Skip to main content

Certbot-voorbeeld: geef en installeer een certificaat voor Apache met behulp van HTTP-01-domeinvalidatie

Command syntax

Gebruik bij de opdrachtregelprompt de onderstaande opdrachtsyntaxis om een openbaar DV/OV/EV-certificaat uit te geven en te installeren voor de Apache-webserver, waarbij domeincontrolevalidatie wordt aangevraagd via HTTP-01:

sudo certbot --apache --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} -d {FQDN} --manual --preferred-challenges http

Fill in values for the command arguments shown in curly braces, as described below:

Command argument

Description

{MY-KEY-IDENTIFIER}

The external account binding key identifier (KID) from your ACME credentials in CertCentral.

{MY-HMAC-KEY}

The external account binding HMAC key from your ACME credentials.

{ACME-URL}

The ACME URL associated with your ACME credentials in CertCentral.

{MY-CONFIG-DIR}

The local directory path that stores your Certbot configuration files for the current application. The configuration files here control how and where Certbot installs the certificates it downloads. If you omit the --config-dir option, Certbot will check in the /etc/letsencrypt directory by default.

{FQDN}

The fully qualified domain name you want the certificate to secure. For each FQDN, add an additional -d option. The first one you specify is used as the common name (CN).

Voorbeeld commando:

sudo certbot --apache --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_other_public_webserver_config/ -d test.com -d www.test.com --manual --preferred-challenges http

Usage notes

  • Voor OV/EV-certificaten worden domeinvalidatiecontroles alleen afgehandeld door het ACME-protocol als het domein nog niet vooraf is gevalideerd in CertCentral. Als het domein is vooraf gevalideerd, waarna CertCentral het domein zelf valideert, out-of-band en onafhankelijk van het ACME-protocol.

  • For DV certificates, and for OV/EV certificates that are not prevalidated, the --preferred-challenges option specifies the preferred form of ACME-based domain validation. Enter http here to request HTTP-01 validation.

  • Deze opdracht wordt interactief uitgevoerd. Certbot presenteert u het onderstaande menu om te beslissen hoe de HTTP-validatie wordt uitgevoerd:

    How would you like to authenticate with the ACME CA?
---------------------------------------------------------------------------
1. Apache Web Server plugin (apache)
2. Obtain certificates using a DNS TXT record (if you are using AWS Route 53 for DNS). (dns-route53)
3. Spin up a temporary webserver (standalone)
4. Place files in webroot directory (webroot)
---------------------------------------------------------------------------
Select the appropriate number [1-4] then [enter] (press 'c' to cancel):

  • Selecteer optie 1 in het bovenstaande menu om Certbot de Apache-webserver automatisch te laten configureren voor HTTP-validatie. Uw webserver moet poort 80 open hebben. Certbot zal regels zoals de volgende toevoegen aan de virtuele hostconfiguratie voor poort 80:

    Alias /.well-known/acme-challenge/ "/var/www/acme/acme-challenge/"
RewriteRule "^/.well-known/acme-challenge/" = [L]
<Directory "/var/www/acme/acme-challenge/">
    Options Indexes MultiViews
    AllowOverride None
    Order allow,deny
</Directory>

  • Na validatie wordt de opdracht voltooid en wordt het certificaat uitgegeven en geïnstalleerd.

  • Als het aangevraagde certificaat overeenkomt met een bestaande bestelling, CertCentral past de standaardautomatiseringsactie toe voor die bestelling (zie ACME-automatiseringsacties). Als er geen overeenkomende bestelling is, of als de ACME-URL dit bevat ?action=enroll, CertCentral behandelt het als een nieuwe bestelling en registreert het nieuwe certificaat voor u.

In deze sectie: