Manuale utente per l’integrazione dell’automazione manuale ACME

Con ACME + CertCentral, usa il tuo client ACME preferito per automatizzare gli utilizzi del tuo certificato SSL/TLS ed eliminare il tempo trascorso a completare le installazioni manuali del certificato.

Il supporto del protocollo CertCentral ACME ti consente di automatizzare gli utilizzi dei certificati SSL/TLS OV ed EV con validità 1 anno, 2 anni e personalizzata. Il nostro protocollo ACME supporta anche l’opzione profilo certificato Scambio HTTP firmato, che ti consente di automatizzare gli utilizzi del tuo certificato Scambio HTTP firmato (consulta URL directory ACME per certificati Scambio HTTP firmato).

Si tratta del periodo beta aperto per il supporto di protocollo ACME in CertCentral. Per un elenco dei problemi noti attuali, consulta Problemi noti. Per segnalare gli errori, contatta il nostro team di assistenza.

Prima di iniziare

Prima di iniziare, verifica che questi prerequisiti vengano soddisfatti:

  • L’amministratore o il manager del tuo account CertCentral
    Per accedere ad ACME nel tuo account CertCentral, vai alla pagina degli URL directory ACME (nel menu della barra laterale, fai clic su Automazione > URL directory ACME).
  • Accesso principale al tuo web server
    Queste istruzioni riguardano solo Apache. Tuttavia, DigiCert ACME è compatibile con tutti i web server.
  • Client ACME in funzione installato sul tuo web server — preferibilmente CertBot
    DigiCert raccomanda di usare il tuo client ACME preferito. Tuttavia, abbiamo incluso le istruzioni solo per CertBot. Una guida per l’installazione per CertBot è disponibile dall’EFF. Consulta Certbot di EFF.
  • Abilita le approvazioni automatiche di richiesta certificato per il tuo account CertCentral. Consulta Abilita approvazioni automatiche di richiesta certificato.
  • Preconvalida i domini e le organizzazioni per cui vuoi i certificati — necessario per l’emissione istantanea del certificato.
    Affinché l'emissione certificati istantanea ACME funzioni, devi pre-convalidare il dominio e l’organizzazione usati nelle richieste di certificato ACME. Consulta Gestisci organizzazioni e Gestisci domini.

DigiCert ACME Beta non è raccomandato per l’uso in un ambiente di produzione.

Crea un URL directory ACME

Per iniziare, genera un URL directory ACME univoco nel tuo account CertCentral. Dovrai includere il tuo URL directory ACME nel tuo comando di richiesta certificato CertBot.

  1. Nel tuo account CertCentral, nel menu della barra laterale, fai clic su Automazione > URL directory ACME.

    ACME Directory URLs page

  1. Nella pagina URL directory ACME, fai clic sul link Aggiungi URL directory ACME.

  1. Nella finestra a comparsa URL directory ACME, inserisci un Nome comune per l’URL.

  1. Nel menu a discesa Prodotto, seleziona il certificato che vuoi emettere usando ACME.

Attualmente, DigiCert ACME supporta solo i certificati TLS/SSL OV ed EV.

  1. Nel menu a discesa Organizzazione, seleziona l’Organizzazione pre-convalidata per cui vuoi emettere il certificato.

  1. Fai clic su Aggiungi URL directory ACME.

  1. Nella finestra a comparsa Nuovo URL directory ACME, copia il tuo URL ACME univoco e salvalo.

    Dovrai usare questo URL per richiedere il tuo certificato tramite ACME.

Quando generi un URL Directory ACME, viene visualizzato solo una volta. Non è possibile recuperare un URL ACME perso. Se mai perdessi un URL ACME, dovrai revocare l’URL perso e generarne uno nuovo.

  1. Fai clic su Capisco che non verrà più mostrato.

Il tuo nuovo URL directory ACME viene aggiunto all’elenco degli URL nella pagina URL directory ACME (nel menu della barra laterale, fai clic su Automazione > URL directory ACME). Per ulteriori dettagli sul certificato che puoi ordinare tramite l’URL directory ACME, fai clic sull’icona delle informazioni vicino alla Descrizione URL.

