Certbot-voorbeeld: geef en installeer een privé CA Manager-certificaat voor NGINX, waarden gelezen uit het CSR-bestand
Command syntax
Gebruik bij de opdrachtregelprompt de onderstaande opdrachtsyntaxis om een privé CA Manager-certificaat voor de NGINX-webserver uit te geven en te installeren, waarbij certificaatwaarden worden gelezen uit een CSR-bestand (Certificate Signing Request):
sudo certbot --nginx --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} --csr {MY-CSR-FILE}
Fill in values for the command arguments shown in curly braces, as described below:
Command argument | Description |
---|---|
| The EAB key identifier (KID). For DigiCert® Trust Lifecycle Manager. accounts, use certificate profile. |
| The EAB HMAC key. |
| For hosted DigiCert® ONE accounts, use https://one.digicert.com/mpki/api/v1/acme/v2/directory |
| Local path to Certbot configuration files for the current application. These files control how and where Certbot installs certificates. If |
| The path to your certificate signing request (CSR) file. |
Voorbeeld commando:
sudo certbot --nginx --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_other_webserver_config/ --csr my_csr_file.csr
Usage notes
De
--csr
optie wordt gebruikt in plaats van de-d
keuze.Bij gebruik van de
--csr
optie, het gevraagde certificaatprofiel in DigiCert® Trust Lifecycle Manager moet gebaseerd zijn op de CA Manager Private Server-certificaat sjabloon en moet de optie "Van CSR" zijn geselecteerd voor de Onderwerp-DN Gemeenschappelijke naam veld. Zien Create an ACME-based profile for private CA Manager certificates.Als het aangevraagde certificaat overeenkomt met een bestaande bestelling, DigiCert® Trust Lifecycle Manager past de standaardautomatiseringsactie toe voor die bestelling (zie ACME-automatiseringsacties). Als er geen overeenkomende bestelling is, of als de ACME-URL dit bevat
?action=enroll
, Trust Lifecycle Manager behandelt het als een nieuwe bestelling en registreert het nieuwe certificaat voor u.This command only works for private certificates issued from CAs in DigiCert® Private CA. For public certificates, you must use additional options to validate the domain through Certbot. For examples, see here (DNS-01 validation method) and here (HTTP-01 validation method).