Use um cliente ACME de terceiros para automações de host
Com o CertCentral, você pode usar seu cliente ACME de terceiros preferido para automatizar implantações de certificados e reduzir a sobrecarga de administração de TLS.
O suporte ACME da CertCentral permite automatizar certificados OV e EV públicos e privados para implantações de validade curta ou de vários anos. Também oferecemos suporte à opção de perfil de certificado Signed HTTP Exchange, permitindo que você automatize suas implantações de certificado Signed HTTP Exchange (consulte Para mais informações, consulte URLs do diretório ACME para certificados Signed HTTP Exchange).
Comparação com a automação gerenciada CertCentral
A automação gerenciada do CertCentral é a solução de automação pronta para uso da DigiCert. Ele permite que você gerencie todas as suas automações a partir do console web do CertCentral e inclui recursos para garantir que o ACME e outros componentes de software sejam sempre mantidos atualizados.
Ao usar um cliente ACME de terceiros, você está trabalhando fora da solução de automação gerenciada. Você obtém credenciais básicas do CertCentral para adquirir certificados, mas deve instalar e manter seu próprio software ACME e iniciar ações de automação localmente em cada um de seus sistemas.
Aviso
Para usar a solução de automação gerenciada do CertCentral, você deve habilitá-la para sua conta. Se a automação gerenciada não estiver habilitada, você verá apenas URLs do diretório ACME e Chaves de API listadas no menu Automação do CertCentral.
Para clientes ACME de terceiros, você usará a função URLs do diretório ACME para configurar opções de automação e obter as credenciais necessárias para adquirir certificados DigiCert.
Antes de começar
Antes de começar, certifique-se de que os pré-requisitos foram cumpridos:
Habilite aprovações automáticas de solicitação de certificado para sua conta CertCentral.
Consulte Habilitar aprovações automáticas de solicitações de certificados.
Pré-validar os domínios e organizações para os quais você deseja obter certificados — necessários para a emissão instantânea de certificados.
Para que a emissão instantânea de certificados ACME funcione, você deve pré-validar o domínio e a organização usados em suas solicitações de certificados ACME. Consulte Gerenciar organizações e Gerenciar domínios.
Fluxo de trabalho
A seguir está o fluxo de trabalho geral necessário para automatizar certificados DigiCert com um cliente ACME de terceiros:
Instalar o software cliente ACME de terceiros
Baixe o software ACME do provedor terceirizado e instale-o em qualquer sistema que atuará como clientes de automação.
Configurar os clientes ACME de terceiros
Siga as diretrizes do fornecedor terceirizado para configurar o software ACME instalado em cada sistema.
Criar um ou mais URLs do diretório ACME
Defina as automações ACME de terceiros permitidas no menu CertCentral URLs do diretório ACME.
Por fim, siga as diretrizes do provedor de terceiros e use as credenciais obtidas no menu URLs do diretório ACME para iniciar eventos de automação de certificados nos clientes ACME.
Instalar o software cliente ACME de terceiros
Você pode usar qualquer cliente de automação de terceiros que suporte o protocolo ACME padrão do setor para adquirir certificados do CertCentral. Por exemplo, consulte Certbot da EFF.
Siga as diretrizes do provedor de software para baixar e instalar o cliente ACME de terceiros. Por exemplo, o EFF fornece um guia de instalação para o software Certbot.
Você deve instalar o software cliente ACME separadamente em cada sistema que executará automações de certificados.
Configurar os clientes ACME de terceiros
Configure o software cliente ACME de terceiros separadamente em cada sistema que executará automações.
Siga as diretrizes do fornecedor do software para determinar os parâmetros de configuração necessários. Certifique-se de que cada cliente ACME possa:
Conecte a saída ao HTTPS (porta 443).
Conecte a saída ao endereço IP público 216.168.244.42 (para
acme.digicert.com).Resolva nomes de domínio totalmente qualificados (FQDNs) para o servidor local, por meio de DNS ou de um arquivo local de "hosts".
Criar um ou mais URLs do diretório ACME
Use a função URLs de diretório ACME do CertCentral para configurar as opções de automação e obter as credenciais necessárias para que seu cliente ACME preferido se comunique com a nuvem DigiCert:
Na sua conta CertCentral, no menu principal à esquerda, selecione Automação > URLs do diretório ACME.
Na visualização URLs do diretório ACME, selecione Adicionar URL do diretório ACME.
Na janela pop-up Adicionar URL do diretório ACME, insira um Nome facilmente identificável para o URL.
Na lista suspensa Produto, selecione o tipo de certificado que deseja emitir.
Na lista suspensa Divisão, selecione uma divisão para associar aos certificados emitidos a partir deste URL do diretório ACME.
Na lista suspensa Organização, selecione a organização pré-validada para os certificados emitidos.
Selecione o Período de validade para certificados emitidos a partir deste URL do diretório ACME:
Somente para contas plurianuais, primeiro selecione a Duração da cobertura plurianual na lista suspensa.
Selecione a opção Período de validade do certificado desejado.
Para um período de validade de Duração personalizada, insira o número desejado de Dias.
(Opcional) Para habilitar a opção de perfil de certificado Signed HTTP Exchange, expanda Opções de certificado adicionais e selecione Incluir a extensão CanSignHttpExchanges no certificado. Para obter mais detalhes sobre essa opção, consulte Para mais informações, consulte URLs do diretório ACME para certificados Signed HTTP Exchange.
Selecione Adicionar URL do diretório ACME.
Na janela pop-up Novo URL do diretório ACME, copie seu URL exclusivo do ACME junto com as informações de vinculação da conta externa e salve-o.
Essas informações são necessárias para que seu cliente ACME adquira certificados da CertCentral. Ele só é exibido uma vez.
Depois de copiá-lo e salvá-lo em algum lugar seguro, selecione Entendo que não verei isso novamente para dispensá-lo.
Importante
Quando você gera um URL do diretório ACME, o URL, KID e chave HMAC são exibidos apenas uma vez. Não há como recuperar essas informações depois de navegar para fora delas. Se você perder seus detalhes de URL ACME, precisará revogar o URL perdido e gerar um novo.
Seu novo URL do diretório ACME é adicionado à lista de URLs na página URLs do diretório ACME.
Para obter detalhes sobre certificados adquiridos por meio do URL do Diretório ACME, selecione o ícone de informações ao lado da Descrição do URL.
Iniciar eventos de automação
Com seu cliente ACME de terceiros preferido instalado e configurado e um URL do diretório ACME definido para ele no CertCentral, você está pronto para começar a usar o cliente ACME para adquirir certificados DigiCert.
Para clientes ACME de terceiros, as ações de automação devem ser iniciadas localmente em cada sistema. Siga as diretrizes do provedor de software e use as credenciais obtidas na URL do diretório ACME que você configurou no CertCentral.
Para obter exemplos de como iniciar ações de automação com o cliente EFF Certbot, consulte Exemplos de automação com clientes ACME de terceiros.