Руководство пользователя «Интегрирование вручную средств автоматизации для ACME»

Для ACME + CertCentral используйте свой предпочтительный клиент ACME для автоматизации развертывания своих сертификатов SSL/TLS и удаления времени, потраченного на выполнение ручной установки сертификатов.

Поддержка протокола CertCentral ACME позволяет вам автоматизировать развертывание сертификатов OV и EV SSL/TLS на 1 год и на индивидуальный срок. Наш протокол ACME также поддерживает опцию профиля сертификата Signed HTTP Exchange, что позволяет вам автоматизировать развертывание ваших сертификатов Signed HTTP Exchange (см. URL-адреса для сертификатов Signed HTTP Exchange).

Для ознакомления со списком текущих известных проблем см. Автоматизация: Известные проблемы. Чтобы сообщить об ошибках, свяжитесь с нашей Службой поддержки. .

Прежде чем начать

Прежде чем начать, убедитесь в том, что выполнены следующие требования:

  • Администратор или руководитель в вашей учётная запись CertCentral
    Для доступа к ACME в вашей учётная запись CertCentral перейдите на страницу URL-адресов (в меню на боковой панели нажмите Автоматизация > URL-адреса ).
  • Доступ к веб-серверу с полномочиями суперпользователя
    Эти инструкции касаются только Apache. Тем не менее, DigiCert ACME совместим со всеми веб-серверами.
  • Установленный на вашем веб-сервере работающий клиент ACME — предпочтительно CertBot
    DigiCert рекомендует использовать ваш предпочтительный клиент ACME. Тем не менее, мы включили только инструкции для CertBot. Руководство по установке CertBot доступно в EFF. См. EFF's CertBot.
  • Должно быть включено автоматическое подтверждение запроса на сертификат для вашей учётная запись CertCentral. См. Включить автоматические утверждения запросов на сертификат.
  • Предварительно проверенные домены и организации, для которых вы хотите получить сертификаты — для мгновенного выпуска сертификатов.
    Для немедленного выпуска сертификата ACME вам необходимо предварительно подтвердить достоверность домена и организации, используемых в вашем запросе на сертификат ACME. См. Управление организациями и управление доменами.

В дополнение к CertBot, DigiCert также предоставляет поддержку диспетчера сертификатов (cert-manager) для создания и управления сертификатами SSL/TLS. См. Настроить диспетчер сертификатов и сервис DigiCert ACME с Kubernetes.

Создать URL-адрес каталога ACME

Для начала создайте уникальный URL-адрес каталога ACME в своей учётная запись CertCentral. Необходимо включить URL-адрес каталога ACME с привязкой внешней учётная запись (EAB) в команду запроса на сертификат CertBot.

  1. В меню на боковой панели своей учётная запись CertCentral нажмите Автоматизация > URL каталога ACME.

  1. На странице «URL-адреса » нажмите Добавить URL-адрес .

  1. Во всплывающем окне «Добавить URL-адрес каталога ACME» введите понятное Имя для URL.

  1. В раскрывающемся списке Продукт выберите сертификат, который вы хотите выпустить с использованием ACME.

В настоящее время DigiCert ACME поддерживает только сертификаты OV и EV TLS/SSL.

  1. В раскрывающемся списке Подразделение привяжите подразделение к URL-адресу .

Все сертификаты, выданные с этого URL-адреса, будут прикреплены к выбранному подразделению.

  1. В раскрывающемся списке Организация выберите предварительно проверенную на достоверность Организацию, для которой необходимо выпустить сертификат.

  1. (Необязательно) Выберите Продолжительность долгосрочного обслуживания в раскрывающемся списке, если у вас есть учётная запись с планом долгосрочного обслуживания.

  1. В разделе Срок действия, выберите Пользовательская продолжительность и в окне Дни введите число.

  1. Нажмите Добавить URL-адрес каталога ACME.

  1. Во всплывающем окне «URL-адрес » скопируйте свой уникальный URL-адрес ACME с информацией о привязке внешней учётная запись (EAB) и сохраните его.

    Вам необходимо будет использовать эту информацию для запроса вашего сертификата с использованием ACME.

При создании URL-адреса ключ URL, KID и HMAC отображается только один раз. Восстановить потерянную информацию нельзя. Если вы потеряли подробные сведения о URL-адресе ACME, вам придется отозвать потерянный URL-адрес и сгенерировать новый.

  1. Нажмите Я понимаю, что я больше не увижу эту информацию.

Ваш новый URL-адрес добавлен в список URL-адресов на странице URL-адреса (в меню на боковой панели нажмите Автоматизация > URL-адреса ). Для получения более подробной информации о сертификате, который вы можете заказать через URL-адрес , щелкните по значку информации рядом с описанием URL.

ACME: Выпуск и установка сертификата

Если вы установили скрипт certbot-auto, замените certbot на ./certbot-auto в команде. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.

Коды ошибок ACME:
ACME выдает те же ошибки и сообщения об ошибках, что и в CertCentral API. Список кодов ошибок и их значения см. в разделе Ошибки.

