수동 ACME 자동화 통합 사용자 가이드

ACME + CertCentral에서는, 선호하는 ACME 클라이언트를 사용하여 SSL/TLS 인증서 배포를 자동화하고 수동 인증서 설치를 완료하는 데 사용하는 시간을 제거합니다.

CertCentral ACME 프로토콜 지원으로 OV 및 EV SSL/TLS 1년, 2년 및 사용자 지정 유효성 인증서 배포를 자동화할 수 있습니다. ACME 프로토콜은 또한 서명한 HTTP 교환 인증서 프로필 옵션을 지원하여 서명한 HTTP 교환 인증서 배포를 자동화할 수 있습니다.(서명한 HTTP 교환 인증서를 위한 ACME 디렉터리 URL을 참조하십시오.)

CertCentral에서 ACME 프로토콜 지원에 대한 공개 베팅 기간입니다. 현재 알려진 문제의 목록은 알려진 문제를 참조하십시오. 오류를 보고하려면지원팀에게 연락하십시오.

시작하기 전에

시작하기 전에 다음 사전 요구 사항을 충족하는지 확인합니다.

  • CertCentral 계정에 관리자 또는 매니저
    CertCentral 계정에서 ACME에 액세스하려면 ACME 디렉터리 URL 페이지(사이드바 메뉴에서 자동화 > ACME 디렉터리 URL을 클릭)로 이동합니다.
  • 웹서버에 루트 액세스
    이 설명은 Apache에만 해당됩니다. 그렇지만 DigiCert ACME는 모든 웹 서버와 호환됩니다.
  • 웹 서버에 ACME 클라이언트를 설치 -가능하면 CertBot
    DigiCert는 사용자가 선호하는 ACME 클라이언트를 사용할 것을 권장합니다. 그렇지만 CertBot에 대한 설명만 포함했습니다. CertBot에 대한 설치 가이드는 EFF에서 사용 가능합니다. EFF의 certbot을 참조하십시오.
  • CertCentral 계정에 대한 자동 인증서 요청 승인을 사용합니다. 자동 인증서 요청 승인 사용을 참조하십시오.
  • 인증서를 받으려는 도메인 및 조직을 사전 유효성 검사-즉시 인증서 발급을 위해 필요.
    ACME 즉시 인증서 발급을 사용할 수 있으려며 ACME 인증서 요청에서 사용되는 도메인 및 조직을 사전 유효성 검사해야 합니다. 조직 관리도메인 관리를 참조하십시오.

DigiCert ACME Beta를 프로덕션 환경에서 사용하는 것은 권장하지 않습니다.

ACME 디렉터리 URL 만들기

시작하려면 CertCentral 계정에서 고유한 ACME 디렉터리 URL을 생성합니다. CertBot 인증서 요청 명령에 ACME 디렉터리 URL을 포함해야 합니다.

  1. CertCentral 계정의 사이드바 메뉴에서 자동화 > ACME 디렉터리 URL을 클릭합니다.

    ACME Directory URLs page

  1. ACME 디렉터리 URL 페이지에서 ACME 디렉터리 URL 추가를 클릭합니다.

  1. ACME 디렉터리 URL 추가 팝업 창에서 URL에 대한 식별 이름을 입력합니다.

  1. 제품 드롭다운에서 ACME를 사용하여 발급하려는 인증서를 선택합니다.

현재 DigiCert ACME는 OV 및 EV TLS/SSL 인증서만 지원합니다.

  1. 조직 드롭다운에서 인증서를 발급하려는 사전 유효성 검증한 조직을 선택합니다.

  1. ACME 디렉터리 URL 추가를 클릭합니다.

  1. 새 ACME 디렉터리 URL 팝업 창에서 고유한 ACME URL을 복사하여 저장합니다.

    ACME를 사용하여 인증서를 요청하려면 이 URL을 사용해야 합니다.

ACME 디렉터리 URL을 생성할 때 한 번만 표시합니다. 분실한 ACME URL을 검색할 수 있는 방법은 없습니다. ACME URL를 분실하는 경우, 분실한 URL을 철회하고 새로 생성해야 합니다.

  1. 이것을 다시 볼 수 없다는 것을 이해합니다.를 클릭합니다.

새 ACME 디렉터리 URL이 ACME 디렉터리 URL 페이지의 URL의 목록에 추가됩니다.(사이드바 메뉴에서 자동화 > ACME 디렉터리 URL을 클릭합니다.) ACME 디렉터리 URL을 통하여 주문할 수 있는 인증서에 대한 자세한 정보는 URL 설명 옆의 정보 아이콘을 클릭합니다.

