手動 ACME 自動化整合使用指南

有了 ACME + CertCentral,您可以使用您喜好的 ACME 用戶端自動化您的 SSL/TLS 憑證部署,並免去完成手動安裝憑證要花費的時間。

CertCentral ACME 協議允許您自動化 OV 和 EV SSL/TLS 1 年期和自訂有效期間的憑證部署。我們的 ACME 協議也支援 Signed HTTP Exchange 憑證設定檔選項,讓您可以自動化您的 Signed HTTP Exchange 憑證部署 (請參閱適用於 Signed HTTP Exchange 憑證的 ACME Directory URL)。

關於目前已知問題的清單,請參閱自動化:已知的問題。若要報告問題,請聯絡我們的支援團隊。。

在您開始前

在您開始前,確定符合這些先決條件:

  • 您的 CertCentral 帳戶中的系統管理員或管理員
    若要在您的 CertCentral 帳戶中存取 ACME,請前往 ACME Directory URL 頁面 (在資訊看板功能表中,按一下自動化 > ACME Directory URL)。
  • 您的網頁伺服器的根存取權限
    這些指示僅涵蓋 Apache。但 DigiCert ACME 和所有網頁伺服器相容。
  • ACME Client 安裝在您的網頁伺服器上 — 最好是 CertBot
    DigiCert 阵議使用您喜好的 ACME Client。但我們僅加入 CertBot 的指示。從 EFF 可取得 CerBot 的安裝指南。請參閱 EFF 的 certbot
  • 啟用適用於您的 CertCentral 帳戶的自動要求核准。請參閱啟用自動憑證要求核准
  • 預先驗證您要取得憑證的網域和組織 — 即時發行憑證所需。
    要使 ACME 即時發行憑證作用,您必須預先驗證在您的 ACME 憑證要求中使用的網域和組織。請參閱管理組織管理網域

除了 CertBot,DigiCert 還提供憑證管理員支援,協助您建立和管理 SSL/TLS 憑證。請參閱使用 Kubernetes 設定憑證管理員和 DigiCert ACME 服務

建立 ACME Directory URL

若要開始,請在您的 CertCentrat 帳戶中產生一個唯一的 ACME Directory URL。您需要在您的 CertBot 憑證要求命令中,加入您的有外部帳戶繫結 (EAB) 的 ACME Directory URL。

  1. 在您的 CertCentral 帳戶的資訊看板功能表中,按一下自動化 > ACME Directory URL

  1. 在 ACME Directory URL 頁面上,按一下新增 ACME Directory URL

  1. 在「新增 ACME Directory URL」彈出視窗中,輸入用於 URL 友好名稱

  1. 產品下拉清單中,選擇您要使用 ACME 發行的憑證。

目前 DigiCert ACME 僅支援 OV 和 EV TLS/SSL 憑證。

  1. 分部下拉清單中,將分部關聯到 ACME Directory URL。

此 URL 發行的所有憑證都將附加到所選擇的分部中.

  1. 組織下拉清單中,選擇您要針對其發行憑證的預先驗證的組織

  1. (選用) 如果您有多年套餐帳戶,請從下拉清單中選擇您的多年涵蓋時間長度

  1. 有效期間下,,選擇自訂長度,然後在天數方塊中,輸入數字。

  1. 按一下新增 ACME Directory URL

  1. 在「新的 ACME Directory URL」彈出視窗中,複製您的有外部帳戶繫結 (EAB) 資訊的唯一的 ACME URL,然後儲存。

    您需要使用這項資訊以使用 ACME 要求您的憑證。

當您產生 ACME Directory URL 時,URL、KID 和 HMAC 密鑰只會顯示一次。沒有擷取遺失資訊的方式。如果您曾遺失 ACME URL 詳細資料,您需要撤銷遺失的 URL,然後產生一個新的。

  1. 按一下我明白我不會再次看到

您的新 ACME Directory URL 新增到 ACME Directory URL 頁面上的 URL 的清單中 (在資訊看板功能表中,按一下自動化 > ACME Directory URL)。如需有關透過 ACME Directory URL 訂購憑證的詳細資料,請按一下「URL 描述」旁的資訊圖示。

ACME:發行和安裝憑證

如果您已安裝 certbot-auto 指令集,請在命令中以 ./certbot-auto 取代 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。

