Esempi di automazione con i client ACME di terze parti
Con CertCentral, puoi automatizzare i certificati usando qualsiasi client ACME di terze parti. Un simile client è Certbot di EFF.
Gli esempi dimostrano l’uso del client Certbot per avviare le azioni di automazione certificato per il server web Apache.
Sebbene questi esempi utilizzino Certbot, DigiCert supporta qualsiasi client ACME o server web.
Avviso
Per le istruzioni su come utilizzare Kubernetes cert-manager per creare e gestire certificati TLS/SSL, consulta Configura cert-manager e il servizio DigiCert ACME con Kubernetes.
Prima di iniziare
Verifica di aver installato e configurato il tuo client ACME preferito seguendo le linee guida del provider del software.
Configura un URL directory ACME per il tuo client ACME preferito in CertCentral. Consulta Usa un client ACME di terze parti per le automazioni host.
Privilegi principali necessari per installare i certificati per il server web.
Certbot: Emetti ed installa un certificato
Se hai installato lo script certbot-auto, sostituisci certbot con ./certbot-auto nel comando. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.
Avviso
Codici di errore ACME: ACME riporta gli stessi errori e messaggi di errore di quelli riportati nell’API CertCentral. Per un elenco dei codici di errore e del loro significato, consulta Errori.
Apri una sessione terminale sul server web, ad esempio usando SSH.
Al messaggio terminale, richiedi un certificato usando Certbot e la sintassi di comando riportata di seguito:
Assicurati di sostituire
YOUR-KEY-IDENTIFIERcon il KID dell’associazione account esterno.Assicurati di sostituire
YOUR-HMAC-KEYcon la chiave HMAC dell’associazione account esterno.Assicurati di sostituire
YOUR-ACME-URLcon l’URL directory ACME creata in precedenza.Verifica di aver sostituito
FQDNcon il nome dominio completamente qualificato che vuoi proteggere con il certificato. Per ciascun FQDN, aggiungi un’altra opzione-d.sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Esempio:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
Inserisci il tuo comando Certbot, personalizzato come opportuno.
Per ulteriori informazioni sui comandi e sulle opzioni usati in queste istruzioni, consulta Certbot: Opzioni di automazione ACME.
Ti verrà chiesto di accettare i Termini di servizio. Digita "A” e premi Invio.
Attualmente, DigiCert non ha alcun ulteriore Termine di servizio per ACME.
Nota
Se la tua richiesta include un FQDN per cui Cerbot non riesce a trovare un host virtuale corrispondente, ti verrà chiesto di selezionare l’host virtuale su cui vuoi installare il certificato. Su Apache, controlla l’elenco di Directory virtuali per ServerName da abbinare al FQDN.
Seleziona se reindirizzare il traffico HTTP a HTTPS.
Se scegli il reindirizzamento, l'accesso HTTP al tuo sito sarà disabilitato.
Al termine, il tuo server visualizza un messaggio di procedura completata con successo: “Congratulazioni! Hai abilitato correttamente i tuoi domini…”
La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul server web. Visita il tuo sito web per confermare che il certificato sia in posizione.
Certbot: Rinnova e riemetti un certificato
Rinnova un certificato quando è scaduto o è scaduto per il rinnovo. Riemetti un certificato quando manca o è stato revocato.
Per il rinnovo e la riemissione, usa questa sintassi di comando CertBot:
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Nota
Aggiungi orderId e action all’URL, come mostrato di seguito.
Esempio (rinnovo):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
Esempio (riemissione):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
Nota
Per gli account del piano pluriennale:
Rinnova un certificato quando la copertura ordine scade.
Riemetti un certificato se è stato revocato o scadrà entro la copertura ordine.
Certbot: Emetti un certificato duplicato
Per aumentare la sicurezza e semplificare l’installazione del certificato in più server, emetti un certificato duplicato per ciascun server.
Nota
I dettagli nel certificato duplicato saranno gli stessi del certificato originale. I certificati duplicati non richiedono mai che DigiCert revochi le copie precedenti del tuo certificato.
Per emettere un certificato duplicato, utilizza questa sintassi di comando Certbot:
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
Nota
Aggiungi orderId e action all’URL, come mostrato di seguito.
Esempio:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com
Certbot: Opzioni di automazione ACME
certbot: esegue l’eseguibile CertBot.certbot-auto: Usa questo al posto di certbot quando si installa lo script certbot-auto. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.--apache: Specifica il plugin Apache Certbot che installerà il certificato per te. Facoltativo.--register-unsafely-without-email: Ti consente di saltare la creazione di un account ACME. Poiché la tua richiesta è già collegata al tuo account CertCentral, questo non è necessario. Facoltativo.--server “URL”: Specifica quale server ACME deve soddisfare la tua richiesta. Posiziona l’URL directory ACME tra virgolette doppie dopo questa opzione.--eab-kid=YOURKID: Specifica l’identificatore chiave, che fa parte dell’URL comune.--eab-hmac-key=YOURHMACKEY: Specifica la chiave usata per firmare la risposta.-d YOURDOMINIO: Il nome dominio completamente qualificato incluso nel certificato. Per ciascun FQDN nel certificato, includi –d ILTUODOMINIO. Se non includi questa opzione, Certbot ti chiederà dei domini che vuoi includere in base ai tuoi host virtuali configurati. Facoltativo.orderId “YOURORDERID”: Specifica il tipo di ID ordine del certificato esistente.action “YOURACTION”: Specifica l’azione sul certificato richiesto.
Un elenco completo dei comandi Certbot è disponibile tramite il terminale con certbot –help oppure consulta l’elenco dei comandi sul sito web di documentazione Certbot.
Passaggi successivi
La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul server web. Visita il tuo sito web per confermare che il certificato sia in posizione.
Puoi riutilizzare il tuo URL directory ACME per fare altre richieste di certificato per lo stesso prodotto di certificato e la stessa organizzazione pre-convalidata.
Per richiedere i certificati per un altro prodotto o un’altra organizzazione, crea un nuovo URL directory ACME univoco per quel prodotto o quella organizzazione. Consulta Usa un client ACME di terze parti per le automazioni host.