Certbot-voorbeeld: certificaat vernieuwen, opnieuw uitgeven of dupliceren met behulp van ACME URL-queryparameters
Telkens wanneer u een certificaatautomatisering aanvraagt bij een externe ACME-client, DigiCert® Trust Lifecycle Manager zoekt naar bestaande certificaatbestellingen en als er een wordt gevonden die overeenkomt, wordt de standaardlevenscyclusactie voor die bestelling toegepast. Zien ACME-automatiseringsacties.
U kunt de externe ACME-client ook expliciet opdracht geven een specifieke levenscyclusactie uit te voeren voor een bestaande certificaatbestelling, door het automatiseringsactietype en de certificaatbestelling-ID als queryparameters toe te voegen aan de ACME-URL.
Let op
Trust Lifecycle Manager can automatically renew
and reissue
certificates for existing orders when applicable. See ACME-automatiseringsacties.
To duplicate
an existing certificate, the certificate profile must have duplicates enabled, and you must include the automation action and order ID in the ACME URL.
Bekijk bijvoorbeeld de volgende ACME-URL's die automatiseringsacties en queryparameters voor order-ID's bevatten:
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456
Verleng het certificaat vanaf bestelnummer 555123456.
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012
Geef het certificaat opnieuw uit met bestel-ID-nummer 555789012.
https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678
Geef een duplicaat van het certificaat af met bestelnummer 555345678.
De onderstaande voorbeelden illustreren volledige Certbot-clientopdrachten die ACME-URL's bevatten met toegevoegde queryparameters.
Verleng het openbare vertrouwenscertificaat met bestel-ID-nummer 555123456 voor domeinen
example.com
Enwww.example.com
, met behulp van HTTP-1 voor domeincontrolevalidatie en het installeren van het vernieuwde certificaat binnen de lokale Apache-webserver:sudo certbot --apache --register-unsafely-without-email --eab-kid abcdef8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key EEEraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=renew&orderId=555123456 --config-dir /usr/local/certbot/my_other_public_webserver_config/ -d test.com -d www.test.com --preferred-challenges http
Geef het openbare trust-wildcardcertificaat opnieuw uit met bestel-ID-nummer 555789012 voor
*.my.example.com
, gebruik DNS-1 voor domeincontrolevalidatie en installeer het opnieuw uitgegeven certificaat binnen de lokale NGINX-webserver:sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=reissue&orderId=555789012 --config-dir /usr/local/certbot/my_public_webserver_config/ -d *.my.example.com --manual --preferred-challenges dns
Geef een duplicaat van het openbare vertrouwenscertificaat uit met bestelnummer 555345678 voor domeinen
test.com
Enmail.test.com
, met behulp van HTTP-1 voor validatie van domeincontrole en installatie van het dubbele certificaat binnen de lokale NGINX-webserver:sudo certbot --nginx --register-unsafely-without-email --eab-kid zcskpf8sCnHGBsbCOgnv1ijy00l6UeEYCavSSSirl-k --eab-hmac-key DDDraHBXQUxWTEFGdFhndjRVNmV4t4F6c2VNZDM1QzRURGhjdHF3S1NublJjN0dhVUFObzA0SXJwVHBnU2yyUH --server https://one.digicert.com/mpki/api/v1/acme/v2/directory?action=duplicate&orderId=555345678 --config-dir /usr/local/certbot/my_public_webserver_config/ -d test.com -d mail.test.com --preferred-challenges http
Zoals gebruikelijk wordt, als het ACME-automatiseringsverzoek geldig is, het resulterende certificaat automatisch voor u uitgegeven en geïnstalleerd.