トラブルシューティング:ACME クライアント

CertCentral は、ACME プロトコルを使用して、ウェブサーバやポイント・オブ・サービスデバイスなど、専用ホスト上で証明書要求を自動化します。DigiCert は、希望する ACME クライアントを使用することをお勧めします。ただし、当社では EFF の Certbot をすべての例の参照クライアントとして使用します。他のクライアントへの実装は、これとは異なる場合があります。

シナリオ

CertCentral は、古い ACME ディレクトリ URL と関連づけられた証明書を発行します。

  1. 管理者は、ACME クライアントを古い ACME Directoryクライアント URL で使用します。
  2. 管理者は、新しい ACME ディレクトリ URL を使用して、新しい証明書を取得します。
  3. CertCentral はまた、新しい URL ではなく、古い ACME ディレクトリ URL を使用して、証明書を発行します。

対処方法

新しい ACME ディレクトリ URL に関連づけられた証明書を取得するには、新しいディレクトリを作成し、クライアント要求時に config-dir パラメータを入力します。

  1. 新しい証明書に構成ディレクトリを作成します。

    例えば:

    C:\<ConfigDirectory >

  2. 構成ディレクトリ、ACME ディレクトリ URL、HMAC キー、およいb KID パラメータを指定するコマンドを実行します。

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

シナリオ

失効になった ACME ディレクトリ URL は、新しい ACME ディレクトリ URL の証明書取得を妨害します。

  1. 管理者は、ACME クライアントを古い ACME Directoryクライアント URL で使用します。
  2. 管理者は、新しい ACME ディレクトリ URL を使用して、新しい証明書を取得します。
  3. 管理者は、古い ACME ディレクトリ URL を失効にします。
  4. CertCentral はまた、新しい URL ではなく、古い ACME ディレクトリ URL を使用して、証明書を発行します。

対処方法

新しい ACME ディレクトリ URL と関連づけられた証明書を取得する:

  1. 失効した ACME ディレクトリ URL で構成した以前発行の証明書の構成ディレクトリを削除します。

  2. 新しい証明書に構成ディレクトリを作成します。

    例えば:

    C:\<ConfigDirectory >

  3. 構成ディレクトリ、ACME ディレクトリ URL、HMAC キー、およいb KID パラメータを指定するコマンドを実行します。

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

シナリオ

タイムアウトエラー

  • 証明書要求と関連づけられた組織が認証されていない場合。
  • 証明書要求と関連づけられたドメインが認証されていない場合。
  • 証明書要求が 24 時間以内に承認されない場合。
  • 証明書承認時間が 90 秒以上の場合。

対処方法

証明書要求を行う前に:

  • 組織が認証されているか確認します。
  1. [証明書] >[組織]. の順に進みます。

  2. [組織]ページで、証明書を要求した組織のステータスをチェックします。

組織が認証されていない場合、その要求を再確認し、認証のため再提出します。詳細は、「組織を管理する」 を参照してください。

  • ドメインが認証されているか確認します。
  1. [証明書] >[ドメイン]. の順に進みます。

  2. [ドメイン]ページで、証明書を要求したドメインのステータスをチェックします。

ドメインが認証されていない場合、その要求を再確認し、認証のため再提出します。詳細は、「ドメインを管理する」 を参照してください。

  • 証明書要求がオーダーを行ってから 24 時間以内に承認されているか確認します。
  1. [証明書] >[要求]. の順に進みます。

  2. [要求]ページで、[証明書オーダー]リンクを探してクリックし、要求を承認します。

  • 要求した証明書の自動承認設定が有効になっているか確認します。
  1. [設定] >[環境設定] の順に進みます。

  2. [承認ステップ]セクションの[詳細設定]下の[管理グループ環境設定]で、「承認ステップをスキップする: 証明書オーダープロセスから承認ステップを削除する」 を選択します。