ACME: Emetti ed installa un certificato

Se hai installato lo script certbot-auto, sostituisci certbot con ./certbot-auto nel comando. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.

Codici errore ACME:
ACME riporta gli stessi errori e messaggi di errore di quelli riportati nell’API CertCentral. Per un elenco dei codici di errore e del loro significato, consulta Errori.

  1. Usa il tuo client ACME preferito per collegarti al tuo web server usando SSH.

  1. Al messaggio terminale, richiedi un certificati usando CertBot e il comando riportato di seguito.

    • Verifica di aver sostituito YOUR-ACME-URL con l’URL directory ACME precedentemente creato (consulta Crea un URL directory ACME).
    • Verifica di aver sostituito FQDN con il nome dominio completamente qualificato che vuoi proteggere con il certificato. Per ciascun FQDN, aggiungi un’altra opzione -d.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Ecco un esempio di un comando completo come riferimento.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. Inserisci il tuo comando CertBot, personalizzato come necessario.

    Per ulteriori informazioni sui comandi e sulle opzioni usati in queste istruzioni, consulta Opzioni ACME.

  1. Ti verrà chiesto di accettare i Termini di servizio. Digita "A” e premi enter.

    Attualmente, DigiCert non ha alcun ulteriore Termine di servizio per ACME Beta.

Se la tua richiesta include un FQDN per cui Cerbot non riesce a trovare un host virtuale corrispondente, ti verrà chiesto di selezionare l’host virtuale su cui vuoi installare il certificato.
Su Apache, controlla l’elenco Directory virtuale per il NomeServer in corrispondenza del FQDN.

  1. Seleziona se reindirizzare il traffico HTTP a HTTPS.

    Se scegli il reindirizzamento, l'accesso HTTP al tuo sito sarà disabilitato.

  1. Al termine, il tuo server visualizza un messaggio di procedura completata con successo: “Congratulazioni! Hai abilitato correttamente i tuoi domini…

Congratulazioni! La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul tuo web server. Puoi visitare il tuo sito web per confermare che l’installazione è avvenuta correttamente.

Passaggi successivi

La tua richiesta di certificato ACME è completa. Il certificato appena emesso viene installato sul tuo web server. Visita il tuo sito web per confermare che l’installazione è avvenuta correttamente.

Puoi riutilizzare il tuo URL directory ACME per fare altre richieste di certificato per lo stesso prodotto di certificato e la stessa organizzazione pre-convalidata.

Per richiedere i certificati per un altro prodotto o un’altra organizzazione, crea un nuovo URL directory ACME univoco per quel prodotto o quella organizzazione. Consulta Crea un URL directory ACME.

Opzioni ACME

  • certbot: esegue l’eseguibile CertBot.
  • certbot-auto: Usa al posto di certbot quando si installa lo script certbot-auto. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.
  • --apache: Specifica il plugin Apache CertBot che installerà il certificato per te. Facoltativo.
  • --register-unsafely-without-email: Ti consente di saltare la creazione di un account ACME. Poiché la tua richiesta è già collegata al tuo account CertCentral, questo non è necessario. Facoltativo.
  • --server “URL: Specifica quale server ACME deve soddisfare la tua richiesta. Posiziona l’URL directory ACME tra virgolette doppie dopo questa opzione.
  • -d YOURDOMINIO: Il nome dominio completamente qualificato incluso nel certificato. Per ciascun FQDN nel certificato, includi –d ILTUODOMINIO. Se non includi questa opzione, CertBot ti chiederà dei domini che vuoi includere in base ai tuoi host virtuali configurati. Facoltativo.

Un elenco completo di comandi CertBot è disponibile tramite la parte terminale con certbot –help. Anche i comandi sono documentati sul sito web della documentazione CertBot.

Argomenti correlati