Certbot: NGINX 用のプライベート CA マネージャー証明書を発行してインストールし、値は CSR ファイルから読み取る
コマンド構文
コマンドラインプロンプトで以下のコマンド構文を使用し、証明書署名要求(CSR)ファイルから証明書値を読み取って、NGINX Web サーバー用のプライベート CA マネージャー証明書を発行し、インストールします。
sudo certbot --nginx --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} --csr {MY-CSR-FILE}中括弧で囲まれたコマンド引数の値は、以下の説明に従って入力してください。
コマンド引数 | 説明 |
|---|---|
| EAB 鍵識別子(KID)。DigiCert® Trust Lifecycle Manager アカウントの場合は、証明書プロファイルを使用します。 |
DigiCert® Trust Lifecycle Manager アカウントの場合は、証明書プロファイルを使用します。 | EAB HMAC キーを使用します。 |
| ホスト型 DigiCert® ONE アカウントの場合は、https://one.digicert.com/mpki/api/v1/acme/v2/directory を使用します。 |
| 現在のアプリケーションの Certbot 設定ファイルへのローカルパスを使用します。 |
| 証明書署名要求(CSR)ファイルへのパス。 |
コマンドの例:
sudo certbot --nginx --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_other_webserver_config/ --csr my_csr_file.csr
使用上の注意
-dオプションでコマンドラインから入力する代わりに CSR ファイルから証明書ドメインを読み取る場合は、--csrオプションを使用します。--csrオプションを使用すると、DigiCert® Trust Lifecycle Manager で要求された証明書プロファイルは CA マネージャープライベートサーバー証明書テンプレートに基づいている必要があり、サブジェクト DN の[コモンネーム]フィールドではFrom CSRオプションが選択されている必要があります。「プライベート CA マネージャー証明書用の ACME ベースのプロファイルを作成する」を参照してください。要求された証明書が既存のオーダーと一致する場合、DigiCert® Trust Lifecycle Manager はそのオーダーにデフォルトの自動化アクションを適用します(「ACME 自動化アクション」を参照)。一致するオーダーが存在しない場合、または ACME URL に
?action=enrollが含まれる場合、Trust Lifecycle Manager はそれを新規オーダーとして扱い、新しい証明書を登録します。このコマンドが機能するのは、DigiCert® Private CA で CA から発行されたプライベート証明書に対してのみです。パブリック証明書の場合、Certbot を通じてドメインを検証する追加のオプションも使用する必要があります。例については、こちら(DNS-01 検証方法)と、こちら(HTTP-01 検証方法)を参照してください。