Для ACME + CertCentral используйте свой предпочтительный клиент ACME для автоматизации развертывания своих сертификатов SSL/TLS и удаления времени, потраченного на выполнение ручной установки сертификатов.
Поддержка протокола CertCentral ACME позволяет вам автоматизировать развертывание сертификатов OV и EV SSL/TLS на 1 год, 2 года и на индивидуальный срок. Наш протокол ACME также поддерживает опцию профиля сертификата Signed HTTP Exchange, что позволяет вам автоматизировать развертывание ваших сертификатов Signed HTTP Exchange (см. URL-адреса директории ACME для сертификатов Signed HTTP Exchange).
Это период открытого бета-тестирования поддержки протокола ACME в CertCentral. Для ознакомления со списком текущих известных проблем см. Известные проблемы. Чтобы сообщить об ошибках, свяжитесь с нашей Службой поддержки.
Прежде чем начать, убедитесь в том, что выполнены следующие требования:
DigiCert ACME Beta не рекомендуется использовать в производственной среде.
Для начала создайте уникальный URL-адрес каталога ACME в своей учетной записи CertCentral. Необходимо включить URL-адрес каталога ACME в команду запроса сертификата CertBot.
В меню на боковой панели своей учетной записи CertCentral нажмите Автоматизация > URL каталога ACME.
На странице «URL-адреса директории ACME» нажмите Добавить URL-адрес директории ACME.
Во всплывающем окне «Добавить URL-адрес каталога ACME» введите понятное Имя для URL.
В раскрывающемся списке Продукт выберите сертификат, который вы хотите выпустить с использованием ACME.
В настоящее время DigiCert ACME поддерживает только сертификаты OV и EV TLS/SSL.
В раскрывающемся списке Организация выберите предварительно проверенную на достоверность Организацию, для которой необходимо выпустить сертификат.
Нажмите Добавить URL-адрес каталога ACME.
Во всплывающем окне «Новый URL-адрес каталога ACME» скопируйте уникальный URL-адрес ACME и сохраните его.
Вам необходимо будет использовать этот URL для запроса вашего сертификата с использованием ACME.
При создании URL-адреса каталога ACME он отображается только один раз. Восстановить потерянный URL-адрес ACME нельзя. Если вы потеряли URL-адрес ACME, вы должны отозвать потерянный URL-адрес ACME и сгенерировать новый.
Нажмите Я понимаю, что я больше не увижу эту информацию.
Ваш новый URL-адрес директории ACME добавлен в список URL-адресов на странице URL-адреса директории ACME (в меню на боковой панели нажмите Автоматизация > URL-адреса директории ACME ). Для получения более подробной информации о сертификате, который вы можете заказать через URL-адрес директории ACME, щелкните по значку информации рядом с описанием URL.
Если вы установили скрипт certbot-auto, замените certbot
на ./certbot-auto
в команде. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.
Коды ошибок ACME:
ACME выдает те же ошибки и сообщения об ошибках, что и в CertCentral API. Список кодов ошибок и их значения см. в разделе Ошибки.
Используйте предпочитаемый клиент ACME для подключения к вашему веб-серверу с использованием SSH.
В командной строке терминала запросите сертификат, используя CertBot и приведенную ниже команду.
YOUR-ACME-URL
на ранее созданный URL-адрес каталога ACME (см. Создать URL-адрес каталога ACME).FQDN
полным доменным именем, которое вы хотите защитить сертификатом. Для каждого FQDN добавьте дополнительный параметр -d
.sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN
Это пример полной команды в качестве ссылки.
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
Ввести свою команду CertBot, индивидуально настроен в соответствии с требованиями.
Для ознакомления с дополнительной информацией о командах и параметрах, используемых в этих инструкциях, см. Параметры ACME.
Вам необходимо будет принять «Условия предоставления услуг». Введите "A” и нажмите enter.
В настоящее время DigiCert не имеет каких-либо дополнительных условий предоставления услуг для ACME Beta.
Если ваш запрос содержит полностью квалифицированное доменное имя (FQDN), для которого Cerbot не может найти подходящий виртуальный хост, вам будет предложено выбрать виртуальный хост, на который вы хотите установить сертификат.
На Apache проверьте список виртуальных каталогов для ServerName в целях обеспечения соответствия полностью квалифицированному доменному имени.
Укажите, следует ли перенаправлять HTTP-трафик на HTTPS.
При выборе перенаправления отключается HTTP-доступ к вашему сайту.
После завершения на вашем сервере будет отображаться сообщение об успешном выполнении: “Операция выполнена! Вы успешно включили свои домены…”
Операция выполнена! Обработка вашего запроса на сертификат ACME завершена. Новый сертификат установлен на вашем веб-сервере. Вы можете посетить свой веб-сайт, чтобы подтвердить, что установка прошла успешно.
Обработка вашего запроса на сертификат ACME завершена. Вновь выпущенный сертификат установлен на вашем веб-сервере. Пройдите на свой веб-сайт, чтобы подтвердить, что установка прошла успешно.
Вы можете повторно использовать URL-адрес каталога ACME для размещения дополнительных запросов на сертификат для того же сертифицируемого продукта и предварительно проверенной на достоверность организации.
Чтобы запросить сертификаты для другого продукта или организации, создайте новый уникальный URL-адрес каталога ACME для этого продукта или организации. См. Создать URL-адрес каталога ACME.
certbot
: запускает исполняемый файл CertBot.certbot-auto
: Используйте вместо certbot, если установлен скрипт certbot-auto. Вам может потребоваться указать путь к certbot-auto, если он не добавлен в конфигурацию PATH вашего сервера.--apache
: Указывает плагин Apache CertBot, который установит для вас сертификат. Дополнительно.--register-unsafely-without-email
: Позволяет пропустить создание учетной записи ACME. Поскольку ваш запрос уже подключен к вашей учетной записи CertCentral, в этом нет необходимости. Дополнительно.--server “
URL
”
: Указывает, какой сервер ACME должен выполнить ваш запрос. Поместите URL-адрес каталога ACME в двойные кавычки после этого параметра.-d YOUR
DOMAIN
: Полностью квалифицированное доменное имя, включенное в сертификат. Для каждого полностью квалифицированного доменного имени (FQDN) в сертификате включите a –d YOURDOMAIN. Если вы не включите этот параметр, CertBot предложит вам указать домены, которые вы хотите включить, основываясь на ваших настроенных виртуальных хостах. Дополнительно.Полный список команд CertBot доступен посредством терминала в справке certbot. Команды также содержатся на Веб-сайте документации CertBot.
Похожие темы