故障排除:ACME 客户端

CertCentral 使用 ACME 协议自动执行专用主机(例如,网络服务器或服务点设备)上的证书请求。DigiCert 建议使用您的首选 ACME 客户端。但是,我们会使用 EFF 的 Certbot 作为所有示例的参考客户端。其他客户端的实现方式可能有差异。

场景

CertCentral 颁发与旧 ACME 目录 URL 关联的证书。

  1. 管理员使用具有旧 ACME 目录 URL 的 ACME 客户端。
  2. 管理员新建 ACME 目录 URL 以获取新的证书。
  3. CertCentral 仍然使用旧 ACME 目录 URL(而不是新的 URL)颁发证书。

解决方案

如需获取与新的 ACME 目录 URL 关联的证书,请创建新目录,并在请求客户端时提供 config-dir 参数。

  1. 为新证书创建配置目录。

    例如:

    C:\<ConfigDirectory >

  2. 运行命令以指定配置目录、ACME 目录 URL、HMAC 密钥和 KID 参数。

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

场景

ACME 目录 URL 被吊销将无法获得具有新 ACME 目录 URL 的证书。

  1. 管理员使用具有旧 ACME 目录 URL 的 ACME 客户端。
  2. 管理员新建 ACME 目录 URL 以获取新的证书。
  3. 管理员吊销旧的 ACME 目录 URL。
  4. CertCentral 仍然使用旧 ACME 目录 URL(而不是新的 URL)颁发证书。

解决方案

请按照以下步骤获取与新的 ACME 目录 URL 关联的证书:

  1. 删除以前使用被吊销的 ACME 目录 URL 配置并颁发的证书的配置目录。

  2. 为新证书创建配置目录。

    例如:

    C:\<ConfigDirectory >

  3. 运行命令以指定配置目录、ACME 目录 URL、HMAC 密钥和 KID 参数。

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

场景

超时错误

  • 与证书请求关联的组织未经过验证。
  • 与证书请求关联的域未经过验证。
  • 在 24 小时内未批准证书请求。
  • 证书审批时间超过 90 秒。

解决方案

在发送证书请求之前:

  • 确保组织已经过验证。
  1. 转到证书 > 组织。

  2. 在组织页面上,检查申请证书的组织的验证状态。

如果组织未经过验证,请查看请求并重新提交验证。有关更多信息,请参阅管理组织

  • 确保域已经过验证。
  1. 转到证书 > 域

  2. 在域页面上,检查申请证书的域的验证状态。

如果域未经过验证,请查看请求并重新提交验证。有关更多信息,请参阅管理域

  • 确保证书请求在下单后 24 小时获得批准。
  1. 转到证书 > 请求

  2. 在请求页面上,查找证书订单链接并单击它,以批准请求。

  • 确保为请求的证书启用自动审批设置。
  1. 转到设置 > 偏好设置

  2. 在“分区偏好设置”页面的“高级设置”下的“审批步骤”部分,选择跳过审批步骤:移除证书订购流程中的审批步骤