Solução de problemas: Clientes ACME

O CertCentral usa o protocolo ACME para automatizar sua solicitação de certificado em hosts dedicados, como servidores da web ou dispositivos de ponto de serviço. DigiCert recomenda usar seu cliente ACME preferido. No entanto, usaremos o Certbot da EFF como cliente de referência para todos os exemplos. A implementação para outros clientes pode variar.

Cenário

O CertCentral emite o certificado associado ao antigo URL do diretório ACME.

  1. Admin usa o cliente ACME com o antigo URL do diretório ACME.
  2. Admin cria um novo URL de diretório ACME para obter um novo certificado.
  3. O CertCentral ainda emite um certificado usando o antigo URL do diretório ACME em vez do novo URL.

Solução

Para obter um certificado associado ao novo URL do diretório ACME, crie um novo diretório e forneça o parâmetro config-dir ao solicitar o cliente.

  1. Crie um diretório de configuração para o novo certificado.

    Por exemplo:

    C:\< ConfigDirectory >

  2. Execute o comando especificando o diretório de configuração, URL do diretório ACME, chave HMAC e parâmetros KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Cenário

O URL do diretório ACME revogado impede a obtenção de um certificado com o novo URL do diretório ACME.

  1. Admin usa o cliente ACME com o antigo URL do diretório ACME.
  2. Admin cria um novo URL de diretório ACME para obter um novo certificado.
  3. Admin revoga o antigo URL do diretório ACME.
  4. O CertCentral ainda emite um certificado usando o antigo URL do diretório ACME em vez do novo URL.

Solução

Para obter um certificado associado ao novo URL do diretório ACME:

  1. Exclua o diretório de configuração do certificado emitido anteriormente configurado com o URL do diretório ACME revogado.

  2. Crie um diretório de configuração para o novo certificado.

    Por exemplo:

    C:\< ConfigDirectory >

  3. Execute o comando especificando o diretório de configuração, URL do diretório ACME, chave HMAC e parâmetros KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Cenário

Erro de tempo limite

  • Quando a organização associada ao pedido de certificado não é validada.
  • Quando o domínio associado ao pedido de certificado não é validado.
  • Quando a solicitação de certificado não for aprovada em 24 horas.
  • Quando o tempo de aprovação do certificado é superior a 90 segundos.

Solução

Antes de fazer uma solicitação de certificado:

  • Certifique-se de que a organização seja validada.
  1. Vá para Certificados > Organizações.

  2. Na página Organizações, verifique o status de validação da organização para a qual solicitou o certificado.

Se a organização não for validada, analise a solicitação e reenvie para validação. Para obter mais informações, consulte Gerenciar organizações.

  • Certifique-se de que o domínio seja validado.
  1. Vá para Certificados > Domínios.

  2. Na página Domínios, verifique o status de validação do domínio para o qual solicitou o certificado.

Se o domínio não for validado, analise a solicitação e reenvie para validação. Para obter mais informações, consulte Gerenciar domínios.

  • Certifique-se de que a solicitação de certificado seja aprovada em 24 horas após a realização do pedido.
  1. Vá para Certificados > Solicitações.

  2. Na página Solicitações, localize e clique no link do pedido de certificado para aprovar a solicitação.

  • Certifique-se de que as configurações de aprovação automática para o certificado solicitado estejam habilitadas.
  1. Vá para Configurações > Preferências.

  2. Na página Preferências da Divisão, em Configurações Avançadas, na seção Etapas de Aprovação, selecione Ignorar etapa de aprovação: remova a etapa de aprovação de seus processos de pedido de certificado.