Skip to main content

従来の CertCentral ACME 認証情報を使用する

2024 年 1 月 30 日、DigiCert は以下をサポートする CertCentral ACME サービスの新しいバージョンをリリースしました。

  • ACME ベースの DV 証明書の自動化。

  • ACME プロトコルを介した動的ドメイン制御検証チェック。

  • 証明書アクション (登録/更新/再発行/複製) の自動選択と、新しい登録を上書きして強制する機能。

2024 年 1 月 30 日のリリースより前に CertCentral で作成された ACME 認証情報は、上記の機能をサポートしていないため、レガシーとみなされます。 DigiCert では、新しい ACME 認証情報を追加することをお勧めします。 従来の ACME 認証情報を置き換えます あなたのアカウントに。

警告

従来の ACME 資格情報を使用して証明書を要求すると、CertCentral は ACME プロトコルとは関係なく、すべてのドメイン検証チェックをそれ自体で処理します。 FQDN は CertCentral プラットフォームで事前検証されており、アクティブであり、 検証の再利用 期間。

ACME 自動化イベント中は、要求されても ACME プロトコル自体によって認証は実行されません。すべての認証チェックは、CertCentral のエンタープライズ登録局 (RA) サービスによってアウトオブバンドで実行されます。

従来の ACME 認証情報を置き換える

アカウントに従来の ACME 認証情報がある場合は、テーブルの上にバナー メッセージが表示されます。 ACME ディレクトリの URL CertCentral のページ。従来の ACME 認証情報の各セットには、 状態 表の列。

従来の ACME 認証情報を置き換えるには、次の手順を実行します。

  1. 証明書製品とレガシー ACME 資格情報の設定を確認します。これは、 ACME ディレクトリの URL ページの横にあるツールチップを選択して、 説明 カラム。

  2. 新しい ACME 認証情報を追加する 同じ証明書製品と設定の場合。ホスト自動化にサードパーティーACMEクライアントを使用する

  3. ACME クライアントを構成する 従来の認証情報の代わりに新しい ACME 認証情報を使用します。ホスト自動化にサードパーティーACMEクライアントを使用する

注記

最新の CertCentral ACME 自動化機能の使用方法の詳細については、以下を参照してください。 Request and manage certificates with ACME

従来の ACME 認証情報の Certbot の例

従来の ACME 認証情報を引き続き使用するには:

  • 組織とドメインの両方が CertCentral で事前検証されていることを確認してください。接触 DigiCert 検証サポート これに関して助けが必要な場合。

  • 新規登録以外の証明書アクションの場合は、以下の Certbot の例に示すように、既存の注文 ID 番号と要求された証明書アクションを ACME URL に追加します。

証明書を発行してインストールする

certbot-autoスクリプトをインストールした場合は、コマンドのcertbot./certbot-autoに置き換えてください。サーバーのPATH設定にcertbot-autoのパスが追加されていない場合は、そのパスを指定する必要がある場合があります。

  1. SSHなどを使用して、ウェブサーバでターミナルセッションを開きます。

  2. ターミナルのプロンプトで、Certbotと以下のコマンド構文を使用して証明書を申請します。

    • YOUR-KEY-IDENTIFIERを外部アカウントバインディングのKIDに置き換えるようにしてください。

    • YOUR-HMAC-KEYを外部アカウントバインディングのHMAC鍵に置き換えるようにしてください。

    • YOUR-ACME-URLを、以前に作成したACMEディレクトリURLに置き換えるようにしてください。

    • FQDNを、証明書でセキュア化する完全修飾ドメイン名に置き換えるようにしてください。FQDNごとに-dオプションを追加します。

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      例:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  3. 必要に応じてカスタマイズしたCertbotコマンドを入力します

    これらの手順で使用されているコマンドとオプションの詳細については、「Certbot コマンドのオプション」を参照してください。

  4. サービス条件への同意を求められます。「A」を入力してEnterを押します。

    現在、デジサートにはACMEに関する追加のサービス条件はありません。

    Cerbotが一致する仮想ホストを見つけられないFQDNが申請に含まれている場合は、証明書をインストールする仮想ホストを選択するプロンプトが表示されます。Apacheでは、ServerNameの仮想ディレクトリリストをチェックして、FQDNを一致させます。

  5. HTTPトラフィックをHTTPSにリダイレクトするかどうかを選択します。

    リダイレクトを選択すると、ウェブサイトへのHTTPアクセスが無効化されます。

  6. 終了したら、サーバーが「Congratulations!You have successfully enabled your domains…」という成功メッセージを表示します。

ACME証明書申請が完了し、新しく発行された証明書がウェブサーバにインストールされます。ウェブサイトにアクセスして、証明書がインストールされていることを確認してください。

注記

ACMEのエラーコード: ACMEは、CertCentral APIで返されるものと同じエラーとエラーメッセージを返します。エラーコードとそれらの意味のリストについては、「エラー」を参照してください。

証明書の更新と再発行を行う

証明書の有効期限が切れた、または更新が必要な場合は証明書を更新します。証明書が欠落している、または失効した場合は証明書を再発行します。

更新と再発行を行うには、このCertbotコマンド構文を使用します。

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

以下にあるように、URLにorderIdactionを付加してください。

例(更新):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

例(再発行):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

注記

複数年プランのアカウントの場合:

  • オーダーのプラン期間の有効期限が近づいたときに証明書を更新します。

  • オーダーのプラン期間内で証明書が失効した、または有効期限が近づいた場合に証明書を再発行します。

複製証明書を発行する

複数のサーバー間でのセキュリティを向上させ、証明書のインストールを簡素化するため、各サーバー用の複製証明書を発行します。

複製証明書の詳細は、元の証明書と同じになります。複製証明書では、デジサートが証明書の以前のコピーを失効させる必要は一切ありません。

複製証明書を発行するには、このCertbotコマンド構文を使用します。

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

以下にあるように、URLにorderIdactionを付加してください。

例:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Certbot コマンドのオプション

  • certbot:Certbotの実行可能ファイルを実行します。

  • certbot-auto:certbot-autoスクリプトがインストールされているときに、certbotの代わりに使用します。サーバーのPATH設定にcertbot-autoのパスが追加されていない場合は、そのパスを指定する必要がある場合があります。

  • --apache:ユーザーに代わって証明書をインストールするApache Certbotプラグインを指定します。これはオプションです。

  • --register-unsafely-without-email:ACMEアカウントの作成をスキップできるようにします。申請はすでにCertCentralアカウントに関連付けられているため、この作業は必要ありません。これはオプションです

  • --server “ URL :申請に対応する必要があるACMEサーバーを指定します。このオプション後に、二重引用符で囲まれたACMEディレクトリURLを設置してください。

  • --eab-kid=YOURKID:共通URLの一部である鍵識別子を指定します。

  • --eab-hmac-key=YOURHMACKEY:応答への署名に使用する鍵を指定します。

  • -d YOUR DOMAIN:証明書に含まれる完全修飾ドメイン名です。証明書内のFQDNごとに–d YOURDOMAINを含めてください。このオプションが含められていない場合は、設定された仮想ホストに基づいて含めるドメインに関するプロンプトをCertbotが表示します。これはオプションです。

  • orderId “YOURORDERID:既存の証明書のオーダーIDタイプを指定します。

  • action “YOURACTION:申請を行っている証明書に対するアクションを指定します。

Certbotコマンドの完全なリストは、certbot –helpを使用することでターミナル経由で入手できます。または、Certbotドキュメントウェブサイトでコマンドのリストを参照してください。