マネージド自動化のカスタムアプリケーションをセットアップする
CertCentralのマネージド自動化は、最も一般的なウェブサーバアプリケーションを追加設定なしでサポートします。
CertCentralは、「カスタムアプリケーション」オプションを使用してサードパーティーACMEクライアントを設定できるようにすることで、ネイティブにサポートされていない追加のアプリケーションの証明書管理を提供する柔軟性も提供します。
カスタムアプリケーションのマネージド自動化を有効にするには、以下のステップを実行してください。
Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.
For detailed instructions about how to deploy DigiCert agents on your servers, see ACME自動化エージェントをインストールしてアクティブ化する.
In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.
CertCentralのマネージド自動化は、業界標準のACMEプロトコルをサポートするすべてのサードパーティークライアントで機能します。
You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.
The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.
Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):
Variable definitions at the top of these shell scripts set the required ACME request parameters:
These must match up with the ACME arguments you configure for the custom application in CertCentral.
During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.
Commands used in the shell script:
Must include all mandatory parameters.
Must not exceed 512 characters.
Must not include special directives like
rm -rforrmdir
The shell script filename:
Must end with
.bator.shMust not exceed 255 characters.
CertCentralの[自動化の管理]メニューを使用して、カスタムアプリケーションの設定を完了します。
CertCentralアカウントの左側にあるメインメニューで、[自動化]>[自動化の管理]の順に進みます。
[自動化の管理]ビューで、カスタムアプリケーションと同じ証明書ホストで実行されているローカルACMEエージェントの[名前]を選択します。
右側のエージェント設定パネルで、[IP/ポートを設定する]セクションまでスクロールダウンします。
カスタムアプリケーションのIPアドレスとポート番号を見つけます。アプリケーション名として[カスタム]を選択します。
[クライアントコマンドのパス]フィールドに、サードパーティーACMEクライアントを起動するシェルスクリプトの完全なディレクトリパスを入力します。
以下はその例です。
Windows:
G:\certcentral\agent\custom_automation_1.batLinux:
/home/certcentral/agent/custom_automation_1.sh
[クライアントコマンドの引数]フィールドで、使用する汎用引数を指定します。
以下はその例です。
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}以下に注意してください。
各引数は、ここに記載されているとおり正確に入力する必要があります。
引数の順序は、シェルスクリプトで使用される順序と一致する必要があります。
自動化イベント中、選択された自動化プロファイルから、これらの引数に必須な値が自動的に取得されます。
以下は、CertCentralのマネージド自動化でサポートされるACME引数の説明です。
{acmeDirectoryUrl}– ACMEディレクトリURL設定。{hosts}– 証明書ホストの詳細。{email}– 通知用のEメールアドレス。{key}– 鍵のアルゴリズム(RSAまたはECC)。{extActKid}– URLで使用される外部アカウントの鍵識別子。{extActHmac}– 応答に署名するためのHMAC鍵。
[保存する]を選択して、更新された自動化設定を有効にします。
次のステップ
カスタムアプリケーションのセットアップ後は、他のマネージドアプリケーションと同じ方法でその証明書自動化を管理することができます。