Поиск и устранение неисправностей: Клиенты ACME

CertCentral использует протокол ACME для автоматизации запроса на сертификат на таких специализированных хостах, как веб-серверы или устройствах пунктов обслуживания. DigiCert рекомендует использовать предпочитаемый вами клиент ACME. Тем не менее, мы будем использовать EFF Certbot в качестве эталонного клиента для всех примеров. Реализация для других клиентов может отличаться.

Сценарий

CertCentral выпускает сертификат, связанный с URL старой .

  1. Администратор использует клиент ACME со старым URL-адресом .
  2. Администратор создает новый URL-адрес для получения нового сертификата.
  3. CertCentral все еще выпускает сертификат, используя старый URL-адрес вместо нового URL-адреса.

Способ устранения

Чтобы получить сертификат, связанный с новым URL-адресом , создайте новую директорию и укажите параметр config-dir при запросе клиента.

  1. Создайте директорию конфигурации для нового сертификата.

    Пример:

    C:\< ConfigDirectory >

  2. Запустите команду, указав директорию конфигурации, URL-адрес , ключ HMAC и параметры KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Сценарий

Отозванный URL-адрес не позволяет получить сертификат с новым URL-адресом .

  1. Администратор использует клиент ACME со старым URL-адресом .
  2. Администратор создает новый URL-адрес для получения нового сертификата.
  3. Администратор отзывает старый URL-адрес .
  4. CertCentral все еще выпускает сертификат, используя старый URL-адрес вместо нового URL-адреса.

Способ устранения

Для получения сертификата, связанного с новым URL-адресом :

  1. Удалите директорию конфигурации ранее выпущенного сертификата, настроенного на отозванный URL-адрес .

  2. Создайте директорию конфигурации для нового сертификата.

    Пример:

    C:\< ConfigDirectory >

  3. Запустите команду, указав директорию конфигурации, URL-адрес , ключ HMAC и параметры KID.

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

Сценарий

Ошибка по тайм-ауту

  • Когда организация, связанная с запросом на сертификата, не проверяется.
  • Когда домен, связанный с запросом на сертификата, не проверяется.
  • Если запрос на сертификат не утверждается в течение 24 часов.
  • Когда время утверждения сертификата превышает 90 секунд.

Способ устранения

Перед тем, как разместить запрос на сертификат:

  • Убедитесь в том, что организация прошла проверку достоверности.
  1. Перейдите в раздел Сертификаты > Организации.

  2. На странице «Организации» проверьте статус подтверждения достоверности организации, для которой вы запрашивали сертификат.

Если организация не прошла проверку достоверности, исправьте заявку и повторно подайте ее для проведения проверки. Более подробную информацию см. в разделе Управление организациями.

  • Убедитесь в том, что домен прошел проверку достоверности.
  1. Перейдите в раздел Сертификаты > Домены.

  2. На странице «Домены» проверьте статус подтверждения достоверности домена, для которого вы запрашивали сертификат.

Если домен не прошел проверку достоверности, исправьте заявку и повторно подайте ее для проведения проверки. Более подробную информацию см. в разделе Управление доменами.

  • Обеспечьте, чтобы запрос на сертификат был утвержден в течение 24 часов с момента размещения заказа.
  1. Перейдите в раздел Сертификаты > Запросы.

  2. На странице «Запросы» найдите и нажмите на ссылку заказа на сертификат, чтобы утвердить запрос.

  • Убедитесь в том, что включены настройки автоматического утверждения запрашиваемого сертификата.
  1. Перейдите в раздел Настройки > Предпочтительные настройки.

  2. В разделе «Предпочтительные настройки подразделения» в поле «Расширенные настройки» в разделе «Этапы утверждения» выберите Пропустить этап утверждения: удалить этап утверждения из процедур размещения своих заказов на сертификаты.