Guia do usuário da integração da automação ACME manual

Com a ACME + CertCentral, use o seu cliente ACME preferido para automatizar as suas implantações de certificados SSL/TLS e remover o tempo gasto completando instalações manuais de certificados.

O suporte ao protocolo CertCentral ACME permite automatizar OV e EV SSL/TLS de 1 ano e implantações de certificados de validade personalizados. Nosso protocolo ACME também suporta a opção de perfil do certificado Signed HTTP Exchange, permitindo que você automatize as suas implantações de certificados Signed HTTP Exchange (veja URLs do Diretório ACME para certificados Signed HTTP Exchange).

Para obter uma lista dos problemas atuais conhecidos, consulte Automação: Problemas conhecidos. Para relatar erros, contate a nossa Equipe de atendimento. .

Antes de começar

Antes de começar, certifique-se de que os pré-requisitos foram cumpridos:

  • Administrador ou gerente na sua conta da CertCentral
    Para acessar a ACME na sua conta da CertCentral, visite a página URLs do Diretório ACME (no menu da barra lateral, clique em Automação > URLs do Diretório ACME).
  • Acesso raiz ao seu servidor web
    Estas instruções só cobrem o Apache. Contudo, DigiCert ACME é compatível com todos os servidores web.
  • Cliente ACME funcional instalado no seu servidor web - preferencialmente CertBot
    A DigiCert recomenda o uso do seu Cliente ACME preferido. Contudo, só incluímos instruções para CertBot. Um guia de instalação para CertBot está disponível a partir da EFF. Consulte certbot da EFF.
  • Habilitou aprovações automáticas de solicitações de certificados para a sua conta da CertCentral. Consulte Habilitar aprovações automáticas de solicitações de certificados.
  • Pré-validou domínios e organizações para os quais você deseja obter certificados - necessário para emissão instantânea de certificados.
    Para que a emissão instantânea da ACME funcione, você deve pré-validar o domínio e organização usada nas suas solicitações de certificado ACME. Consulte Gerenciar organizações e Gerenciar domínios.

Além de CertBot, DigiCert também fornece suporte cert-manager para ajudá-lo a criar e gerenciar certificados SSL/TLS. Consulte Configurar cert-manager e serviço DigiCert ACME com Kubernetes.

Criar uma URL do diretório ACME

Para começar, gere uma URL exclusiva do diretório ACME na sua conta da CertCentral. Você precisará incluir seu URL de diretório ACME com ligação de conta externa (EAB) em seu comando de solicitação de certificado CertBot.

  1. Na sua conta da CertCentral, no menu da barra lateral, clique em Automação > URLs do Diretório da ACME.

  1. Na página URLs do Diretório da ACME, clique em Adicionar URL do diretório ACME.

  1. Na janela pop-up Adicionar URL do diretório ACME, insira um Nome amigável para a URL.

  1. No menu suspenso Produto, selecione o certificado que você deseja emitir usando ACME.

Atualmente, DigiCert Acme apenas suporta certificados TLS/SSL OV e EV.

  1. No menu suspenso Divisão, associe uma divisão à URL do diretório ACME.

Todos os certificados emitidos a partir desta URL serão anexados à divisão selecionada.

  1. No menu suspenso Organização, selecione a Organização pré-validada para a qual você deseja emitir o certificado.

  1. (Opcional) Selecione a duração da Cobertura plurianual na lista suspensa se você tiver uma conta de plano plurianual.

  1. Sob período de validade,, selecione Duração personalizada e, na caixa Dias, insira um número.

  1. Clique em Adicionar URL do diretório ACME.

  1. Na janela pop-up Novo URL do diretório ACME, copie seu URL ACME exclusivo junto com as informações de vinculação de conta externa (EAB) e salve-o.

    Você precisará usar essas informações para solicitar seu certificado usando ACME.

Quando você gera um URL de diretório ACME, o URL, a chave KID e HMAC são exibidos apenas uma vez. Não há como recuperar as informações perdidas. Se você perder os detalhes do URL ACME, será necessário revogar o URL perdido e gerar um novo.

  1. Clique em Eu entendo que não verei isso novamente.

Sua nova URL do diretório ACME é adicionada à lista de URLs na página de URLS do diretório ACME (no menu da barra lateral, clique em Automação > URLs do Diretório ACME). Para detalhes sobre o certificado que é possível pedir através da URL do diretório ACME, clique no ícone de informações próximo à descrição da URL.

ACME: Emita e instale um certificado

Se você instalou o script de certbot-auto, substitua certbot por ./certbot-auto no comando. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.

Códigos de erro do ACME:
ACME retorna os mesmos erros e mensagens de erros como aquelas retornas na API da CertCentral. Para uma lista de códigos de erro e o que significam, consulte Erros.

