ACME 使用指南

這是 CertCentral 中的 ACME 通訊協定支援的開放試用期。如需目前已知問題的清單,請參閱以下的已知問題區段。若要報告問題,請聯絡我們的支援團隊

在您開始前

在您開始前,確定符合這些先決條件:

  • 是您的 CertCentral 帳戶的系統管理員
    若要在您的 CertCentral 帳戶中存取 ACME,請前往「帳戶存取」頁面 (在資訊看板功能表中,按一下帳戶 > 帳戶存取),然後您將看到 ACME Directory URL 區段。
  • 有您的網頁伺服器的根存取權限
    這些指示僅涵蓋 Apache。但 DigiCert ACME 應該和所有網頁伺服器相容。
  • 取得可用的 ACME Client,最好是 CertBot
    DigiCert 阵議使用您喜好的 ACME 用戶端安裝在您的網頁伺服器上。但我們僅加入 CertBot 的指示。從 EFF 可取得 CerBot 的安裝指南。請參閱 EFF 的 certbot
  • 啟用適用於您的 CertCentral 帳戶的自動要求核准。請參問啟用自動憑要求核准
  • 預先驗證網域和組織,這樣他們的即時發行準備就緒。
    要使 ACME 即時發行作用,您必須預先驗證在您的 ACME 憑證要求中使用的網域和組織。請參閱管理組織管理網域

不建議在生產環境中使用 DigiCert ACME Beta。

建立 ACME Directory URL

若要開始,請在您的 CertCentrat 帳戶中產生一個唯一的 ACME Directory URL。您要在您的 CertBot 憑證要求命令中加入您的 ACME Directory URL。

  1. 在您的 CertCentral 帳戶的資訊看板功能表中,按一下帳戶 > 帳戶存取

    ACME Directory URLS on Account Access page in CertCentral

  1. 在「帳戶存取」頁面上的 ACME Directory URL 區段中,按一下新增 ACME Directory URL

  1. 在「新增 ACME Directory URL」彈出視窗中,輸入用於 URL 的易記名稱

  1. 產品下拉清單中,選擇您要使用 ACME 發行的憑證。

目前 DigiCert ACME 僅支援 OV 和 EV TLS/SSL 憑證。

  1. 組織下拉清單中,選擇您要針對其發行憑證的預先驗證的組織

  1. 按一下新增 ACME Directory URL

  1. 在「新的 ACME Directory URL」彈出視窗中,複製並儲存您唯一的 ACME URL。

    您需要使用此 URL 以使用 ACME 要求您的憑證。

當您產生 ACME Directory URL 時,只會顯示一次。沒有擷取遺失的 ACME URL 的方式。如果您曾遺失 ACME URL,您需要撤銷遺失的 URL,然後產生一個新的。

  1. 按一下我明白我不會再次看到

您的新 ACME Directory URL 新增到「帳戶存取」頁面上的 ACME Directory URL 的清單中 (在資訊看板功能表中,按一下 帳戶 > 存取)。若要查看透過 URL 名稱旁的 ACME Directory URL 訂購憑證的詳細資料,按一下資訊圖示。

ACME:發行和安裝憑證

如果您已安裝 certbot-auto 指令集,請在命令中以 ./certbot-auto 取代 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。

ACME 錯誤碼:
ACME 傳回和在 CertCentral APIl 傳回的相同錯誤和錯誤訊息。關於錯誤碼清單和其代表的含義,請參閱錯誤

  1. 使用您喜好的 ACME 用戶端,使用 SSH 連線到您的網頁伺服器

  1. 在終端提示上,使用以下的 CertBot 和命令要求憑證。

    • 確定以之前建立的 ACME Directory URL 取代 YOUR-ACME-URL (請參閱建立 ACME Directory URL)。
    • 確定以您要憑證保護安全的完全合格網域名稱取代 FQDN。對於每個 FQDN,請新增其他的 -d 選項。
bash
sudo certbot --apache --register-unsafely-without-email --server “YOUR-ACME-URL” -d FQDN

以下是作為參考的完整命令的範例。這裏有作為參考的完整命令的範例。

bash
sudo certbot --apache --register-unsafely-without-email --server “https://acme.digicert.com/v2/acme/directory/u_sBek4aRGO_4RiltJ7Ae_XLXSc9r8FtEdrNZzuTu” -d digicert.com -d www.digicert.com
  1. 輸入您的 CertBot 命令,視需要自訂。

    如需更多有關這些指示中使用的命令和選項的資訊,請參閱 ACME 選項

  1. 將要求您接受「服務條款」。輸入 "A”,然後按 enter

    目前,DigiCert 沒有 ACME Beta 的任何附加的服務條款。

如果您的要求包括 Cerbot 找不到相符的虛擬主機的 FQDN,將提示您選擇您要安裝憑證所在的虛擬主機。
在 Apache 上,檢查 ServerName 的「虛擬目錄清單」以比對 FQDN。

  1. 選擇是否將 HTTP 流量重新導向到 HTTPS。

    選擇重新導向停用 HTTP 杂取到您的網站。

  1. 完成時,您的伺服器顯示成功訊息:“恭喜!您已成功啟用您的網域…

恭喜!您的 ACME 憑證要求完成,而且新發行的憑證已安裝在您的網頁伺服器上。您可以瀏覽您的網站以確認安裝是否成功。

下一步是什麼

您的 ACME 憑證要求完成。新發行的憑證已安裝在您的網頁伺服器上。瀏覽您的網站以確認安裝是否成功。

您可以重複使用您的 ACME Directory URL,對相同憑證產品和預先驗證的組織進行其他憑證要求。

若要要求不同產品或組織的憑證,請建立該產品或組織的新的唯一的 ACME Directory URL。請參閱建立 ACME Directory URL

ACME 選項

  • certbot:執行 CertBot 可執行檔。
  • certbot-auto: 安裝 certbot-auto 指令集時,使用替代的 certbot。如果未新增到您伺服器的 PATH 組態中,您可能需要指定 certbot-auto 的路徑。
  • --apache: 指定將為您安裝憑證的 Apache CertBot 外掛程式。選用。
  • --register-unsafely-without-email: 允許您跳過建立 ACME 帳戶。由於您的要求已連線到您的 CertCentral帳戶,因此這不需要。選用
  • --server “URL:指定應履行您的要求的 ACME 伺服器。將 ACME Directory URL 放在此選項後的兩個雙引號中。
  • -d YOUR網域:將完全合格的網域名稱納入到憑證中。對於憑證中的每個 FQDN,納入 –d YOURDOMAIN。如果您未納入此選項,CertBot 將提示您有關您要根據您設定的虛擬主機而納入的網域。選用。

使用 certbot –help 透過終端取得完整的 CertBot 命令清單。命令也以文件記錄在 CertBot 文件說明網站上

相關主題