手動 ACME 自動化統合ユーザーガイド

ACME + CertCentral では、優先 ACME クライアントを利用して SSL/TLS 証明書展開を自動化し、手動の証明書インストールの完了に費やした時間を省きます。

CertCentral ACME プロトコルサポートでは、OV と EV SSL/TLS 1 年およびカスタム有効期間証明書デプロイメントを自動化できます。当社の ACME プロトコルは Signed HTTP Exchange 証明書プロファイルオプションもサポートし、お客様はお使いの Signed HTTP Exchange 証明書展開 (Signed HTTP Exchange 証明書用の ACME ディレクトリ URLを参照してください) を自動化することができます。

現在既知の問題のリストは、「自動化:既知の問題」 を参照してください。エラーを報告するには、 サポートチームにお問い合わせください。。

開始する前に

開始前に、これらの前提条件が満たされていることを確認します。

  • CertCentral アカウントの管理者またはマネージャ
    CertCentral アカウントの ACME にアクセスするには、ACME ディレクトリ URL ページ (サイドバーメニューで[自動化] >[ACME ディレクトリ URL]の順でクリック) に移動します。
  • ウェブサーバへのルートアクセス
    これらの指示は Apache のみが対象です。ただし、DigiCert ACME は、すべてのウェブサーバと対応しています。
  • 作動 ACME クライアントがお使いのウェブサーバ、できれば、CertBot にインストールされている
    DigiCert では、優先 ACME クライアントの使用をお勧めします。ただし、当社が提供するのは CertBot に関する指示のみです。CertBot のインストールガイドは EFF から入手できます。「EFF の certbot」 を参照してください。
  • お使いの CertCentral アカウントで自動証明書要求の承認を有効にしました。「自動証明書要求の承認を有効にする」を参照してください。
  • 即時発行準備ができるようにドメインと組織を事前認証。
    ACME 即時発行が作動するには、お使いの ACME 証明書要求で使用したドメインと組織を事前認証しなければなりません。「組織を管理する」 および 「ドメインを管理する」を参照してください。

CertBot 以外に、DigiCert は、cert-manager サポートも行い、SSL/TLS 証明書を作成および管理できます。「cert-manager と DigiCert ACME サービスを Kubernetes で構成する」 を参照してください。

ACME ディレクトリ URL を作成する

はじめに、一意の ACME ディレクトリ URL をお使いの CertCentral アカウントに生成します。外部アカウントバインディング(EAB) を CertBot 証明書要求コマンドとあわせて ACME ディレクトリ URL を入れる必要があります。

  1. サイドバーメニューのお使いの CertCentral アカウントで、[自動化] >[ACME ディレクトリ URL] の順でクリックします。

  1. [ACME キー] ページで、[ACME ディレクトリ URLを追加する] をクリックします。

  1. [ACME ディレクトリ URL を追加する]ポップアップメニューで、URL に分かりやすい 名前 を入力します。

  1. [製品] ドロップダウンで、ACME を使用して発行する証明書を選択します。

現在、DigiCert ACME は、OV と EV TLS/SSL 証明書のみサポートしています。

  1. 管理グループ]ドロップダウンで、管理グループを ACME ディレクトリ URL に関連づけます。

この URL から発行された証明書はすべて、選択した管理グループに添付されます。

  1. [組織] ドロップダウンで、証明書を発行する、事前認証済 [組織] を選択します。

  1. (オプション) 複数年プランアカウントがある場合は、[複数年カバレッジ長] をドロップダウンから選択します。

  1. [有効期間] 下で、,[カスタム長] を選択し、[日数] ボックスに数字を入力します。

  1. [ACME ディレクトリ URL を追加する]をクリックします。

  1. [新しい ACME ディレクトリ URL]ポップアップウインドウで、外部アカウントバインディング(EAB)とあわせて一意の ACME URL をコピーして保存します。

    この情報で、ACME を使用して証明書を要求する必要があります。

ACME ディレクトリ URL を生成するときに、URL、KID および HMAC キーが一度のみ表示されます。失くした情報を取り込む方法はありません。ACME URL 詳細を失くした場合、その失くした URL を失効にして、新しいものを生成する必要があります。

  1. [再表示されないことを理解しました]をクリックします。

新しい ACME ディレクトリ URL が[アカウントアクセス]ページの URL リストに追加されます (サイドバーメニューで、[自動化] > [ACME ディレクトリ URL]の順でクリック)。証明書についての詳細は、ACME ディレクトリ URL からオーダーできます。URL 説明横の情報アイコンをクリックします。

ACME:証明書を発行およびインストールする

certbot-auto スクリプトをインストールした場合、コマンドの certbot./certbot-auto を入れ替えます。サーバに certbot-auto のパス構成が追加されていない場合、そのパスを指定する必要がある場合があります。

