Skip to main content

Use credenciais legadas da CertCentral ACME

Em 30 de janeiro de 2024, a DigiCert lançou uma nova versão do serviço CertCentral ACME com suporte para o seguinte:

  • Automação baseada em ACME para certificados DV.

  • Verificações de validação de controle de domínio dinâmico por meio do protocolo ACME.

  • Seleção automática da ação do certificado (inscrever/renovar/reemitir/duplicar), com capacidade de anular e forçar uma nova inscrição.

Quaisquer credenciais ACME criadas na CertCentral antes da versão de 30 de janeiro de 2024 não oferecem suporte aos recursos acima e são consideradas legadas. A DigiCert recomenda que você adicione novas credenciais ACME ao substitua quaisquer credenciais ACME herdadas Na sua conta.

Atenção

Quando você solicita certificados usando credenciais ACME herdadas, a CertCentral lida com todas as verificações de validação de domínio, independentemente do protocolo ACME. O FQDN deve ser pré-validado na plataforma CertCentral e estar ativo e dentro do reutilização de validação período.

Durante um evento de automação ACME, nenhuma autorização é realizada pelo próprio protocolo ACME, mesmo que solicitada. Todas as verificações de autorização são realizadas fora da banda pelos serviços de autoridade de registro empresarial (RA) da CertCentral.

Substitua suas credenciais ACME herdadas

Se você tiver credenciais ACME herdadas em sua conta, verá uma mensagem em banner acima da tabela no URLs do diretório ACME página na CertCentral. Cada conjunto de credenciais ACME herdadas é marcado com um ícone de aviso próximo ao Status coluna na tabela.

Para substituir suas credenciais ACME herdadas:

  1. Verifique o produto certificado e as configurações das credenciais ACME herdadas. Você pode verificar isso no URLs do diretório ACME página selecionando as dicas de ferramentas ao lado do Descrição coluna.

  2. Adicionar novas credenciais ACME para o mesmo produto certificado e configurações.Use um cliente ACME de terceiros para automações de host

  3. Configure seus clientes ACME para usar as novas credenciais ACME em vez das legadas.Use um cliente ACME de terceiros para automações de host

Aviso

Para saber mais sobre como usar os recursos de automação ACME mais recentes da CertCentral, consulte: Request and manage certificates with ACME

Exemplos de Certbot para credenciais ACME legadas

Para continuar usando suas credenciais ACME herdadas:

  • Certifique-se de que a organização e o domínio estejam pré-validados na CertCentral. Contato Suporte para validação DigiCert se você precisar de ajuda com isso.

  • Para ações de certificado que não sejam novas inscrições, anexe o número de ID do pedido existente e a ação de certificado solicitada ao URL ACME, conforme mostrado nos exemplos do Certbot abaixo.

Emita e instale um certificado

Se você instalou o script de certbot-auto, substitua certbot por ./certbot-auto no comando. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.

  1. Abra uma sessão de terminal em seu servidor web, por exemplo, usando SSH.

  2. No prompt do terminal, solicite um certificado usando o Certbot e a sintaxe de comando abaixo:

    • Certifique-se de substituir YOUR-KEY-IDENTIFIER pelo KID de vinculação de conta externa.

    • Certifique-se de substituir YOUR-HMAC-KEY pela chave HMAC de vinculação de conta externa.

    • Certifique-se de substituir YOUR-ACME-URL pelo URL do diretório ACME criado anteriormente.

    • Certifique-se de substituir FQDN pelo nome do domínio totalmente qualificado que você deseja que o certificado proteja. Para cada FQDN, adicione uma opção -d adicional.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Exemplo:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  3. Digite seu comando Certbot, personalizado conforme necessário.

    Para obter informações adicionais sobre os comandos e opções usados nestas instruções, consulte Opções de comando do Certbot.

  4. Será solicitada a aceitação dos Termos de Serviço. Digite "A” e pressione enter.

    Atualmente, o DigiCert não possui quaisquer Termos de Serviço adicionais para o ACME.

    Se sua solicitação incluir um FQDN para o qual o Cerbot não consegue encontrar um host virtual correspondente, você será solicitado a selecionar o host virtual no qual deseja instalar o certificado. No Apache, verifique a listagem do Diretório Virtual para ServerName para corresponder ao FQDN.

  5. Selecione se o tráfego HTTP deve ser redirecionado para HTTPS.

    Escolher redirecionar desabilita o acesso do HTTP ao seu site.

  6. Quando terminado, seu servidor exibe uma mensagem de erro: Parabéns! Você ativou seus domínios…

Sua solicitação de certificado ACME está concluída e o certificado recém-emitido está instalado em seu servidor web. Visite seu site para confirmar que seu certificado está em vigor.

Aviso

Códigos de erro ACME: ACME retorna os mesmos erros e mensagens de erro que os retornados na API CertCentral. Para obter uma lista de códigos de erro e o que eles significam, consulte Erros.

Renovar e re-emitir um certificado

Renove um certificado quando ele tiver expirado ou estiver para ser renovado. Emita novamente um certificado quando ele estiver ausente ou tiver sido revogado.

Para renovar e reemitir, use esta sintaxe de comando do Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Anexe o orderId e o action ao URL, conforme mostrado abaixo.

Exemplo (renovar):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Exemplo (reedição):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Nota

Para contas de planos plurianuais:

  • Renove um certificado quando a cobertura do pedido estiver expirando.

  • Emita novamente um certificado se ele foi revogado ou está expirando dentro da cobertura do pedido.

Emitir um certificado duplicado

Para aumentar a segurança e simplificar a instalação do certificado em vários servidores, emita um certificado duplicado para cada servidor.

Os detalhes no certificado duplicados serão os mesmos que no certificado original. Certificados duplicados nunca exigem que a DigiCert revogue cópias anteriores do seu certificado.

Para emitir um certificado duplicado, use esta sintaxe de comando do Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Anexe o orderId e o action ao URL, conforme mostrado abaixo.

Exemplo:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Opções de comando do Certbot

  • certbot: executa o executável do Certbot.

  • certbot-auto: Use isso no lugar de certbot quando o script certbot-auto estiver instalado. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.

  • --apache: Especifica o plug-in do Apache Certbot que instalará o certificado para você. Opcional.

  • --register-unsafely-without-email: Permite que você pule a criação de uma conta ACME. Como a sua solicitação já está conectada à sua conta da CertCentral, isso não é necessário. Opcional.

  • --server “ URL : Especifica qual servidor ACME deve satisfazer a sua solicitação. Coloque sua URL do diretório ACME em aspas duplas após esta opção.

  • --eab-kid=YOURKID: Especifica o identificador de chave, que faz parte do URL comum.

  • --eab-hmac-key=YOURHMACKEY: Especifica a chave usada para assinar a resposta.

  • -d YOUR DOMINIO: O nome do domínio inteiramente qualificado incluído no certificado. Para cada FQDN no certificado, inclua um –d SEUDOMINIO. Se você não incluir essa opção, o Certbot perguntará sobre os domínios que você deseja incluir com base em seus hosts virtuais configurados. Opcional.

  • orderId “YOURORDERID: Especifica o tipo de ID do pedido do certificado existente.

  • action “YOURACTION: Especifica a ação no certificado que está sendo solicitado.

Uma lista completa de comandos do Certbot está disponível através do terminal com certbot –help ou veja a lista de comandos no site de documentação do Certbot.

Nesta secção: