手動 ACME 自動整合使用指南
有了 ACME + CertCentral,您可以使用您喜好的 ACME 用戶端自動化您的 SSL/TLS 憑證部署,並免去完成手動安裝憑證要花費的時間。
CertCentral ACME 協定允許您自動化 OV 和 EV SSL/TLS 1 年、 2 年和自訂有效期間的憑證部署。我們的 ACME 協定也支援 Signed HTTP Exchange 憑證設定檔選項,讓您可以自動化您的 Signed HTTP Exchange 憑證部署 (請參閱適用於 Signed HTTP Exchange 憑證的 ACME Directory URL)。
在您開始前,確定符合這些先決條件:
- 您的 CertCentral 帳戶中的系統管理員或管理員
若要在您的 CertCentral 帳戶中存取 ACME,請前往 ACME Directory URL 頁面 (在資訊看板功能表中,按一下自動化 > ACME Directory URL)。 - 您的網頁伺服器的根存取權限
這些指示僅涵蓋 Apache。但 DigiCert ACME 和所有網頁伺服器相容。 - ACME Client 安裝在您的網頁伺服器上 — 最好是 CertBot
DigiCert 阵議使用您喜好的 ACME Client。但我們僅加入 CertBot 的指示。從 EFF 可取得 CerBot 的安裝指南。請參閱 EFF 的 certbot。 - 啟用適用於您的 CertCentral 帳戶的自動要求核准。請參問啟用自動憑要求核准。
- 預先驗證您要取得憑證的網域和組織 — 即時發行憑證所需。
要使 ACME 即時發行憑證作用,您必須預先驗證在您的 ACME 憑證要求中使用的網域和組織。請參閱管理組織和管理網域。
不建議在生產環境中使用 DigiCert ACME Beta。
若要開始,請在您的 CertCentrat 帳戶中產生一個唯一的 ACME Directory URL。您要在您的 CertBot 憑證要求命令中加入您的 ACME Directory URL。
-
在您的 CertCentral 帳戶的資訊看板功能表中,按一下自動化 > ACME Directory URL。
-
在 ACME Directory URL 頁面上,按一下新增 ACME Directory URL。
-
在「新增 ACME Directory URL」彈出視窗中,輸入用於 URL 的易記名稱。
-
在產品下拉清單中,選擇您要使用 ACME 發行的憑證。
目前 DigiCert ACME 僅支援 OV 和 EV TLS/SSL 憑證。
-
在組織下拉清單中,選擇您要針對其發行憑證的預先驗證的組織。
-
按一下新增 ACME Directory URL。
-
在「新的 ACME Directory URL」彈出視窗中,複製並儲存您唯一的 ACME URL。
您需要使用此 URL 以使用 ACME 要求您的憑證。
當您產生 ACME Directory URL 時,只會顯示一次。沒有擷取遺失的 ACME URL 的方式。如果您曾遺失 ACME URL,您需要撤銷遺失的 URL,然後產生一個新的。
-
按一下我明白我不會再次看到。
您的新 ACME Directory URL 新增到 ACME Directory URL 頁面上的 URL 的清單中 (在資訊看板功能表中,按一下自動化 > ACME Directory URL)。如需有關透過 ACME Directory URL 訂購憑證的詳細資料,請按一下「URL 描述」旁的資訊圖示。
如果您已安裝 certbot-auto 指令集,請在命令中以 ./certbot-auto 取代 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。
ACME 錯誤碼:
ACME 傳回和在 CertCentral APIl 傳回的相同錯誤和錯誤訊息。關於錯誤碼清單和其代表的含義,請參閱錯誤。
-
使用您喜好的 ACME 用戶端,使用 SSH 連線到您的網頁伺服器。
-
在終端提示上,使用以下的 CertBot 和命令要求憑證。
- 確定以之前建立的 ACME Directory URL 取代
YOUR-ACME-URL(請參閱建立 ACME Directory URL)。 - 確定以您要憑證保護安全的完全合格網域名稱取代
FQDN。對於每個 FQDN,請新增其他的-d選項。
- 確定以之前建立的 ACME Directory URL 取代
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN這裏有作為參考的完整命令的範例。
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com-
輸入您的 CertBot 命令,視需要自訂。
如需更多有關這些指示中使用的命令和選項的資訊,請參閱 ACME 選項。
-
將要求您接受「服務條款」。輸入 "A”,然後按 enter。
目前,DigiCert 沒有 ACME Beta 的任何附加的服務條款。
如果您的要求包括 Cerbot 找不到相符的虛擬主機的 FQDN,將提示您選擇您要安裝憑證所在的虛擬主機。
在 Apache 上,檢查 ServerName 的「虛擬目錄清單」以比對 FQDN。
-
選擇是否將 HTTP 流量重新導向到 HTTPS。
選擇重新導向停用 HTTP 杂取到您的網站。
-
完成時,您的伺服器顯示成功訊息:“恭喜!您已成功啟用您的網域…”
恭喜!您的 ACME 憑證要求完成,而且新發行的憑證已安裝在您的網頁伺服器上。您可以瀏覽您的網站以確認安裝是否成功。
您的 ACME 憑證要求完成。新發行的憑證已安裝在您的網頁伺服器上。瀏覽您的網站以確認安裝是否成功。
您可以重複使用您的 ACME Directory URL,對相同憑證產品和預先驗證的組織進行其他憑證要求。
若要要求不同產品或組織的憑證,請建立該產品或組織的新的唯一的 ACME Directory URL。請參閱建立 ACME Directory URL。
certbot:執行 CertBot 可執行檔。certbot-auto: 安裝 certbot-auto 指令集時,使用替代的 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。--apache: 指定將為您安裝憑證的 Apache CertBot 外掛程式。選用。--register-unsafely-without-email: 允許您跳過建立 ACME 帳戶。由於您的要求已連線到您的 CertCentral帳戶,因此這不需要。選用。--server “URL”:指定應履行您的要求的 ACME 伺服器。將 ACME Directory URL 放在此選項後的兩個雙引號中。-d YOUR網域:將完全合格的網域名稱納入到憑證中。對於憑證中的每個 FQDN,納入 –d YOURDOMAIN。如果您未納入此選項,CertBot 將提示您有關您要根據您設定的虛擬主機而納入的網域。選用。
使用 certbot –help 透過終端取得完整的 CertBot 命令清單。命令也以文件記錄在 CertBot 文件說明網站上。
相關主題