ACME エラーコード:
ACME は、CertCentral API で返したのと同じエラーおよびエラーメッセージを返してきます。エラーコードおよびその意味のリストについては、「エラー」を参照してください。

  1. 希望の ACME クライアントを使用して SSH からお使いのウェブサーバに接続します

  1. 端末プロンプト時、CertBot および下のコマンドを使用して、証明書を要求します。

    • YOUR-KEY-IDENTIFIER を外部アカウントバインディング KID と入れ替えたか確認します。
    • YOUR-HMAC-KEY を外部アカウントバインディング HMAC キーと入れ替えたか確認します。
    • YOUR-ACME-URL を、以前作成の ACME ディレクトリ URL と入れ替えます (「ACME ディレクトリ URL を作成する」を参照)。
    • FQDN を、証明書を安全保護する完全適格ドメイン名と入れ替えたかを確認します。各 FQDN について、他の -d オプションを追加します。
bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

これは、外部アカウントバインディングについて参照として使用する完全コマンドの例です。

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  1. CertBot コマンドを入力する,必要に応じてカスタマイズ

    これらの指示で使用するコマンドとオプションについてのその他の情報は、「ACME オプション」を参照してください。

  1. お客様は、サービス条件を承認するよう求められます。 "A” と入力し、enterを押します。

    現在、DigiCert には、ACME 向けの追加サービス条件はありません。

要求中に Cerbot が一致する仮想ホストを見つけることができない FQDN が含まれる場合、証明書をインストールする仮想ホストを選択するよう要求されます。
Apache で、ServerName が FQDN と一致するかどうか、仮想ディレクトリリストをチェックします。

  1. HTTP トラフィックを HTTPS にリダイレクトするかどうかを選択します。

    リダイレクトを選択すると、お使いのウェブサイトへの HTTP アクセスが無効になります。

  1. 終了したら、お使いのサーバに成功メッセージが表示されます。“おめでとうございます!お使いの ドメイン…”が正常に有効になりました

おめでとうございます!ACME 証明書要求が完了し、新しく発行された証明書がお使いのウェブサーバにインストールされます。お使いのウェブサイトを閲覧し、インストールが正常に完了したことを確認することができます。

ACME:証明書を更新および再発行する

証明書は有効期限が切れた、または更新期限が切れた場合更新し、失効または失くした場合証明書を再発行します。

更新および再発行には、下の CertBot コマンドを使用します。

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

下の例のように、orderIdaction を URL, に追加する必要があります。

これは、更新の参照として使用する完全コマンドの例です。

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

これは、再発行の参照として使用する完全コマンドの例です。

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

複数年プランアカウントの場合:

  • オーダーカバレッジの有効期限切れが間近の場合、証明書を苦心します。
  • オーダーカバレッジ内で失効または有効期限切れが間近の場合、証明書を再発行します。

次の操作

ACME 証明書要求が完了しました、。新しく発行された証明書がお使いのウェブサーバ-にインストールされます。お使いのウェブサイトから、インストールが正常に完了していることを確認します。

ACME ディレクトリ URL をもう一度利用し、同じ証明書および事前認証済組織について追加証明書要求を行うことができます。

別の製品または組織の証明書を要求するには、その製品または組織向けに新しい一意の ACME ディレクトリ URL を作成します。[ACME ディレクトリ URL を作成する]を参照してください。

ACME オプション

  • certbot: CertBot 実行ファイルを実行します。
  • certbot-auto: certbot-auto スクリプトがインストールされている場合に certbot の代わりに使用します。サーバに certbot-auto のパス構成が追加されていない場合、そのパスを指定する必要がある場合があります。
  • --apache: お客様向けに証明書をインストールする Apache CertBot プラグインを指定します。オプション
  • --register-unsafely-without-email: このオプションにより、ACME アカウントの作成をスキップすることができます。お客様の要求はすでに CertCentral アカウントに接続されているため、この操作は必要ありません。オプション.
  • --server “URL:ACME サーバがお客様の要求の何に対応するかを指定します。このオプション後、ACME ディレクトリ URL にダブルクオーテーションを付けます。
  • --eab-kid “YOURKID :共通 URL の一部であるキー識別子を指定します。
  • --eab-hmac-key “YOURHMACKEY:応答への署名に使用するキーを指定します。
  • -d YOURドメイン:証明書に含まれる完全適格ドメイン名証明書の各 FQDN については、a –d YOURDOMAIN を含めます。このオプションを含めない場合、CertBot が、お客様の構成した仮想ホストに基づき、どのドメインを含めるかについて確認してきます。オプション
  • orderId “YOURオーダーID:既存の証明書のオーダー ID タイプを指定します。
  • action “YOUR操作:要求中の証明書に関する操作を指定します。

CertBot コマンドの全リストは、certbot –help のある端末から入手できます。コマンドは、CertBot ドキュメンテーションウェブサイトでも利用できます。

関連トピック