手动 ACME 自动化集成用户指南

对于 ACME + CertCentral,使用您首选的 ACME 客户端自动执行 SSL/TLS 证书部署,无需花费时间手动安装证书。

CertCentral ACME 协议支持允许您自动执行 OV 和 EV SSL/TLS 1 年、2 年和自定义有效期证书部署。我们的 ACME 协议还支持 Signed HTTP Exchange 证书配置文件选项,使您可以自动执行 Signed HTTP Exchange 证书部署(请参阅 Signed HTTP Exchange 证书 ACME 目录 URL)。

这是 CertCentral 中的 ACME 协议支持的开放测试期。有关目前已知问题的列表,请参阅已知问题。要报告错误,请联系我们的支持团队

在开始之前

在开始之前,请确保满足以下先决条件:

  • CertCentral 帐户中的管理员或经理
    要访问 CertCentral 帐户中的 ACME,转到 ACME 目录 URL 页面(在侧栏菜单中,单击自动化 > ACME 目录 URL)。
  • 对您的 Web 服务器的根访问权限
    这些说明仅适用于 Apache。但是,DigiCert ACME 兼容所有 Web 服务器。
  • 在 Web 服务器上安装了可正常工作的 ACME 客户端 - 最好是 CertBot
    DigiCert 建议使用您首选的 ACME 客户端。但是,我们仅提供关于 CertBot 的说明。从 EFF 可获取 CertBot 安装指南。请参阅 EFF CertBot
  • 为您的 CertCentral 帐户启用了自动批准证书请求。请参阅启用自动批准证书请求
  • 对您希望为其获取证书的域和组织进行预验证 - 立即颁发证书的必需条件。
    为了让 ACME 能够立即颁发证书,您必须对您的 ACME 证书请求中的域和组织进行预验证。请参阅管理组织管理域

不建议在生产环境中使用 DigiCert ACME 测试版。

创建 ACME 目录 URL

首先,在您的 CertCentral 帐户中生成唯一的 ACME 目录 URL。您的 CertBot 证书请求命令中需包含 ACME 目录 URL。

  1. 在 CertCentral 帐户的侧栏菜单中,单击自动化 > ACME 目录 URL。

    ACME Directory URLs page

  1. 在“ACME 目录 URL”页上,单击添加 ACME 目录 URL

  1. 在“添加 ACME 目录 URL”弹窗中,输入 URL 的友好名称

  1. 产品下拉列表中,选择您要使用 ACME 颁发的证书。

DigiCert ACME 目前仅支持 OV 和 EV TLS/SSL 证书。

  1. 组织下拉列表中,选择您要为其颁发证书的预验证的组织

  1. 单击添加 ACME 目录 URL

  1. 在“新建 ACME 目录 URL”弹窗中,复制唯一 ACME URL 并保存。

    您需要使用此 URL 请求使用 ACME 颁发证书。

当您生成 ACME 目录 URL 时,它将仅显示一次。丢失的 ACME URL 无法找回。如果 ACME URL 丢失,需吊销丢失的 URL 并生成新 URL。

  1. 单击我知道我无法再看到它

您的新 ACME 目录 URL 已添加到“ACME 目录 URL”页的 URL 列表中(在侧栏菜单中,单击自动化 > ACME 目录 URL)。有关可以通过 ACME 目录 URL 订购的证书的详细信息,请单击 URL 说明旁边的信息图标。

ACME:颁发和安装证书

如果您安装了 certbot-auto 脚本,请将命令中的 certbot 替换为 ./certbot-auto。如果未添加到您的服务器的 PATH 配置,您可能要指定 certbot-auto 的路径。

ACME 错误代码:
ACME 返回的错误和消息与在 CertCentral API 中返回的错误和消息相同。有关错误代码及其含义的列表,请参阅错误

  1. 使用您的首选 ACME 客户端,通过 SSH 连接 Web 服务器

  1. 看到终端提示后,使用 CertBot 和下面的命令申请证书。

    • 请务必将 YOUR-ACME-URL 替换为前面创建的 ACME 目录 URL(请参阅创建 ACME 目录 URL)。
    • 请务必将 FQDN 替换为您希望证书保护的完全限定的域名。对于每个 FQDN,请添加一个额外的 -d 选项。
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

下面是可用作参考的完整命令示例。

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. 输入 CertBot 命令,根据需要进行自定义。

    有关在这些说明中使用的命令和选项的更多信息,请参阅 ACME 选项

  1. 系统将要求您接受服务条款。键入 "A” 并按 enter

    DigiCert 目前不实施关于 ACME 测试版的任何附加服务条款。

如果您的请求中包括 Cerbot 无法为其找到相匹配的虚拟主机的 FQDN,系统将提示您选择您要在其中安装证书的虚拟主机。
在 Apache 上,在虚拟目录列表上检查与 FQDN 匹配的服务器名称。

  1. 选择是否将 HTTP 流量重定向到 HTTPS。

    选择重定向将会禁用对您的网站的 HTTP 访问。

  1. 完成后,您的服务器将显示一条成功消息:“恭喜!您已成功启用您的域...

恭喜!您的 ACME 证书请求已完成,新颁发的证书已安装到您的 Web 服务器上。您可以访问您的网站以确认安装成功。

接下来

您的 ACME 证书请求已完成。新颁发的证书已安装到您的 Web 服务器上。请访问您的网站以确认安装成功。

您可以再次使用您的 ACME 目录 URL 为相同的证书产品和预验证的组织提出更多证书请求。

要为不同产品或组织请求证书,请为该产品或组织创建新的唯一 ACME 目录 URL。请参阅创建 ACME 目录 URL

ACME 选项

  • certbot:运行 CertBot 可执行文件。
  • certbot-auto: 如果安装了 certbot-auto 脚本,则在 certbot 的位置使用。如果未添加到您的服务器的 PATH 配置,您可能要指定 certbot-auto 的路径。
  • --apache: 指定将为您安装证书的 Apache CertBot 插件。可选。
  • --register-unsafely-without-email: 允许您跳过创建 ACME 帐户。由于您的请求已连接到您的 CertCentral 帐户,因此不需要执行此操作。可选
  • --server “URL:指定要完成您的请求的 ACME 服务器。将 ACME 目录 URL 放在此选项后面的双引号中。
  • -d YOUR:包括在证书中的完全限定的域名。对于证书中的每个 FQDN,包括 –d YOURDOMAIN。如果您不包括此选项,CertBot 将根据您配置的虚拟主机提示您要包括的域。可选。

可以从终端使用 certbot –help 获取 CertBot 命令的完整列表。命令也记载在 CertBot 文档网站上。

相关主题