  1. Use seu cliente ACME preferido para se conectar ao seu servidor web usando SSH.

  1. No prompt terminal, solicite um certificado usando CertBot e o comando abaixo.

    • Certifique-se de substituir YOUR-KEY-IDENTIFIER pelo KID de vinculação de conta externa.
    • Certifique-se de substituir YOUR-HMAC-KEY pela chave HMAC de vinculação de conta externa.
    • Certifique-se de substituir YOUR-ACME-URL pela URL do diretório ACME criada anteriormente (consulte Criar uma URL do diretório ACME).
    • Certifique-se de substituir FQDN pelo nome do domínio totalmente qualificado que você deseja que o certificado proteja. Para cada FQDN, adicione uma opção -d adicional.
bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Aqui está um exemplo de um comando completo como uma referência com vinculação de conta externa.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  1. Insira seu comando CertBot, personalizado conforme necessário:

    Para informações adicionais sobre os comandos e opções usadas nestas instruções, consulte opções do ACME.

  1. Será solicitada a aceitação dos Termos de Serviço. Digite "A” e aperte enter.

    Atualmente, o DigiCert não possui quaisquer Termos de Serviço adicionais para o ACME.

Se a sua solicitação incluir uma FQDN para a qual a Cerbot não pode encontrar host virtual correspondente, será solicitado selecionar o host virtual em que você deseja instalar o certificado.
No Apache, verifique a lista de Diretórios virtuais para ServerName corresponder à FQDN.

  1. Selecione se o tráfego HTTP deve ser redirecionado para HTTPS.

    Escolher redirecionar desabilita o acesso do HTTP ao seu site.

  1. Quando terminado, seu servidor exibe uma mensagem de erro: “Parabéns! Você habilitou com sucesso os seus domínios…

Parabéns! Sua solicitação de certificado ACME está completa e o novo certificado emitido está instalado no seu servidor web. Você pode visitar o seu site para confirmar que a instalação foi bem-sucedida.

ACME: Renovar e re-emitir um certificado

Renove um certificado quando ele expirar ou esteja prestes a ser renovado e emita novamente um certificado quando estiver revogado ou ausente.

Para renovar e re-emitir, use o comando CertBot abaixo:

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Você precisa anexar o orderId e o action ao URL, conforme mostrado nos exemplos abaixo:

Aqui está um exemplo de um comando completo como referência para renovação.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Aqui está um exemplo de um comando completo como referência para uma nova emissão.

bash
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Para contas de planos plurianuais,

  • Renove um certificado quando a cobertura do pedido estiver expirando.
  • Emita novamente um certificado se for revogado ou expirar dentro da cobertura do pedido.

E depois?

Sua solicitação do certificado ACME está completa. O novo certificado emitido está instalado no seu servidor web. Visite o seu site para confirmar que a instalação foi bem-sucedida.

Você pode reusar a sua URL do diretório ACME para fazer solicitações adicionais de certificados para o mesmo produto de certificado e organização pré-validada.

Para solicitar certificados para um produto ou organização diferente, crie uma nova URL exclusiva do diretório ACME para aquele produto ou organização. Consulte Criar uma URL do diretório ACME.

Opções do ACME

  • certbot: roda o executável CertBot.
  • certbot-auto: Use no lugar de certbot quando o script certbot-auto estiver instalado. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.
  • --apache: Especifica o plugin Apache CertBot que instalará o certificado para você. Opcional.
  • --register-unsafely-without-email: Permite que você pule a criação de uma conta ACME. Como a sua solicitação já está conectada à sua conta da CertCentral, isso não é necessário. Opcional.
  • --server “URL: Especifica qual servidor ACME deve satisfazer a sua solicitação. Coloque sua URL do diretório ACME em aspas duplas após esta opção.
  • --eab-kid “YOURKID : Especifica o identificador de chave, que faz parte do URL comum.
  • --eab-hmac-key “YOURHMACKEY: Especifica a chave usada para assinar a resposta.
  • -d YOURDOMÍNIO: O nome do domínio inteiramente qualificado incluído no certificado. Para cada FQDN no certificado, inclua um –d seudominio. Se você não incluir está opção, a CertBot perguntará a respeito dos domínios que você deseja incluir com base nos seus hosts virtuais configurados. Opcional.
  • orderId “YOURORDERID: Especifica o tipo de ID do pedido do certificado existente.
  • action “YOURACTION: Especifica a ação no certificado que está sendo solicitado.

Uma lista completa de comandos CertBot está disponível através do terminal com certbot-help. Comandos também estão documentados no site da documentação do CertBot.

Tópicos relacionados