레거시 CertCentral ACME 자격 증명 사용
2024년 1월 30일에 DigiCert는 다음을 지원하는 CertCentral ACME 서비스의 새 버전을 출시했습니다.
DV 인증서에 대한 ACME 기반 자동화입니다.
ACME 프로토콜을 통한 동적 도메인 제어 유효성 검사.
새로운 등록을 재정의하고 강제하는 기능을 갖춘 인증서 작업(등록/갱신/재발급/복제) 자동 선택.
2024년 1월 30일 릴리스 이전에 CertCentral에서 생성된 모든 ACME 자격 증명은 위 기능을 지원하지 않으며 레거시 자격 증명으로 간주됩니다. DigiCert는 다음에 새로운 ACME 자격 증명을 추가할 것을 권장합니다. 레거시 ACME 자격 증명을 교체합니다. 귀하의 계정에.
주의
레거시 ACME 자격 증명을 사용하여 인증서를 요청하면 CertCentral은 ACME 프로토콜과 관계없이 모든 도메인 유효성 검사를 자체적으로 처리합니다. FQDN은 CertCentral 플랫폼에서 사전 검증되어야 하며 활성화되어 있어야 합니다. 검증 재사용 기간.
ACME 자동화 이벤트 중에는 요청이 있어도 ACME 프로토콜 자체에서 인증이 수행되지 않습니다. 모든 인증 확인은 CertCentral의 기업 등록 기관(RA) 서비스에 의해 대역 외에서 수행됩니다.
레거시 ACME 자격 증명을 교체하세요
계정에 기존 ACME 자격 증명이 있는 경우 테이블 위에 배너 메시지가 표시됩니다. ACME 디렉터리 URL CertCentral의 페이지입니다. 레거시 ACME 자격 증명의 각 세트는 옆에 경고 아이콘으로 표시됩니다. 상태 테이블의 열입니다.
레거시 ACME 자격 증명을 교체하려면:
레거시 ACME 자격 증명에 대한 인증서 제품 및 설정을 확인합니다. 해당 내용은 에서 확인하실 수 있습니다. ACME 디렉터리 URL 페이지 옆에 있는 도구 설명을 선택하여 설명 열.
새로운 ACME 자격 증명 추가 동일한 인증서 제품 및 설정에 대해.
ACME 클라이언트 구성 레거시 자격 증명 대신 새 ACME 자격 증명을 사용합니다.
참고
최신 CertCentral ACME 자동화 기능을 사용하는 방법에 대해 자세히 알아보려면 다음을 참조하세요. Request and manage certificates with ACME
레거시 ACME 자격 증명에 대한 Certbot 예
기존 ACME 자격 증명을 계속 사용하려면:
CertCentral에서 조직과 도메인이 모두 사전 검증되었는지 확인하세요. 연락하다 DigiCert 검증 지원 이에 대한 도움이 필요하다면.
새 등록 이외의 인증서 작업의 경우 아래 Certbot 예제에 표시된 대로 기존 주문 ID 번호와 요청된 인증서 작업을 ACME URL에 추가합니다.
인증서 발급 및 설치
certbot-auto 스크립트를 설치한 경우 명령에서 certbot
을 ./certbot-auto
로 바꿉니다. certbot-auto를 서버의 PATH 구성에 추가하지 않은 경우 경로를 지정해야 할 수도 있습니다.
예를 들어 SSH를 사용하여 웹 서버에서 터미널 세션을 엽니다.
터미널 프롬프트에서 CertBot 및 아래 명령 구문을 사용하여 인증서를 요청합니다.
YOUR-KEY-IDENTIFIER
를 외부 계정 바인딩 KID로 교체합니다.YOUR-HMAC-KEY
를 외부 계정 바인딩 HMAC로 교체합니다.YOUR-ACME-URL
을 이전에 생성한 ACME 디렉터리 URL로 교체해야 합니다.FQDN
을(를) 인증서로 보호하려는 정규화된 도메인 이름으로 교체해야 합니다. 각 FQDN에 대해 추가로-d
옵션을 추가합니다.sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
예제:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
필요에 따라 사용자 지정한 Certbot 명령을 입력합니다.
이 설명에 사용된 명령 및 옵션에 대한 추가 정보는 Certbot 명령 옵션을 참조하십시오.
서비스 약관을 수락하도록 요청을 받을 것입니다. "A”를 입력하고 Enter를 누릅니다.
현재 DigiCert는 ACME에 대한 추가적 서비스 약관은 없습니다.
요청에 Certbot이 찾을 수 없는 가상 호스트를 포함하는 경우 인증서를 설치하려는 가상 호스트를 선택하도록 안내를 받을 것입니다. Apache에서는 ServerName에 대한 가상 디렉터리 목록을 확인하여 FQDN을 일치시킵니다.
HTTP 트래픽을 HTTPS로 리디렉션할 것인지 선택합니다.
리디렉션을 선택하면 웹 사이트에 HTTP 액세스를 사용 중지합니다.
완료했으면 서버는 다음 성공 메시지를 표시합니다. "축하합니다! 도메인을 성공적으로 활성화했습니다..."
ACME 인증서 요청이 완료되고 새로 발급된 인증서가 웹 서버에 설치됩니다. 웹사이트를 방문하여 인증서가 제자리에 있는지 확인하십시오.
참고
ACME 오류 코드: ACME는 CertCentral API와 동일한 오류 및 오류 메시지를 반환합니다. 오류 코드의 목록 및 그 의미는 오류를 참조하십시오.
인증서 갱신 및 재발급
인증서가 만료되었거나 갱신해야 하는 경우 인증서를 갱신합니다. 인증서가 누락되었거나 해지된 경우 인증서를 다시 발급합니다.
갱신 및 다시 발급하려면 아래 Certbot 명령 구문을 사용합니다.
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
아래 예처럼 orderId
및 action
을 URL에 추가합니다.
예 (갱신):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
예 (재발급):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
참고
여러 해 플랜 계정인 경우 다음과 같이 합니다.
주문 적용 기간이 곧 만료되는 경우 인증서를 갱신합니다.
인증서가 주문 적용 기간 내에 해지되었거나 곧 만료되는 경우 다시 발급합니다.
복제본 인증서 발급
보안성을 높이고 여러 서버 사이에 인증서의 설치를 단순화하려면 각 서버에 대해 복제본 인증서를 발급합니다.
복제 인증서의 세부 정보는 원본 인증서와 동일합니다. 복제 인증서는 절대로 DigiCert가 인증서의 이전 사본을 철회할 필요가 없습니다.
복제본 인증서를 발급하려면 아래 Certbot 명령 구문을 사용합니다.
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
아래 예처럼 orderId
및 action
을 URL에 추가합니다.
예제:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com
Certbot 명령 옵션
certbot
: CertBot 실행 파일을 실행합니다.certbot-auto
: certbot-auto 스크립트가 설치된 경우 certbot 대신에 사용합니다. certbot-auto를 서버의 PATH 구성에 추가하지 않은 경우 경로를 지정해야 할 수도 있습니다.--apache
: 인증서를 설치하는 Apache Certbot 플러그인을 지정합니다. 옵션.--register-unsafely-without-email
: ACME 계정을 만드는 것을 건너뛸 수 있습니다. 요청이 이미 CertCentral 계정에 연결되어 있기 때문에 필요하지 않습니다. 옵션.--server “
URL
”
: 어떤 ACME 서버가 요청을 이행해야 하는지 지정합니다. 이 옵션 다음에 ACME 디렉터리 URL을 따옴표 안에 넣습니다.--eab-kid=YOURKID
: 일반 URL의 일부분이 키 식별자를 지정합니다.--eab-hmac-key=YOURHMACKEY
: 응답을 서명하는 데 사용되는 키를 지정합니다.-d YOUR
DOMAIN
: 인증서 포함된 정규화된 도메인 이름입니다. 인증서의 각 FQDN에 대해 –d YOURDOMAIN을 포함시킵니다. 이 옵션을 포함시키지 않는 경우, Certbot은 구성된 가상 호스트를 기준으로 포함하려는 도메인에 대해 입력을 요구할 것입니다. 옵션.orderId “YOURORDERID”
: 기존 인증서의 주문 ID 유형을 지정합니다.action “YOURACTION”
: 요청하는 인증서에 작업을 지정합니다.
Certbot 명령의 전체 목록은 certbot –help
를 이용해 터미널에서 확인하거나 Certbot 설명서 웹 사이트에 있는 명령 목록을 참조하십시오.