ACME + CertCentral では、優先 ACME クライアントを利用して SSL/TLS 証明書展開を自動化し、手動の証明書インストールの完了に費やした時間を省きます。
CertCentral ACME プロトコルサポートでお客様は OV と EV SSL/TLS 1年、2年およびカスタム有効期間証明書展開を自動化できます。当社の ACME プロトコルは Signed HTTP Exchange 証明書プロフィールオプションもサポートし、お客様はお使いの Signed HTTP Exchange 証明書展開 (Signed HTTP Exchange 証明書用の ACME ディレクトリ URLを参照してください) を自動化することができます。
これは、CertCentral の ACME プロトコルサポートのオープンベータ期間です。現在既知の問題リストは、Known issues既知の問題 を参照してください。エラーを報告するには、 サポートチームにお問い合わせください。
開始前に、これらの前提条件が満たされていることを確認します。
DigiCert ACME Beta は、生産環境での使用には、お勧めしません。
はじめに、一意の ACME ディレクトリ URL をお使いの CertCentral アカウントに生成します。ACME ディレクトリ URL を CertBot 証明書申請コマンドに含める必要があります。
サイドバーメニューのお使いの CertCentral アカウントで、[自動化] >[ACME ディレクトリ URL] の順でクリックします。
[ACME キー] ページで、[ACME ディレクトリ URLを追加する] をクリックします。
[ACME ディレクトリ URL を追加する]ポップアップメニューで、URL に分かりやすい 名前 を入力します。
[製品] ドロップダウンで、ACME を使用して発行する証明書を選択します。
現在、DigiCert ACME は、OV と EV TLS/SSL 証明書のみサポートしています。
[組織] ドロップダウンで、証明書を発行する、事前認証済 [組織] を選択します。
[ACME ディレクトリ URL を追加する]をクリックします。
[新しい ACME ディレクトリ URL]ポップアップウインドウで、一意の ACME URL をコピーして保存します。
この URL を使用し、ACME で証明書を申請する必要があります。
ACME ディレクトリ URL を生成するときに一度のみ、表示されます。失くした ACME URL を取り込む方法はありません。ACME URL を失くした場合、その失くした URL を失効にして、新しいものを生成する必要があります。
[再表示されないことを理解しました]をクリックします。
新しい ACME ディレクトリ URL が[アカウントアクセス]ページの URL リストに追加されます (サイドバーメニューで、[自動化] > [ACME ディレクトリ URL]の順でクリック)。証明書についての詳細は、ACME ディレクトリ URL からオーダーできます。URL 説明横の情報アイコンをクリックします。
certbot-auto スクリプトをインストールした場合、コマンドの certbot
と ./certbot-auto
を入れ替えます。サーバーに certbot-auto のパス構成が追加されていない場合、そのパスを指定する必要がある場合があります。
ACME エラーコード:
ACME は、CertCentral API で返したのと同じエラーおよびエラーメッセージを返してきます。エラーコードおよびその意味のリストについては、「エラー」を参照してください。
希望の ACME クライアントを使用して SSH からお使いのウェブサーバーに接続します。
端末プロンプト時、CertBot および下のコマンドを使用して、証明書を申請します。
YOUR-ACME-URL
を、以前作成の ACME ディレクトリ URL と入れ替えます (「ACME ディレクトリ URL を作成する」を参照)。FQDN
を、証明書を安全保護する完全適格ドメイン名と入れ替えたかを確認します。各 FQDN について、他の -d
オプションを追加します。sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN
これは、参照として使用する完全コマンドの例です。
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
CertBot コマンドを入力する,必要に応じてカスタマイズ
これらの指示で使用するコマンドとオプションについてのその他の情報は、「ACME オプション」を参照してください。
お客様は、サービス条件を承認するよう求められます。 "A” と入力し、enterを押します。
現在、DigiCert には、ACME Beta 向けの追加サービス条件はありません。
申請中に Cerbot が一致する仮想ホストを見つけることができない FQDN が含まれる場合、証明書をインストールする仮想ホストを選択するよう要求されます。
Apache で、ServerName が FQDN と一致するかどうか、仮想ディレクトリリストをチェックします。
HTTP トラフィックを HTTPS にリダイレクトするかどうかを選択します。
リダイレクトを選択すると、お使いのウェブサイトへの HTTP アクセスが無効になります。
終了したら、お使いのサーバーに成功メッセージが表示されます。“おめでとうございます!お使いの ドメイン…”が正常に有効になりました
おめでとうございます!ACME 証明書申請が完了し、新しく発行された証明書がお使いのウェブサーバーにインストールされます。お使いのウェブサイトを閲覧し、インストールが正常に完了したことを確認することができます。
ACME 証明書申請が完了しました、。新しく発行された証明書がお使いのウェブサーバ-にインストールされます。お使いのウェブサイトから、インストールが正常に完了していることを確認します。
ACME ディレクトリ URL をもう一度利用し、同じ証明書および事前認証済組織について追加証明書申請を行うことができます。
別の製品または組織の証明書を申請するには、その製品または組織向けに新しい一意の ACME ディレクトリ URL を作成します。[ACME ディレクトリ URL を作成する]を参照してください。
certbot
: CertBot 実行ファイルを実行します。certbot-auto
: certbot-auto スクリプトがインストールされている場合に certbot の代わりに使用します。サーバーに certbot-auto のパス構成が追加されていない場合、そのパスを指定する必要がある場合があります。--apache
: お客様向けに証明書をインストールする Apache CertBot プラグインを指定します。オプション--register-unsafely-without-email
: このオプションにより、ACME アカウントの作成をスキップすることができます。お客様の申請はすでに CertCentral アカウントに接続されているため、この操作は必要ありません。オプション.--server “
URL
”
:ACME サーバーがお客様の申請の何に対応するかを指定します。このオプション後、ACME ディレクトリ URL にダブルクオーテーションを付けます。-d YOUR
ドメイン
:証明書に含まれる完全適格ドメイン名証明書の各 FQDN については、a –d YOURDOMAIN を含めます。このオプションを含めない場合、CertBot が、お客様の構成した仮想ホストに基づき、どのドメインを含めるかについて確認してきます。オプションCertBot コマンドの全リストは、certbot –help のある端末から入手できます。コマンドは、CertBot ドキュメンテーションウェブサイトでも利用できます。
関連トピック