手動 ACME 自動化統合ユーザーガイド

ACME + CertCentral では、優先 ACME クライアントを利用して SSL/TLS 証明書展開を自動化し、手動の証明書インストールの完了に費やした時間を省きます。

CertCentral ACME プロトコルサポートでお客様は OV と EV SSL/TLS 1年、2年およびカスタム有効期間証明書展開を自動化できます。当社の ACME プロトコルは Signed HTTP Exchange 証明書プロフィールオプションもサポートし、お客様はお使いの Signed HTTP Exchange 証明書展開 (Signed HTTP Exchange 証明書用の ACME ディレクトリ URLを参照してください) を自動化することができます。

これは、CertCentral の ACME プロトコルサポートのオープンベータ期間です。現在既知の問題リストは、Known issues既知の問題 を参照してください。エラーを報告するには、 サポートチームにお問い合わせください。

開始する前に

開始前に、これらの前提条件が満たされていることを確認します。

  • CertCentral アカウントの管理者またはマネージャ
    CertCentral アカウントの ACME にアクセスするには、ACME ディレクトリ URL ページ (サイドバーメニューで[自動化] >[ACME ディレクトリ URL]の順でクリック) に移動します。
  • ウェブサーバーへのルートアクセス
    これらの指示は Apache のみが対象です。ただし、DigiCert ACME は、すべてのウェブサーバーと対応しています。
  • 作動 ACME クライアントがお使いのウェブサーバー、できれば、CertBot にインストールされている
    DigiCert では、優先 ACME クライアントの使用をお勧めします。ただし、当社が提供するのは CertBot に関する指示のみです。CertBot のインストールガイドは EFF から入手できます。「EFF の certbot」 を参照してください。
  • お使いの CertCentral アカウントで自動証明書申請の承認を有効にしました。「自動証明書申請の承認を有効にする」を参照してください。
  • 即時発行準備ができるようにドメインと組織を事前認証。
    ACME 即時発行が作動するには、お使いの ACME 証明書申請で使用したドメインと組織を事前認証しなければなりません。「組織を管理する」 および 「ドメインを管理する」を参照してください。

DigiCert ACME Beta は、生産環境での使用には、お勧めしません。

ACME ディレクトリ URL を作成する

はじめに、一意の ACME ディレクトリ URL をお使いの CertCentral アカウントに生成します。ACME ディレクトリ URL を CertBot 証明書申請コマンドに含める必要があります。

  1. サイドバーメニューのお使いの CertCentral アカウントで、[自動化] >[ACME ディレクトリ URL] の順でクリックします。

    ACME Directory URLs page

  1. [ACME キー] ページで、[ACME ディレクトリ URLを追加する] をクリックします。

  1. [ACME ディレクトリ URL を追加する]ポップアップメニューで、URL に分かりやすい 名前 を入力します。

  1. [製品] ドロップダウンで、ACME を使用して発行する証明書を選択します。

現在、DigiCert ACME は、OV と EV TLS/SSL 証明書のみサポートしています。

  1. [組織] ドロップダウンで、証明書を発行する、事前認証済 [組織] を選択します。

  1. [ACME ディレクトリ URL を追加する]をクリックします。

  1. [新しい ACME ディレクトリ URL]ポップアップウインドウで、一意の ACME URL をコピーして保存します。

    この URL を使用し、ACME で証明書を申請する必要があります。

ACME ディレクトリ URL を生成するときに一度のみ、表示されます。失くした ACME URL を取り込む方法はありません。ACME URL を失くした場合、その失くした URL を失効にして、新しいものを生成する必要があります。

  1. [再表示されないことを理解しました]をクリックします。

新しい ACME ディレクトリ URL が[アカウントアクセス]ページの URL リストに追加されます (サイドバーメニューで、[自動化] > [ACME ディレクトリ URL]の順でクリック)。証明書についての詳細は、ACME ディレクトリ URL からオーダーできます。URL 説明横の情報アイコンをクリックします。