  1. Используйте предпочитаемый клиент ACME для подключения к вашему веб-серверу с использованием SSH.

  1. В командной строке терминала запросите сертификат, используя CertBot и приведенную ниже команду.

    • Обязательно замените YOUR-KEY-IDENTIFIER на KID привязки внешней учётная запись.
    • Обязательно замените YOUR-HMAC-KEY на ключ HMAC привязки внешней учётная запись.
    • Обязательно замените YOUR-ACME-URL на ранее созданный URL-адрес каталога ACME (см. Создать URL-адрес каталога ACME).
    • Обязательно замените FQDN полным доменным именем, которое вы хотите защитить сертификатом. Для каждого FQDN добавьте дополнительный параметр -d.
bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Это пример полной команды в качестве справки с привязкой внешней учётная запись.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  1. Ввести свою команду CertBot, индивидуально настроен в соответствии с требованиями.

    Для ознакомления с дополнительной информацией о командах и параметрах, используемых в этих инструкциях, см. Параметры ACME.

  1. Вам необходимо будет принять «Условия предоставления услуг». Введите "A” и нажмите enter.

    В настоящее время DigiCert не имеет каких-либо дополнительных условий предоставления услуг для ACME.

Если ваш запрос содержит полностью квалифицированное доменное имя (FQDN), для которого Cerbot не может найти подходящий виртуальный хост, вам будет предложено выбрать виртуальный хост, на который вы хотите установить сертификат.
На Apache проверьте список виртуальных каталогов для ServerName в целях обеспечения соответствия полностью квалифицированному доменному имени.

  1. Укажите, следует ли перенаправлять HTTP-трафик на HTTPS.

    При выборе перенаправления отключается HTTP-доступ к вашему сайту.

  1. После завершения на вашем сервере будет отображаться сообщение об успешном выполнении: “Операция выполнена! Вы успешно включили свои домены…

Операция выполнена! Обработка вашего запроса на сертификат ACME завершена. Новый сертификат установлен на вашем веб-сервере. Вы можете посетить свой веб-сайт, чтобы подтвердить, что установка прошла успешно.

ACME: Продлить и перевыпустить сертификат

Продлите сертификат по истечении срока его действия или при наступлении срока его продления и перевыпустите сертификат, если он отозван или отсутствует.

Для продления и перевыпуска используйте следующую команду CertBot:

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

Необходимо добавить orderId и action к URL-адресу, как показано в примерах ниже:

Это пример полной команды в качестве справки для продления.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

Это пример полной команды в качестве справки для перевыпуска.

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

Для учётная запись с планом долгосрочного обслуживания

  • Продлите сертификат по истечении срока действия покрытия по заказу.
  • Перевыпустите сертификат, если он отозван или срок его действия истекает в пределах покрытия по заказу.

Что дальше

Обработка вашего запроса на сертификат ACME завершена. Вновь выпущенный сертификат установлен на вашем веб-сервере. Пройдите на свой веб-сайт, чтобы подтвердить, что установка прошла успешно.

Вы можете повторно использовать URL-адрес каталога ACME для размещения дополнительных запросов на сертификат для того же сертифицируемого продукта и предварительно проверенной на достоверность организации.

Чтобы запросить сертификаты для другого продукта или организации, создайте новый уникальный URL-адрес каталога ACME для этого продукта или организации. См. Создать URL-адрес каталога ACME.

Параметры ACME

  • certbot: запускает исполняемый файл CertBot.
  • certbot-auto: Используйте вместо certbot, если установлен скрипт certbot-auto. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.
  • --apache: Указывает плагин Apache CertBot, который установит для вас сертификат. Необязательно.
  • --register-unsafely-without-email: Позволяет пропустить создание учётная запись ACME. Поскольку ваш запрос уже подключен к вашей учётная запись CertCentral, в этом нет необходимости. Необязательно.
  • --server “URL: Указывает, какой сервер ACME должен выполнить ваш запрос. Поместите URL-адрес каталога ACME в двойные кавычки после этого параметра.
  • --eab-kid “YOURKID: Указывает на идентификатор ключа, который является частью общего URL-адреса.
  • --eab-hmac-key “YOURHMACKEY: Указывает на ключ, используемый для подписания ответа.
  • -d YOURDOMAIN: Полностью квалифицированное доменное имя, включенное в сертификат. Для каждого полностью квалифицированного доменного имени (FQDN) в сертификате включите a –d YOURDOMAIN. Если вы не включите этот параметр, CertBot предложит вам указать домены, которые вы хотите включить, основываясь на ваших настроенных виртуальных хостах. Необязательно.
  • orderId “YOURORDERID: Указывает на тип идентификатора заказа существующего сертификата.
  • action “YOURДЕЙСТВИЕ: Указывает на действие по запрашиваемому сертификату.

Полный список команд CertBot доступен посредством терминала в справке certbot. Команды также содержатся на Веб-сайте документации CertBot.

Похожие темы

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.