Skip to main content

Enterprise- en niet-abonnementsaccounts

U hebt ACME-referenties nodig in CertCentral om uw certificaatimplementaties te automatiseren met behulp van ACME-clients van derden, zoals Certbot.

Elke set ACME-inloggegevens definieert een bepaald type certificaat dat u kunt aanvragen, waaronder:

  • Certificaatproduct

  • Organisatie

  • Divisie

  • CertCentrale orderlengte

  • Geldigheidsduur certificaat

  • Certificaatextensies en andere opties

De ACME-referenties bevatten de URL en de External Account Binding (EAB)-referenties voor het aanvragen van certificaten:

  • Sleutelidentificatie (KID) om uw CertCentral-account te identificeren.

  • HMAC-sleutel voor authenticatie en encryptie.

Let op

De instructies hier zijn specifiek voor CertCentral Enterprise-accounts of elk ander type account dat geen CertCentral-abonnement omvat. Als u een actief CertCentral-abonnement heeft, zie: Abonnementsaccounts

Voeg ACME-inloggegevens toe

Volg deze stappen om een nieuwe set ACME-inloggegevens toe te voegen aan CertCentral.

  1. In uw CertCentral-account selecteert u in het linkerhoofdmenu Automatisering > ACME Directory-URL's.

  2. Selecteer de optie om Voeg ACME-directory-URL toe bovenaan.

  3. Vul het modale formulier in om de nieuwe ACME-inloggegevens te configureren, zoals hieronder beschreven. De opties variëren afhankelijk van uw accountinstellingen en het certificaatproduct dat u selecteert.

    • Naam: Voer een beschrijvende naam in voor deze set referenties.

    • Product: Selecteer het certificaatproduct dat u wilt aanvragen via deze inloggegevens.

    • Divisie: Selecteer een divisie die u wilt koppelen aan uitgegeven certificaten.

    • Organisatie: Selecteer de organisatie voor OV/EV-certificaten.

    • Dekkingsduur van meerdere jaren: Voor meerjarige rekeningen selecteert u de totale bestelduur.

    • Geldigheidsduur: Selecteer de geldigheidsperiode voor certificaten die via deze inloggegevens zijn uitgegeven. Als u kiest voor een aangepaste geldigheidsduur, vult u het aantal dagen in dat certificaten geldig moeten blijven.

    • Extra certificaatopties: Selecteer eventuele aanvullende opties voor de certificaten, zoals de CanSignHttpExchanges-extensie.

  4. Wanneer u klaar bent, selecteert u de Voeg ACME-directory-URL toe knop onderaan om de nieuwe ACME-inloggegevens voor uw geselecteerde certificaatopties te genereren.

  5. In de Nieuwe ACME-directory-URL modal die verschijnt, kopieert u de unieke ACME-URL en de External Account Binding (EAB)-referenties en slaat u deze op een veilige locatie op. Deze informatie is vereist voor uw ACME-client om certificaten van CertCentral te verkrijgen. Het wordt slechts één keer weergegeven.

    Selecteer na het kopiëren en ergens opslaan Ik begrijp dat ik dit niet meer zal zien om het modale af te wijzen.

Waarschuwing

Als u ooit uw ACME-inloggegevens kwijtraakt of vermoedt dat deze zijn gecompromitteerd, moet u deze om veiligheidsredenen onmiddellijk intrekken. Zien Beheer uw ACME-inloggegevens hieronder voor meer informatie.

ACME-referenties voor ondertekende HTTP Exchanges-certificaten

U kunt de CertCentral ACME-service gebruiken om certificaten te verkrijgen met de Ondertekende HTTP-uitwisselingen verlenging.

Voordat je begint

  • De Ondertekende HTTP-uitwisseling certificaatprofieloptie moet zijn ingeschakeld voor uw account.

  • Elk domein moet een CAA DNS-record met de cansignhttpexchanges=yes parameter.

ACME-instellingen

Volg de standaard stappen om de ACME-referenties toe te voegen, gebruik de volgende instellingen om de CanSignHttpExchanges uitbreiding van certificaten uitgegeven via de ACME-referenties:

  • Product: Selecteer een OV- of EV-certificaatproduct. Momenteel is de CanSignHttpExchanges extensie wordt alleen ondersteund voor OV- of EV-certificaten.

  • Geldigheidsduur: Selecteer Aangepaste lengte en voer een getal in van 1 tot 90 dagen. Certificaten met de CanSignHttpExchanges verlenging heeft een maximale geldigheidsduur van 90 dagen.

  • Extra certificaatopties: Vouw deze sectie uit en schakel het selectievakje in Neem de CanSignHttpExchanges-extensie op in het certificaat.

Nadat u uw selecties heeft gemaakt, selecteert u de Voeg ACME-directory-URL toe om de nieuwe ACME-inloggegevens te genereren. Gebruik de opgegeven URL en EAB-inloggegevens om ACME-aanvragen voor certificaten te verzenden met de Signed HTTP Exchanges-extensie en andere instellingen die u hebt geselecteerd.

Beheer uw ACME-inloggegevens

De ACME-directory-URL's pagina in CertCentral vermeldt alle bestaande ACME-inloggegevens in uw account. Vanaf hier kunt u:

  • Selecteer de knopinfo naast de ACME-referentienamen voor meer informatie over het type certificaten dat u kunt aanvragen via elke set inloggegevens.

  • Gebruik de Herroepen links aan de rechterkant om ACME-inloggegevens in te trekken. Wanneer u de intrekking intrekt, worden de ACME-inloggegevens permanent uitgeschakeld en kunnen deze niet langer door ACME-clients worden gebruikt om certificaten aan te vragen.

Waarschuwing

Bewaar uw ACME-inloggegevens altijd op een veilige locatie om te voorkomen dat kwaadwillende actoren proberen certificaten voor uw domeinen uit te geven.

Als u ooit uw ACME-inloggegevens kwijtraakt of vermoedt dat deze zijn aangetast, trekt u de bestaande ACME-inloggegevens onmiddellijk in nieuwe ACME-inloggegevens toevoegen gebruiken.

Wat is het volgende

Om uw ACME-inloggegevens te gebruiken om certificaten op uw servers aan te vragen en te automatiseren, installeer een ACME-client van derden op elke server.

In deze sectie: