Manuale utente ACME

Si tratta del periodo beta aperto per il supporto di protocollo ACME in CertCentral. Per un elenco degli attuali problemi noti, consulta la sezione Problemi noti riportata di seguito. Per segnalare gli errori, contatta il nostro team di assistenza.

Prima di iniziare

Prima di iniziare, verifica che questi prerequisiti vengano soddisfatti:

  • Sei un amministratore nel tuo account CertCentral
    Per accedere ad ACME nel tuo account CertCentral, vai alla pagina Accesso account (nel menu della barra laterale, fai clic su Account > Accesso account) e vedrai la sezione URL directory ACME.
  • Hai l’accesso principale al tuo web server
    Queste istruzioni riguardano solo Apache. Tuttavia, DigiCert ACME deve essere compatibile con tutti i web server.
  • Hai un client ACME in funzione, preferibilmente CertBot, installato sul tuo web server
    DigiCert raccomanda di usare il tuo client ACME preferito. Tuttavia, abbiamo incluso le istruzioni solo per CertBot. Una guida per l’installazione per CertBot è disponibile dall’EFF. Consulta Certbot di EFF.
  • Abilita le approvazioni automatiche di richiesta certificato per il tuo account CertCentral. Consulta Abilita approvazioni automatiche di richiesta certificato.
  • Domini e organizzazioni pre-convalidati in modo che la loro emissione istantanea è pronta.
    Affinché l'emissione istantanea ACME funzioni, devi pre-convalidare il dominio e l’organizzazione usati nella tua richiesta di certificato ACME. Consulta Gestisci organizzazioni e Gestisci domini.

DigiCert ACME Beta non è raccomandato per l’uso in un ambiente di produzione.

Crea un URL directory ACME

Per iniziare, genera un URL directory ACME univoco nel tuo account CertCentral. Dovrai includere il tuo URL directory ACME nel tuo comando di richiesta certificato CertBot.

  1. Nel tuo account CertCentral, nel menu della barra laterale, fai clic su Account > Accesso account.

    ACME Directory URLS on Account Access page in CertCentral

  1. Nella pagina Accesso account, nella sezione URL directory ACME, fai clic su Aggiungi URL directory ACME.

  1. Nella finestra a comparsa URL directory ACME, inserisci un Nome comune per l’URL.

  1. Nel menu a discesa Prodotto, seleziona il certificato che vuoi emettere usando ACME.

Attualmente, DigiCert ACME supporta solo i certificati TLS/SSL OV ed EV.

  1. Nel menu a discesa Organizzazione, seleziona l’Organizzazione pre-convalidata per cui vuoi emettere il certificato.

  1. Fai clic su Aggiungi URL directory ACME.

  1. Nella finestra a comparsa Nuovo URL directory ACME, copia il tuo URL ACME univoco e salvalo.

    Dovrai usare questo URL per richiedere il tuo certificato tramite ACME.

Quando generi un URL Directory ACME, viene visualizzato solo una volta. Non è possibile recuperare un URL ACME perso. Se mai perdessi un URL ACME, dovrai revocare l’URL perso e generarne uno nuovo.

  1. Fai clic su Capisco che non verrà più mostrato.

Il tuo nuovo URL directory ACME viene aggiunto all’elenco degli URL Directory ACME nella pagina Accesso account (nel menu della barra laterale, fai clic su Account > Accesso). Per vedere i dettagli sul certificato che può essere ordinato tramite l’URL Directory ACME, accanto al Nome URL, fai clic sull’icona delle informazioni.

ACME: Emetti ed installa un certificato

Se hai installato lo script certbot-auto, sostituisci certbot con ./certbot-auto nel comando. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.

Codici errore ACME:
ACME riporta gli stessi errori e messaggi di errore di quelli riportati nell’API CertCentral. Per un elenco dei codici di errore e del loro significato, consulta Errori.

  1. Usa il tuo client ACME preferito per collegarti al tuo web server usando SSH.

  1. Al messaggio terminale, richiedi un certificati usando CertBot e il comando riportato di seguito.

    • Verifica di aver sostituito YOUR-ACME-URL con l’URL directory ACME precedentemente creato (consulta Crea un URL directory ACME).
    • Verifica di aver sostituito FQDN con il nome dominio completamente qualificato che vuoi proteggere con il certificato. Per ciascun FQDN, aggiungi un’altra opzione -d.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Di seguito è riportato un esempio di un comando completo da usare come riferimento. Ecco un esempio di un comando completo come riferimento.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. Inserisci il tuo comando CertBot, personalizzato come necessario.

    Per ulteriori informazioni sui comandi e sulle opzioni usati in queste istruzioni, consulta Opzioni ACME.

  1. Ti verrà chiesto di accettare i Termini di servizio. Digita "A” e premi enter.

    Attualmente, DigiCert non ha alcun ulteriore Termine di servizio per ACME Beta.

Se la tua richiesta include un FQDN per cui Cerbot non riesce a trovare un host virtuale corrispondente, ti verrà chiesto di selezionare l’host virtuale su cui vuoi installare il certificato.
Su Apache, controlla l’elenco Directory virtuale per il NomeServer in corrispondenza del FQDN.

  1. Seleziona se reindirizzare il traffico HTTP a HTTPS.

    Se scegli il reindirizzamento, l'accesso HTTP al tuo sito sarà disabilitato.

  1. Al termine, il tuo server visualizza un messaggio di procedura completata con successo: “Congratulazioni! Hai abilitato correttamente i tuoi domini…

Congratulazioni! La tua richiesta di certificato ACME è completa e il certificato appena emesso viene installato sul tuo web server. Puoi visitare il tuo sito web per confermare che l’installazione è avvenuta correttamente.

Passaggi successivi

La tua richiesta di certificato ACME è completa. Il certificato appena emesso viene installato sul tuo web server. Visita il tuo sito web per confermare che l’installazione è avvenuta correttamente.

Puoi riutilizzare il tuo URL directory ACME per fare altre richieste di certificato per lo stesso prodotto di certificato e la stessa organizzazione pre-convalidata.

Per richiedere i certificati per un altro prodotto o un’altra organizzazione, crea un nuovo URL directory ACME univoco per quel prodotto o quella organizzazione. Consulta Crea un URL directory ACME.

Opzioni ACME

  • certbot: esegue l’eseguibile CertBot.
  • certbot-auto: Usa al posto di certbot quando si installa lo script certbot-auto. Potresti dover specificare il percorso di certbot-auto se non viene aggiunto alla configurazione PATH del tuo server.
  • --apache: Specifica il plugin Apache CertBot che installerà il certificato per te. Facoltativo.
  • --register-unsafely-without-email: Ti consente di saltare la creazione di un account ACME. Poiché la tua richiesta è già collegata al tuo account CertCentral, questo non è necessario. Facoltativo.
  • --server “URL: Specifica quale server ACME deve soddisfare la tua richiesta. Posiziona l’URL directory ACME tra virgolette doppie dopo questa opzione.
  • -d YOURDOMINIO: Il nome dominio completamente qualificato incluso nel certificato. Per ciascun FQDN nel certificato, includi –d ILTUODOMINIO. Se non includi questa opzione, CertBot ti chiederà dei domini che vuoi includere in base ai tuoi host virtuali configurati. Facoltativo.

Un elenco completo di comandi CertBot è disponibile tramite la parte terminale con certbot –help. Anche i comandi sono documentati sul sito web della documentazione CertBot.

Argomenti correlati