Skip to main content

Gebruik oudere CertCentral ACME-referenties

Op 30 januari 2024 heeft DigiCert een nieuwe versie van de CertCentral ACME-service uitgebracht met ondersteuning voor het volgende:

  • ACME-gebaseerde automatisering voor DV-certificaten.

  • Dynamische domeincontrolevalidatiecontroles via het ACME-protocol.

  • Automatische selectie van de certificaatactie (inschrijven/vernieuwen/opnieuw uitgeven/dupliceren), met de mogelijkheid om een nieuwe inschrijving te overschrijven en af te dwingen.

Alle ACME-inloggegevens die vóór de release van 30 januari 2024 in CertCentral zijn gemaakt, ondersteunen de bovenstaande functies niet en worden als verouderd beschouwd. DigiCert raadt u aan nieuwe ACME-inloggegevens toe te voegen vervang eventuele verouderde ACME-inloggegevens in uw account.

Waarschuwing

Wanneer u certificaten aanvraagt met verouderde ACME-inloggegevens, handelt CertCentral alle domeinvalidatiecontroles zelf af, onafhankelijk van het ACME-protocol. De FQDN moet vooraf gevalideerd zijn op het CertCentral-platform en actief zijn binnen de validatie hergebruik periode.

Tijdens een ACME-automatiseringsgebeurtenis wordt er geen autorisatie uitgevoerd door het ACME-protocol zelf, ook al wordt hierom gevraagd. Alle autorisatiecontroles worden out-of-band uitgevoerd door CertCentral's Enterprise Registration Authority (RA)-diensten.

Vervang uw oude ACME-inloggegevens

Als u verouderde ACME-inloggegevens in uw account heeft, ziet u een bannerbericht boven de tabel op de ACME-directory-URL's pagina in CertCentral. Elke set verouderde ACME-inloggegevens is gemarkeerd met een waarschuwingspictogram naast de Toestand kolom in de tabel.

Om uw oude ACME-inloggegevens te vervangen:

  1. Controleer het certificaatproduct en de instellingen voor de oude ACME-referenties. U kunt dit controleren op de ACME-directory-URL's pagina door de knopinfo naast de te selecteren Beschrijving kolom.

  2. Voeg nieuwe ACME-inloggegevens toe voor hetzelfde certificaatproduct en dezelfde instellingen.Een ACME-client van een derde partij gebruiken voor hostautomatiseringen

  3. Configureer uw ACME-clients om de nieuwe ACME-inloggegevens te gebruiken in plaats van de oude.Een ACME-client van een derde partij gebruiken voor hostautomatiseringen

Let op

Voor meer informatie over het gebruik van de nieuwste CertCentral ACME-automatiseringsfuncties, zie: Certificaten aanvragen en beheren met ACME

Certbot-voorbeelden voor oudere ACME-referenties

Om uw oude ACME-inloggegevens te blijven gebruiken:

  • Zorg ervoor dat zowel de organisatie als het domein vooraf gevalideerd zijn in CertCentral. Contact Ondersteuning voor DigiCert-validatie als u hierbij hulp nodig heeft.

  • Voor andere certificaatacties dan nieuwe inschrijvingen voegt u het bestaande bestel-ID-nummer en de aangevraagde certificaatactie toe aan de ACME-URL, zoals weergegeven in de Certbot-voorbeelden hieronder.

Een certificaat uitgeven en installeren

Als u het certbot-auto-script heeft geïnstalleerd, vervangt u certbot door ./certbot-auto in de opdracht. Mogelijk moet u het pad van certbot-auto opgeven als het niet is toegevoegd aan de PATH-configuratie van uw server.

  1. Open een terminalsessie op uw web server, bijvoorbeeld met SSH.

  2. Vraag bij de terminalprompt een certificaat aan met behulp van CertBot en de onderstaande opdrachtsyntaxis.

    • Vervang YOUR-KEY-IDENTIFIER door de KID van de externe accountbinding.

    • Vervang YOUR-HMAC-KEY door de KID van de externe accountbinding.

    • Vervang YOUR-ACME-URL met de ACME Directory URL die eerder is aangemaakt.

    • Vervang FQDN door de volledig gekwalificeerde domeinnaam (FQDN) die u met het certificaat wilt beveiligen. Voeg voor elke FQDN een extra -d-optie toe.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Een voorbeeld:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  3. Voer uw Certbot-opdracht in, aangepast indien noodzakelijk.

    Zie Certbot-opdrachtopties voor meer informatie over de opdrachten en opties die in deze instructies worden gebruikt.

  4. U wordt gevraagd om de Servicevoorwaarden te accepteren. Typ "A” en druk op Enter.

    Momenteel heeft DigiCert geen aanvullende Servicevoorwaarden voor ACME.

    Als uw aanvraag een FQDN bevat waarvoor Cerbot geen overeenkomende virtuele host kan vinden, wordt u gevraagd de virtuele host te selecteren waarop u het certificaat wilt installeren. Controleer in Apache de Virtual Directory-vermelding voor ServerName om de FQDN te laten overeenkomen.

  5. Geef aan of u HTTP-verkeer wilt omleiden naar HTTPS.

    Als u voor omleiden kiest, wordt HTTP-toegang tot uw website uitgeschakeld.

  6. Wanneer u klaar bent, geeft uw server een bericht weer dat het gelukt is: "Gefeliciteerd! Het inschakelen van uw domeinen is gelukt...

Uw ACME-certificaataanvraag is voltooid en het nieuw uitgegeven certificaat is geïnstalleerd op uw webserver. Bezoek uw website om te kijken of het certificaat inderdaad aanwezig is.

Let op

ACME- foutcodes: ACME retourneert dezelfde fouten en foutberichten als die worden geretourneerd in de CertCentral API. Zie Fouten voor een lijst met foutcodes en wat ze betekenen.

Een certificaat verlengen of heruitgeven

U kunt een certificaat verlengen als het is verlopen of binnenkort verloopt. U moet een certificaat heruitgeven als het ontbreekt of is ingetrokken.

Voor het verlengen en heruitgeven gebruikt u deze CertBot-opdracht:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Voeg de orderId en de action toe aan de URL, zoals hieronder wordt getoond.

Voorbeeld (verlengingen):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Voorbeeld (heruitgeven):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Opmerking

Voor accounts met een meerjarig abonnement:

  • Verleng een certificaat wanneer de dekking van de order verloopt.

  • Geef een certificaat opnieuw uit als het is ingetrokken of tijdens de dekking van de order verloopt.

Een duplicaatcertificaat uitgeven

Om de beveiliging te versterken en de installatie van het certificaat op meerdere servers te vereenvoudigen, geeft u voor elke server een duplicaatcertificaat uit.

De gegevens in het duplicaatcertificaat zijn dezelfde als in het oorspronkelijke certificaat. Voor duplicaatcertificaten hoeft DigiCert nooit eerdere kopieën van uw certificaat in te trekken.

Voor het uitgeven van een duplicaatcertificaat gebruikt u deze CertBot-opdracht:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Voeg de orderId en de action toe aan de URL, zoals hieronder wordt getoond.

Een voorbeeld:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Certbot-opdrachtopties

  • certbot: voert het uitvoerbare bestand van CertBot uit.

  • certbot-auto: Gebruik dit in plaats van certbot als het script certbot-auto is geïnstalleerd. Mogelijk moet u het pad van certbot-auto opgeven als het niet is toegevoegd aan de PATH-configuratie van uw server.

  • --apache: Specificeert de Apache CertBot-plug-in die het certificaat voor u zal installeren. Optioneel.

  • --register-unsafely-without-email: Hiermee kunt u het maken van een ACME-account overslaan. Omdat uw aanvraag al gekoppeld is aan uw CertCentral-account, is dit niet nodig. Optioneel.

  • --server “ URL : Specificeert welke ACME-server aan uw aanvraag moet voldoen. Plaats uw ACME Directory URL tussen dubbele aanhalingstekens na deze optie.

  • --eab-kid=YOURKID: Hiermee specificeert u de sleutel-ID (KID), die deel uitmaakt van de algemene URL.

  • --eab-hmac-key=YOURHMACKEY: Hiermee specificeert u de HMAC-sleutel die wordt gebruikt voor het ondertekenen van de respons.

  • -d YOUR DOMAIN: De volledig gekwalificeerde domeinnaam die in het certificaat is opgenomen. Neem voor elke FQDN in het certificaat een –d YOURDOMAIN op. Als u deze optie niet opneemt, vraagt CertBot u naar de domeinen die u wilt opnemen op basis van uw geconfigureerde virtuele hosts. Optioneel.

  • orderId “YOURORDERID: Hiermee specificeert u het order-ID-type van het bestaande certificaat.

  • action “YOURACTION: Hiermee specificeert u de actie die voor het aangevraagde certificaat moet worden uitgevoerd.

Een volledige lijst met CertBot-opdrachten is beschikbaar via de terminal met certbot –help of bekijk de lijst met opdrachten op de Certbot-documentatiewebsite.

In deze sectie: