Manuale utente per l’integrazione dell’automazione manuale ACME

Con ACME + CertCentral, usa il tuo client ACME preferito per automatizzare gli utilizzi del tuo certificato SSL/TLS ed eliminare il tempo trascorso a completare le installazioni manuali del certificato.

Il supporto del protocollo CertCentral ACME ti consente di automatizzare gli utilizzi dei certificati SSL/TLS OV ed EV con validità 1 anno e personalizzata. Il nostro protocollo ACME supporta anche l’opzione profilo certificato Scambio HTTP firmato, che ti consente di automatizzare gli utilizzi del tuo certificato Scambio HTTP firmato (consulta URL directory ACME per certificati Scambio HTTP firmato).

Per un elenco dei problemi noti attuali, consulta Automazione: Problemi noti. Per segnalare gli errori, contatta il nostro team di assistenza. .

Prima di iniziare

Prima di iniziare, verifica che questi prerequisiti vengano soddisfatti:

  • L’amministratore o il manager del tuo account CertCentral
    Per accedere ad ACME nel tuo account CertCentral, vai alla pagina degli URL directory ACME (nel menu della barra laterale, fai clic su Automazione > URL directory ACME).
  • Accesso principale al tuo web server
    Queste istruzioni riguardano solo Apache. Tuttavia, DigiCert ACME è compatibile con tutti i web server.
  • Client ACME in funzione installato sul tuo web server — preferibilmente CertBot
    DigiCert raccomanda di usare il tuo client ACME preferito. Tuttavia, abbiamo incluso le istruzioni solo per CertBot. Una guida per l’installazione per CertBot è disponibile dall’EFF. Consulta Certbot di EFF.
  • Abilita le approvazioni automatiche di richiesta certificato per il tuo account CertCentral. Consulta Abilita approvazioni automatiche di richiesta certificato.
  • Preconvalida i domini e le organizzazioni per cui vuoi i certificati — necessario per l’emissione istantanea del certificato.
    Affinché l'emissione certificati istantanea ACME funzioni, devi pre-convalidare il dominio e l’organizzazione usati nelle richieste di certificato ACME. Consulta Gestisci organizzazioni e Gestisci domini.

Oltre a CertBot, DigiCert fornisce anche un supporto cert-manager per aiutarti a creare e gestire certificati SSL/TLS. Consulta Configura cert-manager e il servizio DigiCert ACME con Kubernetes.

Crea un URL directory ACME

Per iniziare, genera un URL directory ACME univoco nel tuo account CertCentral. Dovrai includere il tuo URL directory ACME con l’associazione account esterna (EAB) nel tuo comando di richiesta certificato CertBot.

  1. Nel tuo account CertCentral, nel menu della barra laterale, fai clic su Automazione > URL directory ACME.

  1. Nella pagina URL directory ACME, fai clic sul link Aggiungi URL directory ACME.

  1. Nella finestra a comparsa URL directory ACME, inserisci un Nome comune per l’URL.

  1. Nel menu a discesa Prodotto, seleziona il certificato che vuoi emettere usando ACME.

Attualmente, DigiCert ACME supporta solo i certificati TLS/SSL OV ed EV.

  1. Nel menu a discesa Divisione, associa una divisione all’URL directory ACME.

Tutti i certificati emessi da questo URL saranno allegati alla divisione selezionata.

  1. Nel menu a discesa Organizzazione, seleziona l’Organizzazione pre-convalidata per cui vuoi emettere il certificato.

  1. (Opzionale) Seleziona la tua Della copertura pluriennale dal menu a discesa se hai un account con Piano pluriennale.

  1. In Periodo di validità, seleziona Durata personalizzata e nella casella Giorni, inserisci un numero.

  1. Fai clic su Aggiungi URL directory ACME.

  1. Nella finestra a comparsa Nuovo URL directory ACME, copia il tuo URL ACME univoco insieme all’associazione account esterno (EAB) e salvalo.

    Dovrai usare queste informazioni per richiedere il tuo certificato tramite ACME.

Quando generi un URL Directory ACME, la chiave URL, KID e HMAC viene visualizzata solo una volta. Non è possibile recuperare le informazioni perse. Se mai perdessi i dettagli URL ACME, dovrai revocare l’URL perso e generarne uno nuovo.

  1. Fai clic su Capisco che non verrà più mostrato.

Il tuo nuovo URL directory ACME viene aggiunto all’elenco degli URL nella pagina URL directory ACME (nel menu della barra laterale, fai clic su Automazione > URL directory ACME). Per ulteriori dettagli sul certificato che puoi ordinare tramite l’URL directory ACME, fai clic sull’icona delle informazioni vicino alla Descrizione URL.

ACME: Emetti ed installa un certificato

Se hai installato lo script certbot-auto, sostituisci certbot con ./certbot-auto nel comando. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.

Codici errore ACME:
ACME riporta gli stessi errori e messaggi di errore di quelli riportati nell’API CertCentral. Per un elenco dei codici di errore e del loro significato, consulta Errori.

  1. Usa il tuo client ACME preferito per collegarti al tuo web server usando SSH.

  1. Al messaggio terminale, richiedi un certificati usando CertBot e il comando riportato di seguito.

    • Assicurati di sostituire YOUR-KEY-IDENTIFIER con il KID dell’associazione account esterno.
    • Assicurati di sostituire YOUR-HMAC-KEY con la chiave HMAC dell’associazione account esterno.
    • Verifica di aver sostituito YOUR-ACME-URL con l’URL directory ACME precedentemente creato (consulta Crea un URL directory ACME).
    • Verifica di aver sostituito FQDN con il nome dominio completamente qualificato che vuoi proteggere con il certificato. Per ciascun FQDN, aggiungi un’altra opzione -d.
bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Ecco un esempio di un comando completo come riferimento con l’associazione account esterno.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  1. Inserisci il tuo comando CertBot, personalizzato come necessario.

    Per ulteriori informazioni sui comandi e sulle opzioni usati in queste istruzioni, consulta Opzioni ACME.

  1. Ti verrà chiesto di accettare i Termini di servizio. Digita "A” e premi enter.

    Attualmente, DigiCert non ha alcun ulteriore Termine di servizio per ACME.

Se la tua richiesta include un FQDN per cui Cerbot non riesce a trovare un host virtuale corrispondente, ti verrà chiesto di selezionare l’host virtuale su cui vuoi installare il certificato.
Su Apache, controlla l’elenco Directory virtuale per il NomeServer in corrispondenza del FQDN.

  1. Seleziona se reindirizzare il traffico HTTP a HTTPS.

    Se scegli il reindirizzamento, l'accesso HTTP al tuo sito sarà disabilitato.

  1. Al termine, il tuo server visualizza un messaggio di procedura completata con successo: “Congratulazioni! Hai abilitato correttamente i tuoi domini…

Congratulazioni! La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul tuo web server. Puoi visitare il tuo sito web per confermare che l’installazione è avvenuta correttamente.

ACME: Rinnova e riemetti un certificato

Rinnova un certificato quando scade o deve essere rinnovato e riemetti un certificato quando viene revocato i manca.

Per il rinnovo e la riemissione, usa il comando CertBot sotto:

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Devi aggiungere orderId e action all’URL, come mostrato negli esempi di seguito:

Ecco un esempio di un comando completo come riferimento per il rinnovo.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Ecco un esempio di un comando completo come riferimento per la riemissione.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Per gli account con piani pluriennali,

  • Rinnova un certificato quando la copertura ordine scade.
  • Riemetti un certificato se revocato o in scadenza all’interno della copertura ordine.

Passaggi successivi

La tua richiesta di certificato ACME è completa. Il certificato appena emesso viene installato sul tuo web server. Visita il tuo sito web per confermare che l’installazione è avvenuta correttamente.

Puoi riutilizzare il tuo URL directory ACME per fare altre richieste di certificato per lo stesso prodotto di certificato e la stessa organizzazione pre-convalidata.

Per richiedere i certificati per un altro prodotto o un’altra organizzazione, crea un nuovo URL directory ACME univoco per quel prodotto o quella organizzazione. Consulta Crea un URL directory ACME.

Opzioni ACME

  • certbot: esegue l’eseguibile CertBot.
  • certbot-auto: Usa al posto di certbot quando si installa lo script certbot-auto. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.
  • --apache: Specifica il plugin Apache CertBot che installerà il certificato per te. Facoltativo.
  • --register-unsafely-without-email: Ti consente di saltare la creazione di un account ACME. Poiché la tua richiesta è già collegata al tuo account CertCentral, questo non è necessario. Facoltativo.
  • --server “URL: Specifica quale server ACME deve soddisfare la tua richiesta. Posiziona l’URL directory ACME tra virgolette doppie dopo questa opzione.
  • --eab-kid “YOURKID : Specifica l’identificatore chiave, che fa parte dell’URL comune.
  • --eab-hmac-key “YOURHMACKEY: Specifica la chiave usata per firmare la risposta.
  • -d YOURDOMINIO: Il nome dominio completamente qualificato incluso nel certificato. Per ciascun FQDN nel certificato, includi –d ILTUODOMINIO. Se non includi questa opzione, CertBot ti chiederà dei domini che vuoi includere in base ai tuoi host virtuali configurati. Facoltativo.
  • orderId “YOURIDORDINE: Specifica il tipo di ID ordine del certificato esistente.
  • action “YOURAZIONE: Specifica l’azione sul certificato richiesto.

Un elenco completo di comandi CertBot è disponibile tramite la parte terminale con certbot –help. Anche i comandi sono documentati sul sito web della documentazione CertBot.

Argomenti correlati

Informazioni

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.