Solução de problemas: Clientes ACME

O CertCentral usa o protocolo ACME para automatizar sua solicitação de certificado em hosts dedicados, como servidores da web ou dispositivos de ponto de serviço. DigiCert recomenda usar seu cliente ACME preferido. No entanto, usaremos o Certbot da EFF como cliente de referência para todos os exemplos. A implementação para outros clientes pode variar.

Cenário

O CertCentral emite o certificado associado ao antigo URL do diretório ACME.

  1. Admin usa o cliente ACME com o antigo URL do diretório ACME.
  2. Admin cria um novo URL de diretório ACME para obter um novo certificado.
  3. O CertCentral ainda emite um certificado usando o antigo URL do diretório ACME em vez do novo URL.

Solução

Para obter um certificado associado ao novo URL do diretório ACME, crie um novo diretório e forneça o parâmetro config-dir ao solicitar o cliente.

  1. Crie um diretório de configuração para o novo certificado.

    Por exemplo:

    C:\< ConfigDirectory >

  2. Execute o comando especificando o diretório de configuração, URL do diretório ACME, chave HMAC e parâmetros KID.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Cenário

O URL do diretório ACME revogado impede a obtenção de um certificado com o novo URL do diretório ACME.

  1. Admin usa o cliente ACME com o antigo URL do diretório ACME.
  2. Admin cria um novo URL de diretório ACME para obter um novo certificado.
  3. Admin revoga o antigo URL do diretório ACME.
  4. O CertCentral ainda emite um certificado usando o antigo URL do diretório ACME em vez do novo URL.

Solução

Para obter um certificado associado ao novo URL do diretório ACME:

  1. Exclua o diretório de configuração do certificado emitido anteriormente configurado com o URL do diretório ACME revogado.

  2. Crie um diretório de configuração para o novo certificado.

    Por exemplo:

    C:\< ConfigDirectory >

  3. Execute o comando especificando o diretório de configuração, URL do diretório ACME, chave HMAC e parâmetros KID.

bash 
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Cenário

Erro de tempo limite

  • Quando a organização associada ao pedido de certificado não é validada.
  • Quando o domínio associado ao pedido de certificado não é validado.
  • Quando a solicitação de certificado não for aprovada em 24 horas.
  • Quando o tempo de aprovação do certificado é superior a 90 segundos.

Solução

Antes de fazer uma solicitação de certificado:

  • Certifique-se de que a organização seja validada.

  1. Vá para Certificados > Organizações.

  2. Na página Organizações, verifique o status de validação da organização para a qual solicitou o certificado.

Se a organização não for validada, analise a solicitação e reenvie para validação. Para obter mais informações, consulte Gerenciar organizações.

  • Certifique-se de que o domínio seja validado.

  1. Vá para Certificados > Domínios.

  2. Na página Domínios, verifique o status de validação do domínio para o qual solicitou o certificado.

Se o domínio não for validado, analise a solicitação e reenvie para validação. Para obter mais informações, consulte Gerenciar domínios.

  • Certifique-se de que a solicitação de certificado seja aprovada em 24 horas após a realização do pedido.

  1. Vá para Certificados > Solicitações.

  2. Na página Solicitações, localize e clique no link do pedido de certificado para aprovar a solicitação.

  • Certifique-se de que as configurações de aprovação automática para o certificado solicitado estejam habilitadas.

  1. Vá para Configurações > Preferências.

  2. Na página Preferências da Divisão, em Configurações Avançadas, na seção Etapas de Aprovação, selecione Ignorar etapa de aprovação: remova a etapa de aprovação de seus processos de pedido de certificado.

Sobre

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.