Een aangepast toepassing instellen voor beheerde automatisering

Beheerde automatisering van CertCentral ondersteunt standaard de meest populaire webservertoepassingen.

CertCentral biedt ook de flexibiliteit om het certificaatbeheer uit te breiden voor extra toepassingen die niet standaard worden ondersteund, doordat het configuratie van ACME-clients van derden mogelijk maakt via de optie "aangepaste toepassing".

Volg deze stappen om beheerde automatisering voor een aangepaste toepassing in te schakelen:

Step 1: Install DigiCert agent

Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about how to deploy DigiCert agents on your servers, see Een ACME-automatiseringsagent installeren en activeren.

Stel de ACME-clients van de derde partij in

In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.

Door CertCentral beheerde automatisering werkt met elke client van derden die het ACME-protocol, dat de industriestandaard is, ondersteunt.

Step 3: Create shell script

You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.

The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.

Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):

voorbeeld 1. Certbot (Linux)

directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

voorbeeld 2. Win-ACME (Windows)

set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variable definitions at the top of these shell scripts set the required ACME request parameters:

These must match up with the ACME arguments you configure for the custom application in CertCentral.
During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.

Commands used in the shell script:

Must include all mandatory parameters.
Must not exceed 512 characters.
Must not include special directives like rm -rf or rmdir

The shell script filename:

Must end with .bat or .sh
Must not exceed 255 characters.

Configureer de instellingen voor de beheerde automatisering

Gebruik het menu voor Beheerde automatisering van CertCentral om de configuratie voor uw aangepaste toepassing te voltooien:

Ga in het linker hoofdmenu van uw CertCentral-account naar Automatisering > Automatisering beheren.
Selecteer vanuit de weergave Automatisering bewerken de Naam of de lokale ACME-agent die op dezelfde certificaathost als de aangepaste toepassing wordt uitgevoerd.
Ga in het rechter deelvenster met de agentconfiguratie naar het gedeelte IP/Poort configureren.
Zoek het IP-adres en het poortnummer voor de aangepaste toepassing. Selecteer Aangepast als naam van de toepassing.
Geef in het Client-opdrachtpad het volledige directorypad op voor het shellscript dat de ACME-client van de derde partij aan zal aanroepen.
Bijvoorbeeld:
- Windows: G:\certcentral\agent\custom_automation_1.bat
- Linux: /home/certcentral/agent/custom_automation_1.sh
Specificeer de algemene ACME-argumenten die moeten worden gebruikt in het veld Client-opdrachtargumenten.
Bijvoorbeeld:
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}
Merk op dat:
- Elk argument exact zoals hier weergegeven moet worden ingevoerd.
- De volgorde van de argumenten moet overeenkomen met hoe ze in uw shellscript worden gebruikt.
- Tijdens een automatiseringsgebeurtenis worden de vereiste waarden voor deze argumenten automatisch verkregen uit het geselecteerde automatiseringsprofiel.
Uitleg van ACME-argumenten die worden ondersteund door de beheerde automatisering van CertCentral:
- {acmeDirectoryUrl} – ACME directory URL-instellingen.
- {hosts} – Gegevens certificaathost.
- {email} – E-mailadres voor meldingen.
- {key} – Sleutelalgoritme (RSA of ECC).
- {extActKid} – KID van externe account gebruikt in de URL.
- {extActHmac} – HMAC sleutel voor het ondertekenen van het antwoord.
Selecteer Opslaan om uw bijgewerkte automatiseringsinstellingen in werking te stellen.

De volgende stappen

Nadat u de aangepaste toepassing hebt ingesteld, kunt u de certificaatautomatiseringen voor deze toepassing op dezelfde manier beheren als andere beheerde toepassingen.

In deze sectie: