Skip to main content

第三方 ACME 客户端的故障排查场景

CertCentral 可与任何支持行业标准 ACME 协议的客户端兼容。

在此处的所有故障排查示例中,以 EFF 的 Certbot 作为参考客户端。其他客户端的详细实现方式可能有差异。

场景:CertCentral 颁发与旧 ACME 目录 URL 关联的证书

场景:

  1. 管理员使用具有旧 ACME 目录 URL 的 ACME 客户端。

  2. 管理员新建 ACME 目录 URL 以获取新的证书。

  3. CertCentral 仍然使用旧 ACME 目录 URL(而不是新的 URL)颁发证书。

解决方案:

如需获取与新的 ACME 目录 URL 关联的证书,请创建新目录,并提供客户端的 config-dir 参数。

  1. 为新证书创建配置目录。例如:C:\<ConfigDirectory>

  2. 运行命令以指定配置目录、ACME 目录 URL、HMAC 密钥和 KID 参数。

.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir=<UniqueConfigDirectoryPath> --server <ACMEURL> --eab-kid=<KIDValue> --eab-hmac-key=<HMACkeyValue>

场景:如果ACME 目录 URL 被吊销,您将无法获得具有新 ACME 目录 URL 的证书。

场景:

  1. 管理员使用具有旧 ACME 目录 URL 的 ACME 客户端。

  2. 管理员新建 ACME 目录 URL 以获取新的证书。

  3. 管理员吊销旧的 ACME 目录 URL。

  4. CertCentral 仍然使用旧 ACME 目录 URL(而不是新的 URL)颁发证书。

解决方案:

请按照以下步骤获取与新的 ACME 目录 URL 关联的证书:

  1. 删除以前使用被吊销的 ACME 目录 URL 配置并颁发的证书的配置目录。

  2. 为新证书创建配置目录。例如:C:\<ConfigDirectory>

  3. 运行命令以指定配置目录、ACME 目录 URL、HMAC 密钥和 KID 参数。

.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir=<UniqueConfigDirectoryPath> --server <ACMEURL> --eab-kid=<KIDValue> --eab-hmac-key=<HMACkeyValue>

场景:超时错误

超时错误:

  • 与证书请求关联的组织未经过验证。

  • 与证书请求关联的域未经过验证。

  • 在 24 小时内未批准证书请求。

  • 证书审批时间超过 90 秒。

解决方案:

在发送证书请求之前:

  • 确保组织已经过验证。

  1. 转到证书 > 组织

  2. 在组织页面上,检查申请证书的组织的验证状态。

注意

如果组织未经过验证,请查看请求并重新提交验证。有关更多信息,请参阅管理组织

  • 确保域已经过验证。

  1. 转到证书 > 域

  2. 在域页面上,检查申请证书的域的验证状态。

注意

如果域未经过验证,请查看请求并重新提交验证。有关更多信息,请参阅管理域

  • 确保证书请求在下单后 24 小时内获得批准。

  1. 转到证书 > 请求

  2. 在请求页面上,查找证书订单链接并单击它,以批准请求。

  • 确保为请求的证书启用自动审批设置。

  1. 转到设置 > 偏好设置

  2. 分区偏好设置页面的高级设置下的审批步骤部分,选择跳过审批步骤:移除证书订购流程中的审批步骤