Skip to main content

使用第三方 ACME 客户端进行主机自动化

通过 CertCentral,您可以自行选择第三方 ACME 客户端进行自动化证书部署,减少 TLS 管理开销。

CertCentral 提供 ACME 支持,因此您可以自动化公共和私人 OV 和 EV 证书的短期或多年有效的部署。我们还支持 Signed HTTP Exchange 证书配置文件选项,使您可以自动执行 Signed HTTP Exchange 证书部署(请参阅 Signed HTTP Exchange 证书 ACME 目录 URL)。

与 CertCentral 托管自动化比较

CertCentral 托管自动化是 DigiCert 的一站式自动化解决方案。通过它,您可以从 CertCentral web 控制中心管理所有自动化,并且它包括确保 ACME 和其他软件组件始终保持更新的功能。

当您使用第三方 ACME 客户端时,它不在托管自动化解决方案中运行。您从 CertCentral 获得基本凭据以获取证书,但您必须安装并维护自己的 ACME 软件,同时在每个系统上本地启动自动化操作。

注意

要使用 CertCentral 托管自动化解决方案,您必须在帐户启用该解决方案。如果启用托管自动化,您将只看到 CertCentral 自动化菜单下列出的 ACME 目录 URLAPI 密钥

对于第三方 ACME 客户端,您将使用 ACME 目录 URL 功能配置自动化选项,并获得所需的凭据以获取 DigiCert 证书。

在开始之前

在开始之前,请确保满足以下先决条件:

  • 为您的 CertCentral 帐户启用自动批准证书请求。

    请参阅 启用自动批准证书请求

  • 对需要获得证书的域和组织进行预验证,以即时颁发证书。

    要使 ACME 即时证书颁发,您必须对 ACME 证书请求中使用的域和组织进行预验证。请参阅 管理组织管理域

工作流

以下是使用第三方 ACME 客户端实现 DigiCert 证书自动化所需的一般工作流:

  1. 安装第三方 ACME 客户端软件

    从第三方提供商下载 ACME 软件,并将其安装在任何将作为自动化客户端使用的系统上。

  2. 配置第三方 ACME 客户端

    按照第三方提供商的指南,对每个系统上安装的 ACME 软件进行配置。

  3. 创建一个或多个 ACME 目录 URL

    从 CertCentral ACME 目录 URL 菜单定义允许的第三方 ACME 自动化。

  4. 启动自动化事件

    最后,按照第三方提供商的指南,使用从 ACME 目录 URL 菜单获取的凭据在 ACME 客户端上启动证书自动化事件。

安装第三方 ACME 客户端软件

您可以使用任何支持行业标准 ACME 协议的第三方自动化客户端从 CertCentral 获取证书。例如,请参阅 EFF 的 Certbot

按照软件提供商的指南下载并安装第三方 ACME 客户端。例如,EFF 提供 Certbot 软件的安装指南

您必须在每个要运行证书自动化的系统上分别安装 ACME 客户端软件。

配置第三方 ACME 客户端

在每个要运行自动化的系统上分别配置第三方 ACME 客户端软件。

按照软件提供商的指南确定所需的配置参数。确保每个 ACME 客户端能够:

  • 出站连接到 HTTPS(端口 443)。

  • 出站连接到公共 IP 地址 216.168.244.42(适用于 acme.digicert.com)。

  • 通过 DNS 或本地“主机”文件解析本地服务器的完全限定域名 (FQDN)。

创建一个或多个 ACME 目录 URL

使用 CertCentral ACME 目录 URL 功能配置自动化选项,并获取首选 ACME 客户端与 DigiCert 云通信所需的凭据:

  1. 在 CertCentral 帐户的左侧主菜单中,选择自动化 > ACME 目录 URL

  2. 在“ACME 目录 URL”视图上,选择添加 ACME 目录 URL

  3. 在“添加 ACME 目录 URL”弹窗中,为 URL 输入容易识别的名称

  4. 产品下拉列表中,选择您需要颁发的证书类型。

  5. 分区下拉列表中,选择一个分区与从此 ACME 目录 URL 颁发的证书相关联。

  6. 组织下拉列表中,选择已颁发证书的预验证组织。

  7. 选择从此 ACME 目录 URL 颁发的证书的有效期

    • 仅针对多年期帐户,请先从下拉列表中选择多年保障期限

    • 选择您需要的证书有效期选项。

    • 如果有效期是自定义期限,请输入所需的天数

  8. (可选)要启用 Signed HTTP Exchange 证书配置文件选项,请展开其他证书选项,然后选择在证书中包含 CanSignHttpExchange 扩展。有关该选项的更多信息,请参阅 Signed HTTP Exchange 证书 ACME 目录 URL

  9. 选择添加 ACME 目录 URL

  10. 新建 ACME 目录 URL 弹窗中,复制唯一 ACME URL 和外部帐户绑定信息并保存。

    ACME 客户端需要此信息才能从 CertCentral 获取证书。它只显示一次。

    将它复制并保存到安全的位置后,选择我明白该信息将不会再显示即可将其关闭。

重要

当您生成 ACME 目录 URL 时,URL、KID 和 HMAC 密钥仅显示一次。一旦离开,您将无法再获取这些信息。如果丢失了 ACME URL 详情,需吊销丢失的 URL 并生成新 URL。

新的 ACME 目录 URL 添加到“ACME 目录 URL”页面的 URL 列表中。

有关可以通过 ACME 目录 URL 订购的证书的详细信息,请单击 URL 说明旁边的信息图标。

启动自动化事件

安装并配置首选的第三方 ACME 客户端,并在 CertCentral 中为其定义 ACME 目录 URL后,您可以开始使用 ACME 客户端获取 DigiCert 证书。

对于第三方 ACME 客户端,必须在每个系统上本地启动自动化操作。按照软件提供商的指南,使用从 CertCentral 中设置的 ACME 目录 URL 获得的凭据。

有关使用 EFF Certbot 客户端启动自动化操作的示例,请参阅 第三方 ACME 客户端自动化示例

相关主题

: