Руководство пользователя «Интегрирование вручную средств автоматизации для ACME»

Для ACME + CertCentral используйте свой предпочтительный клиент ACME для автоматизации развертывания своих сертификатов SSL/TLS и удаления времени, потраченного на выполнение ручной установки сертификатов.

Поддержка протокола CertCentral ACME позволяет вам автоматизировать развертывание сертификатов OV и EV SSL/TLS на 1 год, 2 года и на индивидуальный срок. Наш протокол ACME также поддерживает опцию профиля сертификата Signed HTTP Exchange, что позволяет вам автоматизировать развертывание ваших сертификатов Signed HTTP Exchange (см. URL-адреса директории ACME для сертификатов Signed HTTP Exchange).

Это период открытого бета-тестирования поддержки протокола ACME в CertCentral. Для ознакомления со списком текущих известных проблем см. Известные проблемы. Чтобы сообщить об ошибках, свяжитесь с нашей Службой поддержки.

Прежде чем начать

Прежде чем начать, убедитесь в том, что выполнены следующие требования:

  • Администратор или руководитель в вашей учетной записи CertCentral
    Для доступа к ACME в вашей учетной записи CertCentral перейдите на страницу URL-адресов директории ACME (в меню на боковой панели нажмите Автоматизация > URL-адреса директории ACME).
  • Доступ к веб-серверу с полномочиями суперпользователя
    Эти инструкции касаются только Apache. Тем не менее, DigiCert ACME совместим со всеми веб-серверами.
  • Установленный на вашем веб-сервере работающий клиент ACME — предпочтительно CertBot
    DigiCert рекомендует использовать ваш предпочтительный клиент ACME. Тем не менее, мы включили только инструкции для CertBot. Руководство по установке CertBot доступно в EFF. См. EFF's CertBot.
  • Должно быть включено автоматическое подтверждение запроса на сертификат для вашей учетной записи CertCentral. См. Включить автоматические подтверждения запросов на сертификат.
  • Предварительно проверенные домены и организации, для которых вы хотите получить сертификаты — для мгновенного выпуска сертификатов.
    Для немедленного выпуска сертификата ACME вам необходимо предварительно подтвердить достоверность домена и организации, используемых в вашем запросе на сертификат ACME. См. Управление организациями и управление доменами.

DigiCert ACME Beta не рекомендуется использовать в производственной среде.

Создать URL-адрес каталога ACME

Для начала создайте уникальный URL-адрес каталога ACME в своей учетной записи CertCentral. Необходимо включить URL-адрес каталога ACME в команду запроса сертификата CertBot.

  1. В меню на боковой панели своей учетной записи CertCentral нажмите Автоматизация > URL каталога ACME.

    ACME Directory URLs page

  1. На странице «URL-адреса директории ACME» нажмите Добавить URL-адрес директории ACME.

  1. Во всплывающем окне «Добавить URL-адрес каталога ACME» введите понятное Имя для URL.

  1. В раскрывающемся списке Продукт выберите сертификат, который вы хотите выпустить с использованием ACME.

В настоящее время DigiCert ACME поддерживает только сертификаты OV и EV TLS/SSL.

  1. В раскрывающемся списке Организация выберите предварительно проверенную на достоверность Организацию, для которой необходимо выпустить сертификат.

  1. Нажмите Добавить URL-адрес каталога ACME.

  1. Во всплывающем окне «Новый URL-адрес каталога ACME» скопируйте уникальный URL-адрес ACME и сохраните его.

    Вам необходимо будет использовать этот URL для запроса вашего сертификата с использованием ACME.

При создании URL-адреса каталога ACME он отображается только один раз. Восстановить потерянный URL-адрес ACME нельзя. Если вы потеряли URL-адрес ACME, вы должны отозвать потерянный URL-адрес ACME и сгенерировать новый.

  1. Нажмите Я понимаю, что я больше не увижу эту информацию.

Ваш новый URL-адрес директории ACME добавлен в список URL-адресов на странице URL-адреса директории ACME (в меню на боковой панели нажмите Автоматизация > URL-адреса директории ACME ). Для получения более подробной информации о сертификате, который вы можете заказать через URL-адрес директории ACME, щелкните по значку информации рядом с описанием URL.