ACME 錯誤碼:
ACME 傳回和在 CertCentral APIl 傳回的相同錯誤和錯誤訊息。關於錯誤碼清單和其代表的含義,請參閱錯誤

  1. 使用您喜好的 ACME 用戶端,使用 SSH 連線到您的網頁伺服器

  1. 在終端提示上,使用以下的 CertBot 和命令要求憑證。

    • 請確定用外部帳戶繫結 KID 取代 YOUR-KEY-IDENTIFIER
    • 請確定用外部帳戶繫結 HMAC 密鑰取代 YOUR-HMAC-KEY
    • 確定以之前建立的 ACME Directory URL 取代 YOUR-ACME-URL (請參閱建立 ACME Directory URL)。
    • 確定以您要憑證保護安全的完全合格網域名稱取代 FQDN。對於每個 FQDN,請新增其他的 -d 選項。
bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

這裏有作為有外部帳戶繫結的參考的完整命令範例。

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com

  1. 輸入您的 CertBot 命令,視需要自訂。

    如需更多有關這些指示中使用的命令和選項的資訊,請參閱 ACME 選項

  1. 將要求您接受「服務條款」。輸入 "A”,然後按 enter

    目前,DigiCert 沒有 ACME 的任何附加的服務條款。

如果您的要求包括 Cerbot 找不到相符的虛擬主機的 FQDN,將提示您選擇您要安裝憑證所在的虛擬主機。
在 Apache 上,檢查 ServerName 的「虛擬目錄清單」以比對 FQDN。

  1. 選擇是否將 HTTP 流量重新導向到 HTTPS。

    選擇重新導向停用 HTTP 杂取到您的網站。

  1. 完成時,您的伺服器顯示成功訊息:“恭喜!您已成功啟用您的網域…

恭喜!您的 ACME 憑證要求完成,而且新發行的憑證已安裝在您的網頁伺服器上。您可以瀏覽您的網站以確認安裝是否成功。

ACME:續訂和重新發行憑證。

在續訂到期和重新發行憑證遭到撤銷或遺失時,續訂憑證。

若要續訂和重新發行,請使用以下的 CertBot 命令。

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN

如以下範例所示,您需要附加 orderIdaction 到 URL 中。

這裏有作為續訂參考的完整命令的範例。

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com

這裏有作為重新發行參考的完整命令的範例。

bash 
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com

關於多年套餐帳戶,

  • 當訂單涵蓋時間到期時,續訂憑證。
  • 如果在訂單涵蓋時間內撤銷或到期,請重新發行憑證。

下一步是什麼

您的 ACME 憑證要求完成。新發行的憑證已安裝在您的網頁伺服器上。瀏覽您的網站以確認安裝是否成功。

您可以重複使用您的 ACME Directory URL,對相同憑證產品和預先驗證的組織進行其他憑證要求。

若要要求不同產品或組織的憑證,請建立該產品或組織的新的唯一的 ACME Directory URL。請參閱建立 ACME Directory URL

ACME 選項

  • certbot:執行 CertBot 可執行檔。
  • certbot-auto: 安裝 certbot-auto 指令集時,使用替代的 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。
  • --apache: 指定將為您安裝憑證的 Apache CertBot 外掛程式。選用。
  • --register-unsafely-without-email: 允許您跳過建立 ACME 帳戶。由於您的要求已連線到您的 CertCentral帳戶,因此這不需要。選用
  • --server “URL:指定應履行您的要求的 ACME 伺服器。將 ACME Directory URL 放在此選項後的兩個雙引號中。
  • --eab-kid “YOURKID : 指定密鑰識別碼,這是一般 URL 的一部份。
  • --eab-hmac-key “YOURHMACKEY:指定用於簽署回應的密鑰。
  • -d YOUR網域:將完全合格的網域名稱納入到憑證中。對於憑證中的每個 FQDN,納入 –d YOURDOMAIN。如果您未納入此選項,CertBot 將提示您有關您要根據您設定的虛擬主機而納入的網域。選用。
  • orderId “YOURORDERID:指定現有憑證的訂單 ID 類型。
  • action “YOURACTION:指定正要求的憑證上的行動。

使用 certbot –help 透過終端取得完整的 CertBot 命令清單。命令也以文件記錄在 CertBot 文件說明網站上

相關主題

關於

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.