Risoluzione dei problemi: Clienti AMCE

CertCentral utilizza il protocollo ACME per automatizzare la tua richiesta certificato negli host dedicati, come web server o dispositivi point-of-service. DigiCert raccomanda di usare il client ACME preferito. Tuttavia, utilizzeremo Certbot di EFF come client di riferimento per tutti gli esempi. L’implementazione per altri client può variare.

Scenario

CertCentral emette un certificato associato al vecchio URL directory ACME.

  1. L’amministratore utilizza il client ACME con il vecchio URL directory ACME.
  2. L’amministratore crea un nuovo URL directory ACME per ottenere un nuovo certificato.
  3. CertCentral emette ancora un certificato usando il vecchio URL directory ACME al posto del nuovo URL.

Soluzione

Per ottenere un certificato associato al nuovo URL directory ACME, crea una nuova directory e fornisci il parametro config-dir quando richiedi il client.

  1. Crea una directory di configurazione per il nuovo certificato.

    Ad esempio:

    C:\< ConfigDirectory >

  2. Esegui il comando specificando la directory di configurazione, l’URL directory ACME, la chiave HMAC e i parametri KID.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Scenario

L’URL directory ACME revocato impedisce di ottenere un certificato con il nuovo URL directory ACME.

  1. L’amministratore utilizza il client ACME con il vecchio URL directory ACME.
  2. L’amministratore crea un nuovo URL directory ACME per ottenere un nuovo certificato.
  3. L’amministratore revoca il vecchio URL directory ACME.
  4. CertCentral emette ancora un certificato usando il vecchio URL directory ACME al posto del nuovo URL.

Soluzione

Per ottenere un certificato associato al nuovo URL directory ACME:

  1. Eliminare la directory di configurazione del certificato precedentemente emesso, configurato con l’URL directory ACME revocato.

  2. Crea una directory di configurazione per il nuovo certificato.

    Ad esempio:

    C:\< ConfigDirectory >

  3. Esegui il comando specificando la directory di configurazione, l’URL directory ACME, la chiave HMAC e i parametri KID.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Scenario

Errore di timeout

  • Quando l’organizzazione associata alla richiesta certificato non è convalidata.
  • Quando il dominio associato alla richiesta certificato non è convalidato.
  • Quando la richiesta certificato non è approvata entro 24 ore.
  • Quando il tempo di approvazione certificato supera 90 secondi.

Soluzione

Prima di eseguire una richiesta certificato:

  • Verifica che l’organizzazione sia convalidata.

  1. Vai in Certificati > Organizzazioni.

  2. Nella pagina Organizzazioni, controlla lo stato della convalida dell’organizzazione per cui hai richiesto il certificato.

Se l’organizzazione non è convalidata, revisiona la richiesta e reinviala per la convalida. Per ulteriori informazioni, consulta Gestisci organizzazione.

  • Verifica che il dominio sia convalidato.

  1. Vai in Certificati > Domini.

  2. Nella pagina Domini, controlla lo stato della convalida del dominio per cui hai richiesto il certificato.

Se il dominio non è convalidato, revisiona la richiesta e reinviala per la convalida. Per ulteriori informazioni, consulta Gestisci domini.

  • Verifica che la richiesta certificato sia approvata entro 24 ore dal completamento dell’ordine.

  1. Vai in Certificati > Richieste.

  2. Nella pagina Richieste, trova e fai clic sul link dell’ordine di certificato per approvare la richiesta.

  • Verifica che le impostazioni di approvazione automatica per il certificato richiesto siano abilitate.

  1. Vai in Impostazioni > Preferenze.

  2. Nella pagina Preferenze divisioni, sotto Impostazioni avanzate, nella sezione Passaggi per l'approvazione, seleziona Salta il passaggio per l'approvazione: rimuovi il passaggio per l'approvazione dai processi di ordine dei certificati.

Informazioni

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.