Skip to main content

Certbot-voorbeeld: geef en installeer een openbaar vertrouwenscertificaat voor NGINX met behulp van DNS-01-domeinvalidatie

Command syntax

Gebruik bij de opdrachtregelprompt de onderstaande opdrachtsyntaxis om een openbaar DV/OV/EV-certificaat uit te geven en te installeren voor de NGINX-webserver, waarbij domeincontrolevalidatie wordt aangevraagd via DNS-01:

sudo certbot --nginx --register-unsafely-without-email --eab-kid {MY-KEY-IDENTIFIER} --eab-hmac-key {MY-HMAC-KEY} --server {ACME-URL} --config-dir {MY-CONFIG-DIR} -d {FQDN} --manual --preferred-challenges dns

Fill in values for the command arguments shown in curly braces, as described below:

Command argument

Description

{MY-KEY-IDENTIFIER}

The external account binding key identifier (KID) of the desired certificate profile in DigiCert​​®​​ Trust Lifecycle Manager.

{MY-HMAC-KEY}

The external account binding HMAC key of the certificate profile.

{ACME-URL}

The ACME Directory URL. For hosted DigiCert® ONE accounts, use https://one.digicert.com/mpki/api/v1/acme/v2/directory

{MY-CONFIG-DIR}

The local directory path that stores your Certbot configuration files for the current application. The configuration files here control how and where Certbot installs the certificates it downloads. If you omit the --config-dir option, Certbot will check in the /etc/letsencrypt directory by default.

{FQDN}

The fully qualified domain name you want the certificate to secure. For each FQDN, add an additional -d option. The first one you specify is used as the common name (CN).

Voorbeeld commando:

sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory --config-dir /usr/local/certbot/my_public_webserver_config/ -d example.com -d www.example.com --manual --preferred-challenges dns

Usage notes

  • Het aangevraagde certificaatprofiel in DigiCert​​®​​ Trust Lifecycle Manager moet gebaseerd zijn op de CertCentral Public Server-certificaat sjabloon. Zien Create an ACME-based profile for public CertCentral certificates.

  • De --preferred-challenges optie specificeert de voorkeursvorm van domeinvalidatie. Binnenkomen dns hier om DNS-01-validatie aan te vragen.

  • De --manual optie betekent dat u handmatig een DNS-record aan uw domein toevoegt voor de validatie-uitdaging.

  • Deze opdracht wordt interactief uitgevoerd. Certbot levert de benodigde DNS-validatieparameters, die als TXT DNS-record moeten worden toegevoegd. Bijvoorbeeld:

    _acme-challenge.example.com. 300 IN TXT "mJ9ffxp9pX...f0EDcZZ_klG5wWD1"

  • Nadat de TXT DNS-record is geplaatst, wordt de opdracht voltooid en wordt het certificaat gevalideerd, uitgegeven en geïnstalleerd.

  • Als het aangevraagde certificaat overeenkomt met een bestaande bestelling, DigiCert​​®​​ Trust Lifecycle Manager past de standaardautomatiseringsactie toe voor die bestelling (zie ACME-automatiseringsacties). Als er geen overeenkomende bestelling is, of als de ACME-URL dit bevat ?action=enroll, Trust Lifecycle Manager behandelt het als een nieuwe bestelling en registreert het nieuwe certificaat voor u.

In deze sectie: