Skip to main content

Certbot-voorbeeld: certificaat vernieuwen, opnieuw uitgeven of dupliceren met behulp van ACME URL-queryparameters

Telkens wanneer u een certificaatautomatisering aanvraagt bij een externe ACME-client, DigiCert​​®​​ Trust Lifecycle Manager zoekt naar bestaande certificaatbestellingen en als er een wordt gevonden die overeenkomt, wordt de standaardlevenscyclusactie voor die bestelling toegepast. Zien ACME-automatiseringsacties.

U kunt de externe ACME-client ook expliciet opdracht geven een specifieke levenscyclusactie uit te voeren voor een bestaande certificaatbestelling, door het automatiseringsactietype en de certificaatbestelling-ID als queryparameters toe te voegen aan de ACME-URL.

Let op

Trust Lifecycle Manager can automatically renew and reissue certificates for existing orders when applicable. See ACME-automatiseringsacties.

To duplicate an existing certificate, the certificate profile must have duplicates enabled, and you must include the automation action and order ID in the ACME URL.

Bekijk bijvoorbeeld de volgende ACME-URL's die automatiseringsacties en queryparameters voor order-ID's bevatten:

  • https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456

    Verleng het certificaat vanaf bestelnummer 555123456.

  • https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012

    Geef het certificaat opnieuw uit met bestel-ID-nummer 555789012.

  • https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678

    Geef een duplicaat van het certificaat af met bestelnummer 555345678.

De onderstaande voorbeelden illustreren volledige Certbot-clientopdrachten die ACME-URL's bevatten met toegevoegde queryparameters.

  • Verleng het openbare vertrouwenscertificaat met bestel-ID-nummer 555123456 voor domeinen example.com En www.example.com, met behulp van HTTP-1 voor domeincontrolevalidatie en het installeren van het vernieuwde certificaat binnen de lokale Apache-webserver:

    sudo certbot --apache --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456 --config-dir /usr/local/certbot/my_other_public_webserver_config/ -d test.com -d www.test.com --preferred-challenges http
  • Geef het openbare trust-wildcardcertificaat opnieuw uit met bestel-ID-nummer 555789012 voor *.my.example.com, gebruik DNS-1 voor domeincontrolevalidatie en installeer het opnieuw uitgegeven certificaat binnen de lokale NGINX-webserver:

    sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012 --config-dir /usr/local/certbot/my_public_webserver_config/ -d *.my.example.com --manual --preferred-challenges dns
  • Geef een duplicaat van het openbare vertrouwenscertificaat uit met bestelnummer 555345678 voor domeinen test.com En mail.test.com, met behulp van HTTP-1 voor validatie van domeincontrole en installatie van het dubbele certificaat binnen de lokale NGINX-webserver:

    sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678 --config-dir /usr/local/certbot/my_public_webserver_config/ -d test.com -d mail.test.com --preferred-challenges http

Zoals gebruikelijk wordt, als het ACME-automatiseringsverzoek geldig is, het resulterende certificaat automatisch voor u uitgegeven en geïnstalleerd.