疑難排解:ACME 用戶端

CertCentral 使用 ACME 通訊協議以自動化專用主機上的憑證要求,例如網頁伺服器或服務點裝置。DigiCert 建議使用您喜好的 ACME 用戶端。但我們將使用 EFF 的 Certbot 作為所有範例的參考用戶端。其他用戶端的實行可能不同。

狀況

CertCentral 發行與舊 ACME Directory URL 關聯的憑證。

  1. 系統管理員使用有舊的 ACME Directory URL 的 ACME 用戶端。
  2. 系統管理員建立新的 ACME Directory URL 以取得新的憑證。
  3. CertCentral 仍使用舊的 ACME Directory URL,而不是使用新的 URL 發行憑證。

解決方案

若要取得與新的 ACME Directory URL 關聯的憑證,請建立新目錄,然後在要求用戶端時,提供 config-dir 參數。

  1. 建立新憑證的設定目錄。

    例如:

    C:\<ConfigDirectory >

  2. 執行指定組態目錄、ACME Directory URL、HMAC 密鑰和 KID 參數的命令。

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

狀況

撤銷的 ACME Directory URL 防止取得有新的 ACME Directory URL 的憑證。

  1. 系統管理員使用有舊的 ACME Directory URL 的 ACME 用戶端。
  2. 系統管理員建立新的 ACME Directory URL 以取得新的憑證。
  3. 系統管理員撤銷舊的 ACME Directory URL。
  4. CertCentral 仍使用舊的 ACME Directory URL,而不是使用新的 URL 發行憑證。

解決方案

若要取得與新的 ACME Directory URL 關聯的憑證:

  1. 刪除使用撤銷的 ACME Directory URL 設定的之前發行的憑證的設定目錄。

  2. 建立新憑證的設定目錄。

    例如:

    C:\<ConfigDirectory >

  3. 執行指定組態目錄、ACME Directory URL、HMAC 密鑰和 KID 參數的命令。

bash
.\certbot certonly --register-unsafely-without-email --standalone -d <Domain> --config-dir <"UniqueConfigDirectoryPath"> --server <ACMEURL> --eab-kid <KIDValue> --eab-hmac-key <HMACkeyValue>

狀況

逾時錯誤

  • 與憑證要求關聯的組織未驗證時。
  • 與憑證要求關聯的網域未驗證時。
  • 憑證要求未在 24 小時內核准時。
  • 憑證核准時間超過 90 秒時。

解決方案

在您出憑證要求前:

  • 請確保已驗證組織。
  1. 前往憑證 > 組織。

  2. 在「組織」頁面上,檢查您已要求使用憑證的組織的驗證狀態。

如果網域未驗證,請檢閱要求,然後重新提交供驗證。如需更多資訊,請參閱管理組織

  • 請確保已驗證網域。
  1. 前往憑證 > 網域

  2. 在「網域」頁面上,檢查您已要求使用憑證的網域的驗證狀態。

如果網域已驗證,請檢閱要求,然後重新提交供驗證。如需更多資訊,請參閱管理網域

  • 確保在下訂單後的 24 小時內核准憑證要求。
  1. 前往憑證 > 要求

  2. 在「要求」頁面上,尋找和按一下憑證訂單連結以核准要求。

  • 確保續訂要求的憑證的自動核准設定。
  1. 前往設定 > 喜好設定

  2. 在「分部喜好設定」頁面的「進階設定」下的「核准步驟」區段中,選擇跳過核准步驟:從您的憑證訂單程序中移除核准步驟