Руководство пользователя ACME

Это период открытого бета-тестирования поддержки протокола ACME в CertCentral. Для ознакомления со списком текущих известных проблем см. в разделе Известные проблемы ниже. Чтобы сообщить об ошибках, свяжитесь с нашей Службой поддержки.

Прежде чем начать

Прежде чем начать, убедитесь в том, что выполнены следующие требования:

  • Необходимо обладать правами администратора в своей учетной записи CertCentral
    Чтобы получить доступ к ACME в своей учетной записи CertCentral, перейти на страницу доступа к учетной записи (в меню на боковой панели нажмите Учетная запись > Доступ к учетной записи), после чего появится раздел URL-адреса директории ACME.
  • Необходимо обладать правами root для доступа к своему веб-серверу
    Эти инструкции касаются только Apache. Тем не менее, DigiCert ACME должен быть совместим со всеми веб-серверами.
  • На вашем веб-сервере должен быть установлен работающий клиент ACME, предпочтительно CertBot
    DigiCert рекомендует использовать ваш предпочтительный клиент ACME. Тем не менее, мы включили только инструкции для CertBot. Руководство по установке CertBot доступно в EFF. См. EFF's CertBot.
  • Должно быть включено автоматическое подтверждение запроса на сертификат для вашей учетной записи CertCentral. См. Включить автоматические подтверждения запросов на сертификат.
  • Предварительно проверенные на достоверность домены и организации, чтобы можно было осуществлять мгновенный выпуск.
    Для немедленного выпуска ACME необходимо предварительно подтвердить достоверность домена и организации, используемые в запросе на сертификата ACME. См. Управление организациями и Управление доменами.

DigiCert ACME Beta не рекомендуется использовать в производственной среде.

Создать URL-адрес каталога ACME

Для начала создайте уникальный URL-адрес каталога ACME в своей учетной записи CertCentral. Необходимо включить URL-адрес каталога ACME в команду запроса сертификата CertBot.

  1. В меню на боковой панели вашей учетной записи CertCentral нажмите Учетная запись > Доступ к учетной записи.

    ACME Directory URLS on Account Access page in CertCentral

  1. На странице «Доступ к учетной записи» в разделе «URL-адреса каталога ACME» нажмите Добавить URL-адрес каталога ACME.

  1. Во всплывающем окне «Добавить URL-адрес каталога ACME» введите понятное Имя для URL.

  1. В раскрывающемся списке Продукт выберите сертификат, который вы хотите выпустить с использованием ACME.

В настоящее время DigiCert ACME поддерживает только сертификаты OV и EV TLS/SSL.

  1. В раскрывающемся списке Организация выберите предварительно проверенную на достоверность Организацию, для которой необходимо выпустить сертификат.

  1. Нажмите Добавить URL-адрес каталога ACME.

  1. Во всплывающем окне «Новый URL-адрес каталога ACME» скопируйте уникальный URL-адрес ACME и сохраните его.

    Вам необходимо будет использовать этот URL для запроса вашего сертификата с использованием ACME.

При создании URL-адреса каталога ACME он отображается только один раз. Восстановить потерянный URL-адрес ACME нельзя. Если вы потеряли URL-адрес ACME, вы должны отозвать потерянный URL-адрес ACME и сгенерировать новый.

  1. Нажмите Я понимаю, что я больше не увижу эту информацию.

Ваш новый URL-адрес каталога ACME будет добавлен в список URL-адресов каталога ACME на странице доступа к учетной записи (в меню на боковой панели нажмите Учетная запись > Доступ). Для просмотра подробных сведений о сертификате, который можно заказать посредством URL-адреса каталога ACME, рядом с элементом Имя URL-адреса, щелкните по пиктограмме информации.

ACME: Выпуск и установка сертификата

Если вы установили скрипт certbot-auto, замените certbot на ./certbot-auto в команде. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.

