Skip to main content

Exemplos de automação com clientes ACME de terceiros

Com o CertCentral, você pode automatizar certificados usando qualquer cliente ACME de terceiros. Um desses clientes é o Certbot da EFF.

Os exemplos aqui demonstram o uso do cliente Certbot para iniciar ações de automação de certificado para o servidor web Apache.

Embora esses exemplos usem o Certbot, observe que o DigiCert suporta qualquer cliente ACME ou servidor web.

Aviso

Para obter instruções sobre como usar o cert-manager do Kubernetes para criar e gerenciar certificados TLS/SSL, consulte  Configurar o cert-manager e o serviço DigiCert ACME com o Kubernetes.

Antes de começar

  • Certifique-se de ter instalado e configurado seu cliente ACME preferencial seguindo as diretrizes do provedor de software.

  • Configure um URL do diretório ACME para seu cliente ACME preferido no CertCentral. Consulte Use um cliente ACME de terceiros para automações de host.

  • Privilégios de root necessários para instalar certificados para o servidor web.

Certbot: Emita e instale um certificado

Se você instalou o script de certbot-auto, substitua certbot por ./certbot-auto no comando. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.

Aviso

Códigos de erro ACME: ACME retorna os mesmos erros e mensagens de erro que os retornados na API CertCentral. Para obter uma lista de códigos de erro e o que eles significam, consulte Erros.

  1. Abra uma sessão de terminal em seu servidor web, por exemplo, usando SSH.

  2. No prompt do terminal, solicite um certificado usando o Certbot e a sintaxe de comando abaixo:

    • Certifique-se de substituir YOUR-KEY-IDENTIFIER pelo KID de vinculação de conta externa.

    • Certifique-se de substituir YOUR-HMAC-KEY pela chave HMAC de vinculação de conta externa.

    • Certifique-se de substituir YOUR-ACME-URL pelo URL do diretório ACME criado anteriormente.

    • Certifique-se de substituir FQDN pelo nome do domínio totalmente qualificado que você deseja que o certificado proteja. Para cada FQDN, adicione uma opção -d adicional.

      sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

      Exemplo:

      sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
  3. Digite seu comando Certbot, personalizado conforme necessário.

    Para obter informações adicionais sobre os comandos e opções usados nestas instruções, consulte Certbot: Opções de automação ACME.

  4. Será solicitada a aceitação dos Termos de Serviço. Digite "A” e pressione enter.

    Atualmente, o DigiCert não possui quaisquer Termos de Serviço adicionais para o ACME.

    Nota

    Se sua solicitação incluir um FQDN para o qual o Cerbot não consegue encontrar um host virtual correspondente, você será solicitado a selecionar o host virtual no qual deseja instalar o certificado. No Apache, verifique a listagem do Diretório Virtual para ServerName para corresponder ao FQDN.

  5. Selecione se o tráfego HTTP deve ser redirecionado para HTTPS.

    Escolher redirecionar desabilita o acesso do HTTP ao seu site.

  6. Quando terminado, seu servidor exibe uma mensagem de erro: Parabéns! Você ativou seus domínios…

Sua solicitação de certificado ACME está concluída e o certificado recém-emitido está instalado em seu servidor web. Visite seu site para confirmar que seu certificado está em vigor.

Certbot: Renovar e re-emitir um certificado

Renove um certificado quando ele tiver expirado ou estiver para ser renovado. Emita novamente um certificado quando ele estiver ausente ou tiver sido revogado.

Para renovar e reemitir, use esta sintaxe de comando do Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Nota

Anexe o orderId e o action ao URL, conforme mostrado abaixo.

Exemplo (renovar):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Exemplo (reedição):

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Nota

Para contas de planos plurianuais:

  • Renove um certificado quando a cobertura do pedido estiver expirando.

  • Emita novamente um certificado se ele foi revogado ou está expirando dentro da cobertura do pedido.

Certbot: Emitir um certificado duplicado

Para aumentar a segurança e simplificar a instalação do certificado em vários servidores, emita um certificado duplicado para cada servidor.

Nota

Os detalhes no certificado duplicados serão os mesmos que no certificado original. Certificados duplicados nunca exigem que a DigiCert revogue cópias anteriores do seu certificado.

Para emitir um certificado duplicado, use esta sintaxe de comando do Certbot:

sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN

Nota

Anexe o orderId e o action ao URL, conforme mostrado abaixo.

Exemplo:

sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com

Certbot: Opções de automação ACME

  • certbot: executa o executável do Certbot.

  • certbot-auto: Use isso no lugar de certbot quando o script certbot-auto estiver instalado. Talvez seja necessário especificar o caminho de certbot-auto se ele não estiver adicionado à configuração PATH do seu servidor.

  • --apache: Especifica o plug-in do Apache Certbot que instalará o certificado para você. Opcional.

  • --register-unsafely-without-email: Permite que você pule a criação de uma conta ACME. Como a sua solicitação já está conectada à sua conta da CertCentral, isso não é necessário. Opcional.

  • --server “ URL : Especifica qual servidor ACME deve satisfazer a sua solicitação. Coloque sua URL do diretório ACME em aspas duplas após esta opção.

  • --eab-kid=YOURKID: Especifica o identificador de chave, que faz parte do URL comum.

  • --eab-hmac-key=YOURHMACKEY: Especifica a chave usada para assinar a resposta.

  • -d YOUR DOMINIO: O nome do domínio inteiramente qualificado incluído no certificado. Para cada FQDN no certificado, inclua um –d SEUDOMINIO. Se você não incluir essa opção, o Certbot perguntará sobre os domínios que você deseja incluir com base em seus hosts virtuais configurados. Opcional.

  • orderId “YOURORDERID: Especifica o tipo de ID do pedido do certificado existente.

  • action “YOURACTION: Especifica a ação no certificado que está sendo solicitado.

Uma lista completa de comandos do Certbot está disponível através do terminal com certbot –help ou veja a lista de comandos no site de documentação do Certbot.

E depois?

Sua solicitação de certificado ACME está concluída e o certificado recém-emitido está instalado em seu servidor web. Visite seu site para confirmar que seu certificado está em vigor.

Você pode reusar a sua URL do diretório ACME para fazer solicitações adicionais de certificados para o mesmo produto de certificado e organização pré-validada.

Para solicitar certificados para um produto ou organização diferente, crie uma nova URL exclusiva do diretório ACME para aquele produto ou organização. Consulte Use um cliente ACME de terceiros para automações de host.