Configurar um aplicativo personalizado para automação gerenciada

A automação gerenciada da CertCentral oferece suporte aos aplicativos de servidor da Web mais populares prontos para uso.

O CertCentral também oferece a flexibilidade de estender o gerenciamento de certificados para aplicativos adicionais não suportados nativamente, permitindo a configuração de clientes ACME de terceiros por meio da opção "aplicativo personalizado".

Para habilitar a automação gerenciada para um aplicativo personalizado, siga estas etapas:

Step 1: Install DigiCert agent

Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about how to deploy DigiCert agents on your servers, see Instalar e ativar um agente de automação ACME.

Configurar cliente ACME de terceiros

In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.

A automação gerenciada do CertCentral funciona com qualquer cliente de terceiros que suporte o protocolo ACME padrão do setor.

Step 3: Create shell script

You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.

The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.

Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):

exemplo 1. Certbot (Linux)

directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

exemplo 2. Win-ACME (Windows)

set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variable definitions at the top of these shell scripts set the required ACME request parameters:

These must match up with the ACME arguments you configure for the custom application in CertCentral.
During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.

Commands used in the shell script:

Must include all mandatory parameters.
Must not exceed 512 characters.
Must not include special directives like rm -rf or rmdir

The shell script filename:

Must end with .bat or .sh
Must not exceed 255 characters.

Definir as configurações de automação gerenciada

Use o menu Gerenciar automação do CertCentral para concluir a configuração do seu aplicativo personalizado:

Na sua conta CertCentral, no menu principal à esquerda, vá para Automação > Gerenciar automação.
Na exibição Gerenciar automação, selecione o Nome do agente ACME local em execução no mesmo host de certificado que o aplicativo personalizado.
No painel de configuração do agente à direita, vá para a seção Configurar IP/porta.
Localize o endereço IP e o número da porta para o aplicativo personalizado. Selecione Personalizado como o nome do aplicativo.
No campo Caminho do comando do cliente, forneça o caminho completo do diretório para o script de shell que invocará o cliente ACME de terceiros.
Por exemplo:
- Windows: G:\certcentral\agent\custom_automation_1.bat
- Linux: /home/certcentral/agent/custom_automation_1.sh
No campo Argumentos de comando do cliente, especifique os argumentos gerais do ACME a serem usados.
Por exemplo:
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}
Observe que:
- Cada argumento deve ser inserido exatamente como mostrado aqui.
- A ordem dos argumentos deve corresponder à forma como eles são usados em seu script de shell.
- Durante um evento de automação, os valores necessários para esses argumentos são obtidos automaticamente do perfil de automação selecionado.
Explicação dos argumentos ACME suportados pela automação gerenciada do CertCentral:
- {acmeDirectoryUrl} – configurações de URL do diretório ACME.
- {hosts} – Detalhes do host do certificado.
- {email} – Endereço de e-mail para notificações.
- {key} – Algoritmo de chave (RSA ou ECC).
- {extActKid} – Identificador de chave de conta externa usado na URL.
- {extActHmac} – Chave HMAC para assinar a resposta.
Selecione Salvar para ativar as configurações de automação atualizadas.

E depois?

Depois de configurar o aplicativo personalizado, você pode gerenciar automações de certificado para ele da mesma forma que outros aplicativos gerenciados.

Nesta secção: