Use legacy CertCentral ACME credentials
On January 30, 2024, DigiCert released a new version of the CertCentral ACME service with support for the following:
ACME-based automation for DV certificates.
Dynamic domain control validation checks via the ACME protocol.
Automatic selection of the certificate action (enroll/renew/reissue/duplicate), with the ability to override and force a new enrollment.
Any ACME credentials created in CertCentral prior to the January 30, 2024 release do not support the above features and are considered legacy. DigiCert recommends that you add new ACME credentials to replace any legacy ACME credentials in your account.
Warning
When you request certificates using legacy ACME credentials, CertCentral handles all domain validation checks itself, independent of the ACME protocol. The FQDN must be prevalidated in the CertCentral platform and be active and within the validation reuse period.
During an ACME automation event, no authorization is performed by the ACME protocol itself even though requested. All authorization checks are performed out-of-band by CertCentral's enterprise registration authority (RA) services.
Replace your legacy ACME credentials
If you have any legacy ACME credentials in your account, you will see a banner message above the table on the ACME Directory URLs page in CertCentral. Each set of legacy ACME credentials is marked with a warning icon next to the Status column in the table.
To replace your legacy ACME credentials:
Verify the certificate product and settings for the legacy ACME credentials. You can check this on the ACME Directory URLs page by selecting the tooltips next to the Description column.
Add new ACME credentials for the same certificate product and settings.
Configure your ACME clients to use the new ACME credentials instead of the legacy ones.
Note
To learn more about how to use the latest CertCentral ACME automation features, see: Request and manage certificates with ACME
Certbot examples for legacy ACME credentials
To continue using your legacy ACME credentials:
Make sure both the organization and domain are pre-validated in CertCentral. Contact DigiCert Validation Support if you need help with this.
For certificate actions other than new enrollments, append the existing order ID number and requested certificate action to the ACME URL as shown in the Certbot examples below.
Certbot:發行和安裝憑證
如果您已安裝 certbot-auto 指令集,請在命令中以 ./certbot-auto 取代 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。
在您的網頁伺服器上開啟終端工作階段,例如使用 SSH。
在終端提示上,使用以下的 Certbot 和命令語法:
請確定用外部帳戶繫結 KID 取代
YOUR-KEY-IDENTIFIER。請確定用外部帳戶繫結 HMAC 金鑰取代
YOUR-HMAC-KEY。確定以之前建立的 ACME Directory URL 取代
YOUR-ACME-URL。確定以您要憑證保護安全的完全合格網域名稱取代
FQDN。對於每個 FQDN,請新增其他的-d選項。sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
範例:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
輸入您的 Certbot 命令,視需要自訂。
如需更多有關這些指示中使用的命令和選項的資訊,請參閱 Certbot:ACME 自動化選項。
將要求您接受「服務條款」。請輸入 "A”,然後按 Enter。
目前,DigiCert 沒有 ACME 的任何附加的服務條款。
如果您的要求包括 Cerbot 找不到與 FQDN 相符的虛擬主機,將提示您選取您要安裝憑證所在的虛擬主機。在 Apache 上,檢查 ServerName 的「虛擬目錄」清單以比對 FQDN。
選擇是否將 HTTP 流量重新導向到 HTTPS。
選擇重新導向停用 HTTP 杂取到您的網站。
完成時,您的伺服器顯示成功訊息:“恭喜!您已成功啟用您的網域…”
您的 ACME 憑證要求完成,而且新發行的憑證已安裝在您的網頁伺服器上。請瀏覽您的網站以確認您的憑證已就位。
Note
ACME 錯誤碼:ACME 傳回和在 CertCentral APIl 傳回的相同錯誤和錯誤訊息。關於錯誤碼清單和其代表的含義,請參閱錯誤。
Certbot:續訂和重新發行憑證。
當憑證已過期或續訂到期時,續訂憑證。遺失或撤銷時,重新發行憑證。
若要續訂和重新發行,請使用此 Certbot 命令語法:
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
如以下所示,附加 orderId 和 action 到 URL 中。
範例 (續訂):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
範例 (重新發行):
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
Note
關於多年套餐帳戶:
當訂單涵蓋時間到期時,續訂憑證。
如果在訂單涵蓋時間內撤銷或到期,請重新發行憑證。
Certbot:發行重複的憑證
若要增加多部伺服器的安全性和簡化安裝憑證,請發行每部伺服器的重複的憑證。
重複的憑證中的詳細資料將會和原始憑證的完全相同。重複憑證從不需要 DigiCert 撤銷您之前的憑證。
若要發行重複的憑證,請使用此 Certbot 命令語法:
sudo certbot --apache --register-unsafely-without-email --eab-kid=YOUR-KEY-IDENTIFIER --eab-hmac-key=YOUR-HMAC-KEY --server “YOUR-ACME-URL” -d FQDN
如以下所示,附加 orderId 和 action 到 URL 中。
範例:
sudo certbot --apache --register-unsafely-without-email --eab-kid=zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g --eab-hmac-key=RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=duplicate” -d digicert.com -d www.digicert.com
Certbot:ACME 自動化選項
certbot:執行 CertBot 可執行檔。certbot-auto:安裝 certbot-auto 指令集時,使用此替代 CertBot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。--apache:指定將為您安裝憑證的 Apache CertBot 外掛程式。選用。--register-unsafely-without-email:允許您跳過建立 ACME 帳戶。由於您的要求已連線到您的 CertCentral帳戶,因此這不需要。選用。--server “URL”:指定應履行您的要求的 ACME 伺服器。將 ACME Directory URL 放在此選項後的兩個雙引號中。--eab-kid=YOURKID:指定金鑰識別碼,這是一般 URL 的一部份。--eab-hmac-key=YOURHMACKEY:指定用於簽署回應的金鑰。-d YOURDOMAIN:將完全合格的網域名稱納入到憑證中。對於憑證中的每個 FQDN,納入 –d YOURDOMAIN。如果您未納入此選項,Certbot 將提示您有關您要根據您設定的虛擬主機而納入的網域。選用。orderId “YOURORDERID”:指定現有憑證的訂單 ID 類型。action “YOURACTION”:指定正要求的憑證上的動作。
透過有 certbot –help 終端提供 Cerbot 命令的完整清單,或在 Certbot 文件網站上查看命令清單。