ACME: Выпуск и установка сертификата

Если вы установили скрипт certbot-auto, замените certbot на ./certbot-auto в команде. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.

Коды ошибок ACME:
ACME выдает те же ошибки и сообщения об ошибках, что и в CertCentral API. Список кодов ошибок и их значения см. в разделе Ошибки.

  1. Используйте предпочитаемый клиент ACME для подключения к вашему веб-серверу с использованием SSH.

  1. В командной строке терминала запросите сертификат, используя CertBot и приведенную ниже команду.

    • Обязательно замените YOUR-ACME-URL на ранее созданный URL-адрес каталога ACME (см. Создать URL-адрес каталога ACME).
    • Обязательно замените FQDN полным доменным именем, которое вы хотите защитить сертификатом. Для каждого FQDN добавьте дополнительный параметр -d.
bash 
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

Это пример полной команды в качестве ссылки.

bash 
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com

  1. Ввести свою команду CertBot, индивидуально настроен в соответствии с требованиями.

    Для ознакомления с дополнительной информацией о командах и параметрах, используемых в этих инструкциях, см. Параметры ACME.

  1. Вам необходимо будет принять «Условия предоставления услуг». Введите "A” и нажмите enter.

    В настоящее время DigiCert не имеет каких-либо дополнительных условий предоставления услуг для ACME Beta.

Если ваш запрос содержит полностью квалифицированное доменное имя (FQDN), для которого Cerbot не может найти подходящий виртуальный хост, вам будет предложено выбрать виртуальный хост, на который вы хотите установить сертификат.
На Apache проверьте список виртуальных каталогов для ServerName в целях обеспечения соответствия полностью квалифицированному доменному имени.

  1. Укажите, следует ли перенаправлять HTTP-трафик на HTTPS.

    При выборе перенаправления отключается HTTP-доступ к вашему сайту.

  1. После завершения на вашем сервере будет отображаться сообщение об успешном выполнении: “Операция выполнена! Вы успешно включили свои домены…

Операция выполнена! Обработка вашего запроса на сертификат ACME завершена. Новый сертификат установлен на вашем веб-сервере. Вы можете посетить свой веб-сайт, чтобы подтвердить, что установка прошла успешно.

Что дальше

Обработка вашего запроса на сертификат ACME завершена. Вновь выпущенный сертификат установлен на вашем веб-сервере. Пройдите на свой веб-сайт, чтобы подтвердить, что установка прошла успешно.

Вы можете повторно использовать URL-адрес каталога ACME для размещения дополнительных запросов на сертификат для того же сертифицируемого продукта и предварительно проверенной на достоверность организации.

Чтобы запросить сертификаты для другого продукта или организации, создайте новый уникальный URL-адрес каталога ACME для этого продукта или организации. См. Создать URL-адрес каталога ACME.

Параметры ACME

  • certbot: запускает исполняемый файл CertBot.
  • certbot-auto: Используйте вместо certbot, если установлен скрипт certbot-auto. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.
  • --apache: Указывает плагин Apache CertBot, который установит для вас сертификат. Дополнительно.
  • --register-unsafely-without-email: Позволяет пропустить создание учетной записи ACME. Поскольку ваш запрос уже подключен к вашей учетной записи CertCentral, в этом нет необходимости. Дополнительно.
  • --server “URL: Указывает, какой сервер ACME должен выполнить ваш запрос. Поместите URL-адрес каталога ACME в двойные кавычки после этого параметра.
  • -d YOURDOMAIN: Полностью квалифицированное доменное имя, включенное в сертификат. Для каждого полностью квалифицированного доменного имени (FQDN) в сертификате включите a –d YOURDOMAIN. Если вы не включите этот параметр, CertBot предложит вам указать домены, которые вы хотите включить, основываясь на ваших настроенных виртуальных хостах. Дополнительно.

Полный список команд CertBot доступен посредством терминала в справке certbot. Команды также содержатся на Веб-сайте документации CertBot.

Похожие темы

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.