Guia do usuário do ACME

Este é o período open beta para o suporte de protocolo ACME na CertCentral. Para uma lista dos problemas atuais conhecidos, consulte a seção Problemas comuns abaixo. Para relatar erros, contate a nossa Equipe de atendimento.

Antes de começar

Antes de começar, certifique-se de que os pré-requisitos foram cumpridos:

  • É um administrador na sua conta da CertCentral
    Para acessar o ACME na sua conta da CertCentral, visite a página Acesso à conta (no menu da barra lateral, clique em Conta > Acesso à conta) e você verá a seção URLs do diretório ACME.
  • Tem acesso raiz ao seu servidor web
    Estas instruções só cobrem o Apache. Contudo, DigiCert ACME deve ser compatível com todos os servidores web.
  • Ter um Cliente ACME funcional, preferencialmente CertBot, instalado no seu servidor web
    A DigiCert recomenda o uso do seu Cliente ACME preferido. Contudo, só incluímos instruções para CertBot. Um guia de instalação para CertBot está disponível a partir da EFF. Consulte certbot da EFF.
  • Habilitou aprovações automáticas de solicitações de certificados para a sua conta da CertCentral. Consulte Habilitar aprovações automáticas de solicitações de certificados.
  • Pré-validou domínios e organizações para que sua emissão instantânea esteja pronta.
    Para que a emissão instantânea da ACME funcione, você deve pré-validar o domínio e organização usada na sua solicitação de certificado ACME. Consulte Gerenciar organizações e Gerenciar domínios.

DigiCert ACME Beta não é recomendado para uso em um ambiente de produção.

Criar uma URL do diretório ACME

Para começar, gere uma URL exclusiva do diretório ACME na sua conta da CertCentral. Será necessário incluir a sua URL do diretório ACME no seu comando de solicitação do certificado CertBot.

  1. Na sua conta da CertCentral, no menu da barra lateral, clique em Conta > Acesso à conta.

    ACME Directory URLS on Account Access page in CertCentral

  1. Na página Acesso à conta, na seção de URLs do diretório ACME, clique em Adicionar URL do diretório ACME.

  1. Na janela pop-up Adicionar URL do diretório ACME, insira um Nome amigável para a URL.

  1. No menu suspenso Produto, selecione o certificado que você deseja emitir usando ACME.

Atualmente, DigiCert Acme apenas suporta certificados TLS/SSL OV e EV.

  1. No menu suspenso Organização, selecione a Organização pré-validada para a qual você deseja emitir o certificado.

  1. Clique em Adicionar URL do diretório ACME.

  1. Na janela pop-up Nova URL do diretório ACME, copie a sua URL ACME exclusiva e salve-a.

    Será necessário usar esta URL para solicitar o seu certificado usando ACME.

Ao gerar uma URL do Diretório ACME, ele é exibido apenas uma vez. Não há formas de recuperar uma URL ACME perdida. Se perder uma URL ACME, será necessário revogar a URL perdida e gerar uma nova.

  1. Clique em Eu entendo que não verei isso novamente.

Sua nova URL do diretório ACME é adicionada à lista de URLs do diretório ACME na página Acesso à conta (no menu da barra lateral, clique em Conta > Acessar). Para ver detalhes sobre o certificado que podem ser pedidos através da URL do diretório ACME, próximo ao Nome da URL, clique no ícone de informações.

ACME: Emita e instale um certificado

Se você instalou o script de certbot-auto, substitua certbot por ./certbot-auto no comando. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.

Códigos de erro do ACME:
ACME retorna os mesmos erros e mensagens de erros como aquelas retornas na API da CertCentral. Para uma lista de códigos de erro e o que significam, consulte Erros.

  1. Use seu cliente ACME preferido para se conectar ao seu servidor web usando SSH.

  1. No prompt terminal, solicite um certificado usando CertBot e o comando abaixo.

    • Certifique-se de substituir YOUR-ACME-URL pela URL do diretório ACME criada anteriormente (consulte Criar uma URL do diretório ACME).
    • Certifique-se de substituir FQDN pelo nome do domínio totalmente qualificado que você deseja que o certificado proteja. Para cada FQDN, adicione uma opção -d adicional.
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Abaixo está um exemplo de um comando completo para usar como referência. Aqui está um exemplo de um comando completo como referência.

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. Insira seu comando CertBot, personalizado conforme necessário:

    Para informações adicionais sobre os comandos e opções usadas nestas instruções, consulte opções do ACME.

  1. Será solicitada a aceitação dos Termos de Serviço. Digite "A” e aperte enter.

    Atualmente, a DigiCert não tem quaisquer Termos de Serviço adicionais para ACME Beta.

Se a sua solicitação incluir uma FQDN para a qual a Cerbot não pode encontrar host virtual correspondente, será solicitado selecionar o host virtual em que você deseja instalar o certificado.
No Apache, verifique a lista de Diretórios virtuais para ServerName corresponder à FQDN.

  1. Selecione se o tráfego HTTP deve ser redirecionado para HTTPS.

    Escolher redirecionar desabilita o acesso do HTTP ao seu site.

  1. Quando terminado, seu servidor exibe uma mensagem de erro: “Parabéns! Você habilitou com sucesso os seus domínios…

Parabéns! Sua solicitação de certificado ACME está completa e o novo certificado emitido está instalado no seu servidor web. Você pode visitar o seu site para confirmar que a instalação foi bem-sucedida.

E depois?

Sua solicitação do certificado ACME está completa. O novo certificado emitido está instalado no seu servidor web. Visite o seu site para confirmar que a instalação foi bem-sucedida.

Você pode reusar a sua URL do diretório ACME para fazer solicitações adicionais de certificados para o mesmo produto de certificado e organização pré-validada.

Para solicitar certificados para um produto ou organização diferente, crie uma nova URL exclusiva do diretório ACME para aquele produto ou organização. Consulte Criar uma URL do diretório ACME.

Opções do ACME

  • certbot: roda o executável CertBot.
  • certbot-auto: Use no lugar de certbot quando o script certbot-auto estiver instalado. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.
  • --apache: Especifica o plugin Apache CertBot que instalará o certificado para você. Opcional.
  • --register-unsafely-without-email: Permite que você pule a criação de uma conta ACME. Como a sua solicitação já está conectada à sua conta da CertCentral, isso não é necessário. Opcional.
  • --server “URL: Especifica qual servidor ACME deve satisfazer a sua solicitação. Coloque sua URL do diretório ACME em aspas duplas após esta opção.
  • -d YOURDOMÍNIO: O nome do domínio inteiramente qualificado incluído no certificado. Para cada FQDN no certificado, inclua um –d YOURDOMAIN. Se você não incluir está opção, a CertBot perguntará a respeito dos domínios que você deseja incluir com base nos seus hosts virtuais configurados. Opcional.

Uma lista completa de comandos CertBot está disponível através do terminal com certbot-help. Comandos também estão documentados no site da documentação do CertBot.

Tópicos relacionados