문제 해결: ACME 클라이언트

CertCentral은 ACME 프로토콜을 사용하여 웹 서버 또는 서비스 지정 장치와 같은 전용 호스트에 인증서 요청을 자동화합니다. DigiCert는 고객이 선호하는 ACME 클라이언트를 사용하는 것을 권장합니다. 그렇지만 모든 예제에서는 참조용 클라이언트로 EFF의 CertBot을 사용할 것입니다. 다른 클라이언트에 대한 구현은 다를 수 있습니다.

시나리오

CertCentral에서 이전 ACME 디렉터리 URL과 연결된 인증서를 발급합니다.

  1. 관리자가 ACME 클라이언트를 이전 ACME 디렉터리 URL를 포함하여 사용합니다.
  2. 관리자가 새 인증서를 받기 위해 새 ACME 디렉터리 URL을 사용합니다.
  3. CertCentral은 새 URL 대신에 여전히 이전 ACME 디렉터리 URL을 사용하여 인증서를 발급합니다.

솔루션

인증서를 새 ACME 디렉터리 URL에 연결하려면 새 디렉터리를 만들고 클라이언트를 요청할 때 config-dir 매개 변수를 제공합니다.

  1. 새 인증서에 대한 구성 디렉터리를 만듭니다.

    예:

    C:\< ConfigDirectory >

  2. 구성 디렉터리, ACME 디렉터리 URL, HMAC 키 및 KID 매개 변수를 지정하는 명령을 실행합니다.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

시나리오

해지한 ACME 디렉터리 URL로 인해 새 ACME 디렉터리 URL로 인증서를 받을 수 없습니다.

  1. 관리자가 ACME 클라이언트를 이전 ACME 디렉터리 URL를 포함하여 사용합니다.
  2. 관리자가 새 인증서를 받기 위해 새 ACME 디렉터리 URL을 사용합니다.
  3. 관리자가 이전 ACME 디렉터리 URL을 해지합니다.
  4. CertCentral은 새 URL 대신에 여전히 이전 ACME 디렉터리 URL을 사용하여 인증서를 발급합니다.

솔루션

인증서를 새 ACME 디렉터리 URL에 연결하려면 다음을 수행합니다.

  1. 해지한 ACME 디렉터리 URL로 구성하여 이전에 발급한 인증서의 구성 디렉터리를 삭제합니다.

  2. 새 인증서에 대한 구성 디렉터리를 만듭니다.

    예:

    C:\< ConfigDirectory >

  3. 구성 디렉터리, ACME 디렉터리 URL, HMAC 키 및 KID 매개 변수를 지정하는 명령을 실행합니다.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

시나리오

시간 제한 오류

  • 인증서 요청에 연결된 조직을 유효성 검사하지 않은 경우
  • 인증서 요청에 연결된 도메인을 유효성 검사하지 않은 경우
  • 인증서 요청이 24시간 이내에 승인되지 않은 경우
  • 인증서 승인 시간이 90보다 긴 경우

솔루션

인증서를 요청하기 전에 다음을 수행합니다.

  • 조직의 유효성이 검사되었는지 확인합니다.

  1. 인증서 > 조직으로 이동합니다.

  2. 조직 페이지에서 인증서를 요청한 조직의 유효성 검사 상태를 확인합니다.

조직의 유효성을 검사하지 않은 경우 요청을 검토하고 유효성 검사를 다시 제출합니다. 자세한 정보는 조직 관리를 참조하십시오.

  • 도메인의 유효성이 검사되었는지 확인합니다.

  1. 인증서 > 도메인으로 이동합니다.

  2. 도메인 페이지에서 인증서를 요청한 도메인의 유효성 검사 상태를 확인합니다.

도메인의 유효성을 검사하지 않은 경우 요청을 검토하고 유효성 검사를 다시 제출합니다. 자세한 정보는 도메인 관리를 참조하십시오.

  • 주문부터 24시간 이내에 인증서 요청이 승인되는지 확인합니다.

  1. 인증서 > 요청으로 이동합니다.

  2. 요청 페이지에서 요청을 승인하는 인증서 주문 링크를 찾아서 클릭합니다.

  • 요청된 인증서에 대한 자동 승인 설정을 사용하고 있는지 확인합니다.

  1. 설정 > 기본 설정으로 이동합니다.

  2. 부서 기본 설정 페이지의 고급 설정의 승인 단계 섹션에서 승인 단계 건너뛰기: 인증서 주문 절차에서 승인 단계 제거를 선택합니다.

정보

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.