Skip to main content

設定受管理的自動化的自訂應用

CertCentral 受管理的自動化支援最熱門的特有網頁伺服器應用。

CertCentral 也允許透過「自訂應用程式」選項設定第三方 ACME 用戶端,為延伸原始未支援的其他應用程式的憑證管理提供了靈活性。

若要啟用自訂應用程式的受管理的自動化,請遵照這些步驟:

Step 1: Install DigiCert agent

Custom automations require an active DigiCert agent on the server. The agent coordinates automation requests received from CertCentral and calls your custom shell script to handle certificate lifecycle events for the custom application.

For detailed instructions about how to deploy DigiCert agents on your servers, see 安裝和啟用 ACME 自動化代理程式.

設定第三方 ACME 用戶端

In addition to a DigiCert agent, the server must have a third-party ACME client installed. Your custom automation script invokes the ACME client to request certificates from CertCentral and install them for your custom Linux or Windows application.

CertCentral 受管理的自動化支援業界標準 ACME 通訊協定的任何第三方用戶端合作。

Step 3: Create shell script

You need a shell script to drive the third-party ACME client on your server. During an automation event, the DigiCert agent calls this shell script to invoke the ACME client, which then requests the certificate from CertCentral and installs it for your custom application.

The shell script contains the ACME client command to request and install certificates for your custom application using the parameters expected by the CertCentral ACME service. Command syntax varies based on which third-party ACME client you use. Check the software provider's guidelines for more information.

Below are examples of shell scripts to enable CertCentral managed automation for a custom application via third-party ACME clients Certbot (Linux) and Win-ACME (Windows):

Example 1. Certbot (Linux)
directoryuri=$1
host=$2
emailaddress=$3
eabkeyidentifier=$5
eabkeyhmac=$6
process_path=/usr/bin/apachectl
server_root=/etc/httpd
config_root=/etc/httpd/config
procCmdLine="/usr/bin/apachectl start"
acmeConfigDirectory="/etc/letsencrypt/"
certbot --server $directoryuri --config-dir $acmeConfigDirectory --eab-kid $eabkeyidentifier  --eab-hmac-key $eabkeyhmac --installer apache -m $emailaddress --force-renew --agree-tos --no-redirect --expand -d $host --no-verify-ssl --no-autorenew --pre-hook "$process_path stop" --post-hook $procCmdLine -n --apache-server-root $server_root --apache-vhost-root $config_root
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

Example 2. Win-ACME (Windows)
set SERVERURL=%1
set SANS=%2
set EMAIL=%3
set KEYALGO=%4
set EABKEY=%5
set EABHMAC=%6
set VALIDATIONMODE=--validation selfhosting
"wacs.exe" --baseuri %SERVERURL% --eab-key-identifier=%EABKEY% --eab-key=%EABHMAC% --target manual --host %SANS% --emailaddress %EMAIL% --force --accepttos --notaskscheduler %VALIDATIONMODE% --csr %KEYALGO% --store centralssl --centralsslstore  ./certs
set returnCode=%errorlevel%
EXIT /B %returnCode%

Variable definitions at the top of these shell scripts set the required ACME request parameters:

  • These must match up with the ACME arguments you configure for the custom application in CertCentral.

  • During an automation event, values for these arguments are supplied to the shell script by the local DigiCert agent that calls it.

Commands used in the shell script:

  • Must include all mandatory parameters.

  • Must not exceed 512 characters.

  • Must not include special directives like rm -rf or rmdir

The shell script filename:

  • Must end with .bat or .sh

  • Must not exceed 255 characters.

設定受管理的自動化設定

使用 CertCentral 管理自動化功能表完成您的自訂應用的設定:

  1. 在您的 CertCentral 帳戶的左側主功能表中,前往自動化 > 管理自動化

  2. 管理自動化視圖中,選取在相同憑證主機上運行的本機 ACME 代理程式的名稱作為自訂的應用程式。

  3. 在右側的代理程式組態面板中,向下移動到設定 IP/連接埠區段。

  4. 尋找自訂的應用程式的 IP 位址和連接埠編號。選取自訂作為應用程式名稱。

  5. Client 命令路徑欄位中,提供叫用第三方 ACME 用戶端的殼層指令集的完整目錄路徑。

    例如:

    • Windows:G:\certcentral\agent\custom_automation_1.bat

    • Linux:/home/certcentral/agent/custom_automation_1.sh

  6. Client 命令引數欄位中,指定要使用的一般 ACME 引數。

    例如:

    {acmeDirectoryUrl} {hosts} {email} {key} {extActKid} {extActHmac}

    請注意:

    • 每個引數的輸入必須完全如此處所示。

    • 引數的順序必須和您的殼層指令集中的使用方式相符。

    • 在自動化事件期間,這些引數需要的值自動從選取的自動化設定檔中取得。

    CertCentral 受管理的自動化支援的 ACME 引數說明:

    • {acmeDirectoryUrl} – ACME directory URL 設定。

    • {hosts} – 憑證主機詳細資料。

    • {email} – 通知的電郵地址。

    • {key} – 金鑰演算法 (RSA 或 ECC)。

    • {extActKid} – URL 中使用的外部帳戶金鑰識別碼。

    • {extActHmac} – 用於簽署回應的 HMAC 金鑰。

  7. 選取儲存使更新的自動化設定生效。

下一步是什麼?

設定自訂應用後,您可以用和其他受管理的應用相同的方式管理其憑證自動化。

: