ACME 自動化アクション
デフォルトでは、CertCentral は ACME 自動化要求に一致する既存の証明書オーダーが存在しない場合に、新しい証明書を登録します。
サードパーティ ACME クライアントを使用して、CertCentral で既存の証明書を管理することもできます。
既存証明書を複製する: ACME URL に自動化アクションと証明書オーダー ID をクエリパラメータとして追加します。
ヒント
証明書プロファイルが複製を許可している必要があります。
例:
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678既存の証明書を更新または再発行する: 次の 2 つの方法のうちいずれかを使用します。
方法 1: ACME URL に自動化アクションと証明書オーダー ID をクエリパラメータとして追加します。
例:
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456方法 2: 自動化アクションとオーダー ID を省略します。CertCentral は、該当する証明書オーダーを自動的に検出し、以下に説明する自動検出ルールに従ってデフォルトの自動化アクションを適用します。
既存の証明書オーダーの自動検出ルール
サードパーティ ACME クライアントが自動化要求を送信すると、CertCentral は以下のルールに従って該当する証明書オーダーを自動検出します。
プライマリオーダーは、ACME 経由で発行されたものである必要があります。
要求された証明書の製品名、コモンネーム(CN)、サブジェクト別名(SAN)は、既存の ACME ベースのオーダーと一致している必要があります。
ワイルドカードオーダーの場合、要求されたドメインは既存オーダーのサブドメインの場合もあり、SAN を追加または削除できます。
非ワイルドカードオーダーの場合、CN と SAN は元のオーダーと完全に一致している必要があります。
複数のオーダーが一致する場合、CertCentral は有効期限が最も長く、証明書プロファイルと一致する製品タイプを持つものを選択します。
一致するオーダーが見つからない場合、ACME 自動化要求は新規の登録として扱われます。
要求を強制的に新規の登録として扱うには、ACME URL に ?action=enrollを付加します。
デフォルトの ACME 自動化アクション
既存の証明書オーダーを検出した場合、CertCentral はサードパーティ ACME 自動化要求に対して以下のようなデフォルトのアクションを適用します。
標準プランの場合は、証明書の更新期間内であれば証明書に対して
renewを実行します。そうでない場合は、元と同じオプションで新しい証明書に対してenrollを実行します。複数年プランの場合、オーダーの更新期間内であれば証明書に対して
renewを実行します。そうでない場合はreissueを実行(オーダーの次の証明書を取得)します。
注記
標準証明書の場合、更新期間は有効期限の 32 日前から始まります。
複数年証明書の場合、オーダーの更新期間は有効期限の 90 日前から始まります。