seguito:

    • Assicurati di sostituire YOUR-KEY-IDENTIFIER con il KID dell’associazione account esterno.

    • Assicurati di sostituire YOUR-HMAC-KEY con la chiave HMAC dell’associazione account esterno.

    • Assicurati di sostituire YOUR-ACME-URL con l’URL directory ACME creata in precedenza.

    • Verifica di aver sostituito FQDN con il nome dominio completamente qualificato che vuoi proteggere con il certificato. Per ciascun FQDN, aggiungi un’altra opzione -d.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Esempio:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  3. Inserisci il tuo comando Certbot, personalizzato come opportuno.

    Per ulteriori informazioni sui comandi e sulle opzioni usati in queste istruzioni, consulta Certbot: Opzioni di automazione ACME.

  4. Ti verrà chiesto di accettare i Termini di servizio. Digita "A” e premi Invio.

    Attualmente, DigiCert non ha alcun ulteriore Termine di servizio per ACME.

    Nota

    Se la tua richiesta include un FQDN per cui Cerbot non riesce a trovare un host virtuale corrispondente, ti verrà chiesto di selezionare l’host virtuale su cui vuoi installare il certificato. Su Apache, controlla l’elenco di Directory virtuali per ServerName da abbinare al FQDN.

  5. Seleziona se reindirizzare il traffico HTTP a HTTPS.

    Se scegli il reindirizzamento, l'accesso HTTP al tuo sito sarà disabilitato.

  6. Al termine, il tuo server visualizza un messaggio di procedura completata con successo: “Congratulazioni! Hai abilitato correttamente i tuoi domini…

La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul server web. Visita il tuo sito web per confermare che il certificato sia in posizione.

Certbot: Rinnova e riemetti un certificato

Rinnova un certificato quando è scaduto o è scaduto per il rinnovo. Riemetti un certificato quando manca o è stato revocato.

Per il rinnovo e la riemissione, usa questa sintassi di comando CertBot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Nota

Aggiungi orderId e action all’URL, come mostrato di seguito.

Esempio (rinnovo):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Esempio (riemissione):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Nota

Per gli account del piano pluriennale:

  • Rinnova un certificato quando la copertura ordine scade.

  • Riemetti un certificato se è stato revocato o scadrà entro la copertura ordine.

Certbot: Emetti un certificato duplicato

Per aumentare la sicurezza e semplificare l’installazione del certificato in più server, emetti un certificato duplicato per ciascun server.

Nota

I dettagli nel certificato duplicato saranno gli stessi del certificato originale. I certificati duplicati non richiedono mai che DigiCert revochi le copie precedenti del tuo certificato.

Per emettere un certificato duplicato, utilizza questa sintassi di comando Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Nota

Aggiungi orderId e action all’URL, come mostrato di seguito.

Esempio:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Certbot: Opzioni di automazione ACME

  • certbot: esegue l’eseguibile CertBot.

  • certbot-auto: Usa questo al posto di certbot quando si installa lo script certbot-auto. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.

  • --apache: Specifica il plugin Apache Certbot che installerà il certificato per te. Facoltativo.

  • --register-unsafely-without-email: Ti consente di saltare la creazione di un account ACME. Poiché la tua richiesta è già collegata al tuo account CertCentral, questo non è necessario. Facoltativo.

  • --server “ URL : Specifica quale server ACME deve soddisfare la tua richiesta. Posiziona l’URL directory ACME tra virgolette doppie dopo questa opzione.

  • --eab-kid=YOURKID: Specifica l’identificatore chiave, che fa parte dell’URL comune.

  • --eab-hmac-key=YOURHMACKEY: Specifica la chiave usata per firmare la risposta.

  • -d YOUR DOMINIO: Il nome dominio completamente qualificato incluso nel certificato. Per ciascun FQDN nel certificato, includi –d ILTUODOMINIO. Se non includi questa opzione, Certbot ti chiederà dei domini che vuoi includere in base ai tuoi host virtuali configurati. Facoltativo.

  • orderId “YOURORDERID: Specifica il tipo di ID ordine del certificato esistente.

  • action “YOURACTION: Specifica l’azione sul certificato richiesto.

Un elenco completo dei comandi Certbot è disponibile tramite il terminale con certbot –help oppure consulta l’elenco dei comandi sul sito web di documentazione Certbot.

Passaggi successivi

La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul server web. Visita il tuo sito web per confermare che il certificato sia in posizione.

Puoi riutilizzare il tuo URL directory ACME per fare altre richieste di certificato per lo stesso prodotto di certificato e la stessa organizzazione pre-convalidata.

Per richiedere i certificati per un altro prodotto o un’altra organizzazione, crea un nuovo URL directory ACME univoco per quel prodotto o quella organizzazione. Consulta Usa un client ACME di terze parti per le automazioni host.