有了 ACME + CertCentral,您可以使用您喜好的 ACME 用戶端自動化您的 SSL/TLS 憑證部署,並免去完成手動安裝憑證要花費的時間。
CertCentral ACME 協議允許您自動化 OV 和 EV SSL/TLS 1 年期和自訂有效期間的憑證部署。我們的 ACME 協議也支援 Signed HTTP Exchange 憑證設定檔選項,讓您可以自動化您的 Signed HTTP Exchange 憑證部署 (請參閱適用於 Signed HTTP Exchange 憑證的 ACME Directory URL)。
在您開始前,確定符合這些先決條件:
除了 CertBot,DigiCert 還提供憑證管理員支援,協助您建立和管理 SSL/TLS 憑證。請參閱使用 Kubernetes 設定憑證管理員和 DigiCert ACME 服務。
若要開始,請在您的 CertCentrat 帳戶中產生一個唯一的 ACME Directory URL。您需要在您的 CertBot 憑證要求命令中,加入您的有外部帳戶繫結 (EAB) 的 ACME Directory URL。
在您的 CertCentral 帳戶的資訊看板功能表中,按一下自動化 > ACME Directory URL。
在 ACME Directory URL 頁面上,按一下新增 ACME Directory URL。
在「新增 ACME Directory URL」彈出視窗中,輸入用於 URL 友好名稱。
在產品下拉清單中,選擇您要使用 ACME 發行的憑證。
目前 DigiCert ACME 僅支援 OV 和 EV TLS/SSL 憑證。
在分部下拉清單中,將分部關聯到 ACME Directory URL。
此 URL 發行的所有憑證都將附加到所選擇的分部中.
在組織下拉清單中,選擇您要針對其發行憑證的預先驗證的組織。
(選用) 如果您有多年套餐帳戶,請從下拉清單中選擇您的多年涵蓋時間長度。
在有效期間下,,選擇自訂長度,然後在天數方塊中,輸入數字。
按一下新增 ACME Directory URL。
在「新的 ACME Directory URL」彈出視窗中,複製您的有外部帳戶繫結 (EAB) 資訊的唯一的 ACME URL,然後儲存。
您需要使用這項資訊以使用 ACME 要求您的憑證。
當您產生 ACME Directory URL 時,URL、KID 和 HMAC 密鑰只會顯示一次。沒有擷取遺失資訊的方式。如果您曾遺失 ACME URL 詳細資料,您需要撤銷遺失的 URL,然後產生一個新的。
按一下我明白我不會再次看到。
您的新 ACME Directory URL 新增到 ACME Directory URL 頁面上的 URL 的清單中 (在資訊看板功能表中,按一下自動化 > ACME Directory URL)。如需有關透過 ACME Directory URL 訂購憑證的詳細資料,請按一下「URL 描述」旁的資訊圖示。
如果您已安裝 certbot-auto 指令集,請在命令中以 ./certbot-auto
取代 certbot
。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。
ACME 錯誤碼:
ACME 傳回和在 CertCentral APIl 傳回的相同錯誤和錯誤訊息。關於錯誤碼清單和其代表的含義,請參閱錯誤。
使用您喜好的 ACME 用戶端,使用 SSH 連線到您的網頁伺服器。
在終端提示上,使用以下的 CertBot 和命令要求憑證。
YOUR-KEY-IDENTIFIER
。YOUR-HMAC-KEY
。YOUR-ACME-URL
(請參閱建立 ACME Directory URL)。FQDN
。對於每個 FQDN,請新增其他的 -d
選項。sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN
這裏有作為有外部帳戶繫結的參考的完整命令範例。
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/” -d digicert.com -d www.digicert.com
輸入您的 CertBot 命令,視需要自訂。
如需更多有關這些指示中使用的命令和選項的資訊,請參閱 ACME 選項。
將要求您接受「服務條款」。輸入 "A”,然後按 enter。
目前,DigiCert 沒有 ACME 的任何附加的服務條款。
如果您的要求包括 Cerbot 找不到相符的虛擬主機的 FQDN,將提示您選擇您要安裝憑證所在的虛擬主機。
在 Apache 上,檢查 ServerName 的「虛擬目錄清單」以比對 FQDN。
選擇是否將 HTTP 流量重新導向到 HTTPS。
選擇重新導向停用 HTTP 杂取到您的網站。
完成時,您的伺服器顯示成功訊息:“恭喜!您已成功啟用您的網域…”
恭喜!您的 ACME 憑證要求完成,而且新發行的憑證已安裝在您的網頁伺服器上。您可以瀏覽您的網站以確認安裝是否成功。
在續訂到期和重新發行憑證遭到撤銷或遺失時,續訂憑證。
若要續訂和重新發行,請使用以下的 CertBot 命令。
sudo certbot --apache --register-unsafely-without-email --eab-kid “YOUR-KEY-IDENTIFIER” --eab-hmac-key “YOUR-HMAC-KEY” --server “YOUR-ACME-URL” -d FQDN
如以下範例所示,您需要附加 orderId
和 action
到 URL 中。
這裏有作為續訂參考的完整命令的範例。
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=renew” -d digicert.com -d www.digicert.com
這裏有作為重新發行參考的完整命令的範例。
sudo certbot --apache --register-unsafely-without-email --eab-kid "zcwmKf9sCnDUZsbCOgnv1ijy46l6UeEYCavSQQirl-g" --eab-hmac-key "RHZraHBXQUxWTEFGdFhndjRVNmV3S3F6c2VNZDM1QzRURGhjdHF3S1NublJjN3dhVUFObzA0SXJwVHBnU2xnRA" --server “https://acme.digicert.com/v2/acme/directory/?orderId=57718329&action=reissue” -d digicert.com -d www.digicert.com
關於多年套餐帳戶,
您的 ACME 憑證要求完成。新發行的憑證已安裝在您的網頁伺服器上。瀏覽您的網站以確認安裝是否成功。
您可以重複使用您的 ACME Directory URL,對相同憑證產品和預先驗證的組織進行其他憑證要求。
若要要求不同產品或組織的憑證,請建立該產品或組織的新的唯一的 ACME Directory URL。請參閱建立 ACME Directory URL。
certbot
:執行 CertBot 可執行檔。certbot-auto
: 安裝 certbot-auto 指令集時,使用替代的 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。--apache
: 指定將為您安裝憑證的 Apache CertBot 外掛程式。選用。--register-unsafely-without-email
: 允許您跳過建立 ACME 帳戶。由於您的要求已連線到您的 CertCentral帳戶,因此這不需要。選用。--server “
URL
”
:指定應履行您的要求的 ACME 伺服器。將 ACME Directory URL 放在此選項後的兩個雙引號中。--eab-kid “YOUR
KID
”
: 指定密鑰識別碼,這是一般 URL 的一部份。--eab-hmac-key “YOUR
HMACKEY
”
:指定用於簽署回應的密鑰。-d YOUR
網域
:將完全合格的網域名稱納入到憑證中。對於憑證中的每個 FQDN,納入 –d YOURDOMAIN。如果您未納入此選項,CertBot 將提示您有關您要根據您設定的虛擬主機而納入的網域。選用。orderId “YOUR
ORDERID
”
:指定現有憑證的訂單 ID 類型。action “YOUR
ACTION
”
:指定正要求的憑證上的行動。使用 certbot –help 透過終端取得完整的 CertBot 命令清單。命令也以文件記錄在 CertBot 文件說明網站上。
相關主題