ACME:証明書を発行およびインストールする

certbot-auto スクリプトをインストールした場合、コマンドの certbot./certbot-auto を入れ替えます。サーバーに certbot-auto のパス構成が追加されていない場合、そのパスを指定する必要がある場合があります。

ACME エラーコード:
ACME は、CertCentral API で返したのと同じエラーおよびエラーメッセージを返してきます。エラーコードおよびその意味のリストについては、「エラー」を参照してください。

  1. 希望の ACME クライアントを使用して SSH からお使いのウェブサーバーに接続します

  1. 端末プロンプト時、CertBot および下のコマンドを使用して、証明書を申請します。

    • YOUR-ACME-URL を、以前作成の ACME ディレクトリ URL と入れ替えます (「ACME ディレクトリ URL を作成する」を参照)。
    • FQDN を、証明書を安全保護する完全適格ドメイン名と入れ替えたかを確認します。各 FQDN について、他の -d オプションを追加します。
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

これは、参照として使用する完全コマンドの例です。

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. CertBot コマンドを入力する,必要に応じてカスタマイズ

    これらの指示で使用するコマンドとオプションについてのその他の情報は、「ACME オプション」を参照してください。

  1. お客様は、サービス条件を承認するよう求められます。 "A” と入力し、enterを押します。

    現在、DigiCert には、ACME Beta 向けの追加サービス条件はありません。

申請中に Cerbot が一致する仮想ホストを見つけることができない FQDN が含まれる場合、証明書をインストールする仮想ホストを選択するよう要求されます。
Apache で、ServerName が FQDN と一致するかどうか、仮想ディレクトリリストをチェックします。

  1. HTTP トラフィックを HTTPS にリダイレクトするかどうかを選択します。

    リダイレクトを選択すると、お使いのウェブサイトへの HTTP アクセスが無効になります。

  1. 終了したら、お使いのサーバーに成功メッセージが表示されます。“おめでとうございます!お使いの ドメイン…”が正常に有効になりました

おめでとうございます!ACME 証明書申請が完了し、新しく発行された証明書がお使いのウェブサーバーにインストールされます。お使いのウェブサイトを閲覧し、インストールが正常に完了したことを確認することができます。

次の操作

ACME 証明書申請が完了しました、。新しく発行された証明書がお使いのウェブサーバ-にインストールされます。お使いのウェブサイトから、インストールが正常に完了していることを確認します。

ACME ディレクトリ URL をもう一度利用し、同じ証明書および事前認証済組織について追加証明書申請を行うことができます。

別の製品または組織の証明書を申請するには、その製品または組織向けに新しい一意の ACME ディレクトリ URL を作成します。[ACME ディレクトリ URL を作成する]を参照してください。

ACME オプション

  • certbot: CertBot 実行ファイルを実行します。
  • certbot-auto: certbot-auto スクリプトがインストールされている場合に certbot の代わりに使用します。サーバーに certbot-auto のパス構成が追加されていない場合、そのパスを指定する必要がある場合があります。
  • --apache: お客様向けに証明書をインストールする Apache CertBot プラグインを指定します。オプション
  • --register-unsafely-without-email: このオプションにより、ACME アカウントの作成をスキップすることができます。お客様の申請はすでに CertCentral アカウントに接続されているため、この操作は必要ありません。オプション.
  • --server “URL:ACME サーバーがお客様の申請の何に対応するかを指定します。このオプション後、ACME ディレクトリ URL にダブルクオーテーションを付けます。
  • -d YOURドメイン:証明書に含まれる完全適格ドメイン名証明書の各 FQDN については、a –d YOURDOMAIN を含めます。このオプションを含めない場合、CertBot が、お客様の構成した仮想ホストに基づき、どのドメインを含めるかについて確認してきます。オプション

CertBot コマンドの全リストは、certbot –help のある端末から入手できます。コマンドは、CertBot ドキュメンテーションウェブサイトでも利用できます。

関連トピック