設定受管理的自動化的自訂應用

CertCentral 受管理的自動化支援最熱門的特有網頁伺服器應用。

CertCentral 也允許透過「自訂應用程式」選項設定第三方 ACME 用戶端，為延伸原始未支援的其他應用程式的憑證管理提供了靈活性。

若要啟用自訂應用程式的受管理的自動化，請遵照這些步驟：

設定第三方 ACME 用戶端
在憑證主機上，安裝和設定您喜好的第三方 ACME 用戶端。
建立殼層指令集
在憑證主機上，建立 CertCentral 可用於叫用第三方 ACME 用戶端的說明程式指令集。
設定受管理的自動化設定
在 CertCentral 中，使用管理自動化功能表設定搭配自訂應用程式使用的殼層指令集。

Note

自訂自動化仍需要在本機憑證主機上安裝和啟用 DigiCert ACME 自動化代理程式。

設定第三方 ACME 用戶端

CertCentral 受管理的自動化支援業界標準 ACME 通訊協定的任何第三方用戶端合作。

請遵照軟體提供者的指示在憑證主機上安裝和設定您喜好的第三方 ACME 用戶端。

建立殼層指令集

CertCentral 需要憑證主機上的殼層指令集以叫用第三方 ACME 用戶端。在自動化事件期間，DigiCert 代理程式呼叫殼層指令集以叫用用戶端，輪流訂購和安裝憑證。

殼層指令集必須包含用於第三方 ACME 用戶端的基本自動化命令。命令語法因使用的第三方 ACME 用戶端而異。請參閱軟體提供者的指示以瞭解更多資訊。

以下是使用於透過第三方用戶端 EFF Certbot (Linux) 和 Win-ACME (Windows) 訂購 DigiCert 憑證的殼層指令集範例：

Example 1. EFF Certbot (Linux)

directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

Example 2. Win-ACME (Windows)

set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

在需要的 ACME 引數中，讀取在這些殼層指令集頂端的變數定義：

這些必須與您為了 CertCentral 中的自訂應用設定的 ACME 引數相符。
在自動化事件期間，呼叫殼層指令集的本機 DigiCert 自動化代理程式提供這些引數的值。

殼層指令集中使用的命令：

必須納入必要的參數。
不可超過 512 個字元。
不可包括 rm -rf 或 rmdir 等指殊指令

殼層指令集檔案名稱：

必須以 .bat 或 .sh 作為結尾
不可超過 255 個字元。

設定受管理的自動化設定

使用 CertCentral 管理自動化功能表完成您的自訂應用的設定：

在您的 CertCentral 帳戶的左側主功能表中，前往自動化 > 管理自動化。
從管理自動化視圖中，選取在相同憑證主機上運行的本機 ACME 代理程式的名稱作為自訂的應用程式。
在右側的代理程式組態面板中，向下移動到設定 IP/連接埠區段。
尋找自訂的應用程式的 IP 位址和連接埠編號。選取自訂作為應用程式名稱。
在Client 命令路徑欄位中，提供叫用第三方 ACME 用戶端的殼層指令集的完整目錄路徑。
例如：
- Windows：G:\certcentral\agent\custom_automation_1.bat
- Linux：/home/certcentral/agent/custom_automation_1.sh
在 Client 命令引數欄位中，指定要使用的一般 ACME 引數。
例如：
{acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}
請注意：
- 每個引數的輸入必須完全如此處所示。
- 引數的順序必須和您的殼層指令集中的使用方式相符。
- 在自動化事件期間，這些引數需要的值自動從選取的自動化設定檔中取得。
CertCentral 受管理的自動化支援的 ACME 引數說明：
- {acmeDirectoryUrl} – ACME directory URL 設定。
- {hosts} – 憑證主機詳細資料。
- {email} – 通知的電郵地址。
- {key} – 金鑰演算法 (RSA 或 ECC)。
- {extActKid} – URL 中使用的外部帳戶金鑰識別碼。
- {extActHmac} – 用於簽署回應的 HMAC 金鑰。
選取儲存使更新的自動化設定生效。

下一步是什麼？

設定自訂應用後，您可以用和其他受管理的應用相同的方式管理其憑證自動化。

若要深入瞭解：接下來的步驟.