Коды ошибок ACME:
ACME выдает те же ошибки и сообщения об ошибках, что и в CertCentral API. Список кодов ошибок и их значения см. в разделе Ошибки.

  1. Используйте предпочитаемый клиент ACME для подключения к вашему веб-серверу с использованием SSH.

  1. В командной строке терминала запросите сертификат, используя CertBot и приведенную ниже команду.

    • Обязательно замените YOUR-ACME-URL на ранее созданный URL-адрес каталога ACME (см. Создать URL-адрес каталога ACME).
    • Обязательно замените FQDN полным доменным именем, которое вы хотите защитить сертификатом. Для каждого FQDN добавьте дополнительный параметр -d.
bash 
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Ниже приведен пример полной команды для использования в качестве ссылки. Это пример полной команды в качестве ссылки.

bash 
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com

  1. Ввести свою команду CertBot, индивидуально настроен в соответствии с требованиями.

    Для ознакомления с дополнительной информацией о командах и параметрах, используемых в этих инструкциях, см. Параметры ACME.

  1. Вам необходимо будет принять «Условия предоставления услуг». Введите "A” и нажмите enter.

    В настоящее время DigiCert не имеет каких-либо дополнительных условий предоставления услуг для ACME Beta.

Если ваш запрос содержит полностью квалифицированное доменное имя (FQDN), для которого Cerbot не может найти подходящий виртуальный хост, вам будет предложено выбрать виртуальный хост, на который вы хотите установить сертификат.
На Apache проверьте список виртуальных каталогов для ServerName в целях обеспечения соответствия полностью квалифицированному доменному имени.

  1. Укажите, следует ли перенаправлять HTTP-трафик на HTTPS.

    При выборе перенаправления отключается HTTP-доступ к вашему сайту.

  1. После завершения на вашем сервере будет отображаться сообщение об успешном выполнении: “Операция выполнена! Вы успешно включили свои домены…

Операция выполнена! Обработка вашего запроса на сертификат ACME завершена. Новый сертификат установлен на вашем веб-сервере. Вы можете посетить свой веб-сайт, чтобы подтвердить, что установка прошла успешно.

Что дальше

Обработка вашего запроса на сертификат ACME завершена. Вновь выпущенный сертификат установлен на вашем веб-сервере. Пройдите на свой веб-сайт, чтобы подтвердить, что установка прошла успешно.

Вы можете повторно использовать URL-адрес каталога ACME для размещения дополнительных запросов на сертификат для того же сертифицируемого продукта и предварительно проверенной на достоверность организации.

Чтобы запросить сертификаты для другого продукта или организации, создайте новый уникальный URL-адрес каталога ACME для этого продукта или организации. См. Создать URL-адрес каталога ACME.

Параметры ACME

  • certbot: запускает исполняемый файл CertBot.
  • certbot-auto: Используйте вместо certbot, если установлен скрипт certbot-auto. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.
  • --apache: Указывает плагин Apache CertBot, который установит для вас сертификат. Дополнительно.
  • --register-unsafely-without-email: Позволяет пропустить создание учетной записи ACME. Поскольку ваш запрос уже подключен к вашей учетной записи CertCentral, в этом нет необходимости. Дополнительно.
  • --server “URL: Указывает, какой сервер ACME должен выполнить ваш запрос. Поместите URL-адрес каталога ACME в двойные кавычки после этого параметра.
  • -d YOURDOMAIN: Полностью квалифицированное доменное имя, включенное в сертификат. Для каждого полностью квалифицированного доменного имени (FQDN) в сертификате включите a –d YOURDOMAIN. Если вы не включите этот параметр, CertBot предложит вам указать домены, которые вы хотите включить, основываясь на ваших настроенных виртуальных хостах. Дополнительно.

Полный список команд CertBot доступен посредством терминала в справке certbot. Команды также содержатся на Веб-сайте документации CertBot.

Похожие темы

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.