有了 ACME + CertCentral,您可以使用您喜好的 ACME 用戶端自動化您的 SSL/TLS 憑證部署,並免去完成手動安裝憑證要花費的時間。
CertCentral ACME 協定允許您自動化 OV 和 EV SSL/TLS 1 年、 2 年和自訂有效期間的憑證部署。我們的 ACME 協定也支援 Signed HTTP Exchange 憑證設定檔選項,讓您可以自動化您的 Signed HTTP Exchange 憑證部署 (請參閱適用於 Signed HTTP Exchange 憑證的 ACME Directory URL)。
在您開始前,確定符合這些先決條件:
不建議在生產環境中使用 DigiCert ACME Beta。
若要開始,請在您的 CertCentrat 帳戶中產生一個唯一的 ACME Directory URL。您要在您的 CertBot 憑證要求命令中加入您的 ACME Directory URL。
在您的 CertCentral 帳戶的資訊看板功能表中,按一下自動化 > ACME Directory URL。
在 ACME Directory URL 頁面上,按一下新增 ACME Directory URL。
在「新增 ACME Directory URL」彈出視窗中,輸入用於 URL 的易記名稱。
在產品下拉清單中,選擇您要使用 ACME 發行的憑證。
目前 DigiCert ACME 僅支援 OV 和 EV TLS/SSL 憑證。
在組織下拉清單中,選擇您要針對其發行憑證的預先驗證的組織。
按一下新增 ACME Directory URL。
在「新的 ACME Directory URL」彈出視窗中,複製並儲存您唯一的 ACME URL。
您需要使用此 URL 以使用 ACME 要求您的憑證。
當您產生 ACME Directory URL 時,只會顯示一次。沒有擷取遺失的 ACME URL 的方式。如果您曾遺失 ACME URL,您需要撤銷遺失的 URL,然後產生一個新的。
按一下我明白我不會再次看到。
您的新 ACME Directory URL 新增到 ACME Directory URL 頁面上的 URL 的清單中 (在資訊看板功能表中,按一下自動化 > ACME Directory URL)。如需有關透過 ACME Directory URL 訂購憑證的詳細資料,請按一下「URL 描述」旁的資訊圖示。
如果您已安裝 certbot-auto 指令集,請在命令中以 ./certbot-auto
取代 certbot
。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。
ACME 錯誤碼:
ACME 傳回和在 CertCentral APIl 傳回的相同錯誤和錯誤訊息。關於錯誤碼清單和其代表的含義,請參閱錯誤。
使用您喜好的 ACME 用戶端,使用 SSH 連線到您的網頁伺服器。
在終端提示上,使用以下的 CertBot 和命令要求憑證。
YOUR-ACME-URL
(請參閱建立 ACME Directory URL)。FQDN
。對於每個 FQDN,請新增其他的 -d
選項。sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN
這裏有作為參考的完整命令的範例。
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
輸入您的 CertBot 命令,視需要自訂。
如需更多有關這些指示中使用的命令和選項的資訊,請參閱 ACME 選項。
將要求您接受「服務條款」。輸入 "A”,然後按 enter。
目前,DigiCert 沒有 ACME Beta 的任何附加的服務條款。
如果您的要求包括 Cerbot 找不到相符的虛擬主機的 FQDN,將提示您選擇您要安裝憑證所在的虛擬主機。
在 Apache 上,檢查 ServerName 的「虛擬目錄清單」以比對 FQDN。
選擇是否將 HTTP 流量重新導向到 HTTPS。
選擇重新導向停用 HTTP 杂取到您的網站。
完成時,您的伺服器顯示成功訊息:“恭喜!您已成功啟用您的網域…”
恭喜!您的 ACME 憑證要求完成,而且新發行的憑證已安裝在您的網頁伺服器上。您可以瀏覽您的網站以確認安裝是否成功。
您的 ACME 憑證要求完成。新發行的憑證已安裝在您的網頁伺服器上。瀏覽您的網站以確認安裝是否成功。
您可以重複使用您的 ACME Directory URL,對相同憑證產品和預先驗證的組織進行其他憑證要求。
若要要求不同產品或組織的憑證,請建立該產品或組織的新的唯一的 ACME Directory URL。請參閱建立 ACME Directory URL。
certbot
:執行 CertBot 可執行檔。certbot-auto
: 安裝 certbot-auto 指令集時,使用替代的 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。--apache
: 指定將為您安裝憑證的 Apache CertBot 外掛程式。選用。--register-unsafely-without-email
: 允許您跳過建立 ACME 帳戶。由於您的要求已連線到您的 CertCentral帳戶,因此這不需要。選用。--server “
URL
”
:指定應履行您的要求的 ACME 伺服器。將 ACME Directory URL 放在此選項後的兩個雙引號中。-d YOUR
網域
:將完全合格的網域名稱納入到憑證中。對於憑證中的每個 FQDN,納入 –d YOURDOMAIN。如果您未納入此選項,CertBot 將提示您有關您要根據您設定的虛擬主機而納入的網域。選用。使用 certbot –help 透過終端取得完整的 CertBot 命令清單。命令也以文件記錄在 CertBot 文件說明網站上。
相關主題