ACME: 인증서 발급 및 설치

certbot-auto 스크립트를 설치한 경우 명령에서 certbot을(를) ./certbot-auto(으)로 바꿉니다. certbot-auto를 서버의 PATH 구성에 추가하지 않은 경우 경로를 지정해야 할 수도 있습니다.

ACME 오류 코드:
ACME는 CertCentral API와 동일한 오류 및 오류 메시지를 반환합니다. 오류 코드의 목록 및 그 의미는 오류를 참조하십시오.

  1. 선호하는 ACME 클라이언트를 사용하여 SSH을 통해 웹 서버에 연결합니다.

  1. 터미널 프롬프트에서 CertBot 및 아래 명령을 사용하여 인증서를 요청합니다.

    • YOUR-ACME-URL을(를) 이전에 만든 ACME 디렉터리 URL로 바꿉니다.(ACME 디렉터리 URL 만들기를 참조하십시오.)
    • FQDN을(를) 인증서로 보호하려는 정규화된 도메인 이름으로 교체해야 합니다. 각 FQDN에 대해 추가로 -d 옵션을 추가합니다.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

다음은 참고자료로 사용할 수 있는 전체 명령의 예제입니다.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. 필요에 따라 CertBot 명령 입력을, 사용자 지정합니다.

    이 설명에 사용하는 명령 및 옵션에 대한 자세한 정보는 ACME 옵션을 참조하십시오.

  1. 서비스 약관을 수락하도록 요청을 받을 것입니다. "A”를 입력하고 enter을(를) 누릅니다.

    현재 DigiCert는 ACME 베타에 대한 추가적 서비스 약관은 없습니다.

요청에 Certbot이 찾을 수 없는 가상 호스트를 포함하는 경우 인증서를 설치하려는 가상 호스트를 선택하도록 안내를 받을 것입니다.
Apache에서는 ServerName에 대한 가상 디렉터리 목록을 확인하여 FQDN을 일치하게 합니다.

  1. HTTP 트래픽을 HTTPS로 리디렉션할 것인지 선택합니다.

    리디렉션을 선택하면 웹 사이트에 HTTP 액세스를 사용 중지합니다.

  1. 완료했으면 서버는 다음 성공 메시지를 표시합니다. “축하합니다! 귀하의 도메인...을(를) 사용하게 했습니다.”

축하합니다! ACME 인증서 요청이 완료되었으며 새로 발급한 인증서가 웹 서버에 설치되었습니다. 웹 사이트를 방문하여 설치된 것을 확인할 수 있습니다.

다음 단계

ACME 인증서 요청이 완료되었습니다. 웹 서버에 새로 발급한 인증서가 설치되었습니다. 웹 사이트를 방문하여 설치된 것을 확인하십시오.

동일한 인증서 제품 및 사전 유효성 검증한 조직에 대해 추가 인증서 요청을 하기 위해 ACME 디렉터리 URL을 다시 사용할 수 있습니다.

다른 제품 또는 조직에 대해 인증서를 요청하려면 해당 제품 또는 조직에 대해 고유한 ACME 디렉터리 URL을 만듭니다. ACME 디렉터리 URL 만들기를 참조하십시오.

ACME 옵션

  • certbot: CertBot 실행 파일을 실행합니다.
  • certbot-auto: certbot-auto 스크립트가 설치된 경우 certbot 대신에 사용합니다. certbot-auto를 서버의 PATH 구성에 추가하지 않은 경우 경로를 지정해야 할 수도 있습니다.
  • --apache: 인증서를 설치하는 Apache CertBot 플러그인을 지정합니다. 옵션.
  • --register-unsafely-without-email: ACME 계정을 만드는 것을 건너뛸 수 있습니다. 요청이 이미 CertCentral 계정에 연결되어 있기 때문에 필요하지 않습니다. 옵션.
  • --server “URL: 어떤 ACME 서버가 요청을 이행해야 하는지 지정합니다. 이 옵션 다음에 ACME 디렉터리 URL을 따옴표 안에 넣습니다.
  • -d YOURDOMAIN: 인증서 포함된 정규화된 도메인 이름입니다. 인증서의 각 FQDN에 대해 –d YOURDOMAIN을 포함합니다. 이 옵션을 포함하지 않는 경우, CertBot은 구성된 가상 호스트에 기초하여 포함하려는 도메인에 대해 입력을 요청할 것입니다. 옵션.

전체 CertBot 명령의 전체 목록은 터미널에서 cerbot -help로 사용 가능합니다. 명령은 또한 CertBot 설명서 웹 사이트에 문서화되어 있습니다.

관련된 항목