Správa velkého počtu certifikátů může být docela nepříjemná. Náhodně se vyskytující incidenty, jako například nedávný obor problém s entropií sériového čísla, může vyžadovat, aby administrátoři ručně zrušili a znovu vystavili stovky certifikátů najednou. Naši vlastní agenti podpory a správci to také v minulosti zažili, což motivovalo SSL.com k implementaci praktičtějšího řešení: Rozhraní API webové služby SSL.com (SWS).
SWS API lze použít k automatizaci různých operací souvisejících s certifikáty, jako je vydávání certifikátů, přepisování a přepracování příkazů, řízení přístupu uživatelů atd. Prostřednictvím jakéhokoli programovacího nebo skriptovacího jazyka. Chcete-li získat pregenerované příkazy API cURL API pro jednotlivou objednávku, zkuste připojit /developer
na konci této stránky s objednávkou certifikátů (např https://www.ssl.com/certificate_orders/co-1234xyz/developer
).
Abychom představili některé z funkcí API, tento kurz vás provede vydáním a certifikát webového serveru s ověřením domény (DV). V tomto procesu se dotkneme mnoha užitečných témat, například přístupu k API, vytvoření a CSRa příprava serveru na ověření kontroly domény. A co víc, uvidíme, jak můžeme hromadně odvolat certifikáty prostřednictvím API, což je užitečné zejména v případech bezpečnostních incidentů.
Pískoviště
Jakýkoli druh automatizace vyžaduje rozsáhlé testování před spuštěním v produkčním systému, zejména pokud jsou zahrnuty peníze. Z tohoto důvodu SSL.com implementoval a udržuje pískoviště. Sandbox je vývojový klon našeho produkčního API. Obsahuje veškerou funkčnost originálu, ale není připojen k produkční databázi. To znamená, že můžete vytvářet nové uživatele a volně experimentovat, aniž byste se museli bát, že se něco pokazí a bude vám účtována chyba.
Pokud jste spokojeni, že vaše automatizace funguje správně v karanténě, můžete svůj kód přesunout do výroby a být si jisti, že vaše skripty selže.
Produkční API lze nalézt na následující adrese URL:
https://sws.sslpki.com/
Chcete-li provádět volání API do karantény, musíte změnit pouze název domény, jak je znázorněno na následujícím fragmentu:
https://sws-test.sslpki.com/
Připravte životní prostředí
Než začnete hrát s API, musíte nejprve připravit pracovní prostředí. Nástroje, které budeme v tomto kurzu používat, jsou terminál Linux a váš spolehlivý textový editor.
První věc, kterou budete potřebovat, je adresář všech potřebných souborů. Kvůli nástroji budeme tento adresář označovat jako sslcom_api_test/
nebo „pracovní adresář“. Chcete-li vytvořit a vstoupit do adresáře, zadejte do terminálu následující příkazy.
$ mkdir ~ / sslcom_api_test $ cd ~ / sslcom_api_test
Dále musíte stáhnout Balíček zprostředkujících certifikátů SSL.com, což je archivní soubor obsahující všechny potřebné soubory certifikátů pro bezpečný přístup k API. Takto budou všechna data, která si vyměníte se serverem API, šifrována a můžete si být jisti, že všechny citlivé informace, jako jsou klíče API, budou chráněny před odposlechem.
Stáhněte si archiv ZIP z výše uvedeného odkazu a rozbalte jej do pracovního adresáře. (Ujistěte se, že se měníte ~/Downloads
do adresáře, do kterého jste soubor ZIP uložili, je-li třeba). Soubor certifikátů, který budeme používat v tomto článku, je SSL_COM_RSA_SSL_SUBCA.crt
.
$ unzip ~ / Soubory ke stažení / SSLcom_DV_CA_Zip.zip -d. Archiv: ./SSLcom_DV_CA_Zip.zip extrahování: ./SSL_COM_RSA_SSL_SUBCA.crt extrahování: ./SSL_COM_ROOT_CERTIFICATION_AUTHORITY_RSA.crt extrahování: ./CERTUM_TRUSTED_NETWORK_CA.c
Budeme používat kučera, typický síťový nástroj pro Linux, pro všechna volání API v tomto kurzu. cURL může provádět jakoukoli operaci HTTP a je nainstalován ve výchozím nastavení ve většině distribucí Linuxu. CURL lze navíc snadno nainstalovat na Windows pomocí binárních spustitelných souborů poskytnutých na stránce projektu cURL nebo výběrem v instalačním programu Cygwin. Mějte však na paměti, že protože rozhraní API je založeno na otevřených formátech, můžete k němu použít téměř jakýkoli jiný takový síťový nástroj nebo programovací jazyk.
Navíc budeme používat OpenSSL připravit naši objednávku certifikátu. OpenSSL je sada nástrojů s otevřeným zdrojovým kódem, která umožňuje provádět téměř jakoukoli kryptografickou operaci, kterou byste mohli najít. Tento nástroj je také zahrnut v seznamu balíčků Cygwin, takže jej můžete buď vybrat pro instalaci při nastavování instance Cygwin, nebo jej nainstalovat ručně pomocí binárních souborů poskytnutých na domovské stránce projektu.
Nakonec budete potřebovat dva klíče API, abyste mohli pracovat s karanténou, které jsou spojeny s vaším uživatelským účtem. Pokud ještě nemáte účet v karanténě, zaregistrujte se prostřednictvím karantény Registrační formulář. Proces je totožný s vytvořením běžného zákaznického účtu SSL.com. Pokud již máte účet v karanténě, můžete tento krok bezpečně přeskočit.
Přístup k rozhraní API
Naše SWS API je založeno na HTTP (používají prohlížeče protokolů) a všechna data jsou vyměňována v Formát JSON.
Většina volání API vyžaduje, abyste zahrnuli account_key
a secret_key
parametr pro účely autorizace. Pověření svého účtu můžete vždy najít na stránce Dashboard Sandboxu, i když v tomto případě je načteme pomocí API.
Příkaz uvedený v dalším fragmentu kódu vás přihlásí na portál a načte informace o vašem účtu, včetně těchto klíčů API. Pokud kopírujete a vkládáte příkaz do okna terminálu, ujistěte se, že jste jej nahradili USERNAME
a PASSWORD
s pověřeními vašeho účtu.
$ curl -L --cacert SSL_COM_RSA_SSL_SUBCA.crt --request GET --data-urlencode 'heslo = HESLO' \ 'https: //sws-test.sslpki.com / user / USERNAME '{"login": "JDemo", "email": "jdemo@mailinator.com", "account_number": "abc-1ec6012", "account_key": "4497618e5c98", "secret_key": "FY + s9 / ghUrv7SQ ==", "status": "enabled", "user_url": "https: //sws-test.sslpki.com / users / 1322857 "," available_funds ":" $ 0.00 "}
Ačkoli syntaxe cURL je docela přímočarý, pojďme se s ním seznámit podrobnějším prohlédnutím předchozího hovoru.
-L
dá CURL pokyn, aby sledoval všechna přesměrování HTTP. Tuto možnost byste měli zahrnout do všech hovorů, abyste předešli problémům.--cacert SSL_COM_RSA_SSL_SUBCA.crt
instruuje CURL k ověření certifikátu serveru API, s certifikátem, který jsme stáhli do balíčku. To umožní CURL šifrovat všechna data odeslaná na server.--request GET
dá pokynu cURL, aby provedl požadavek HTTP GET. Některá volání přijímají pouze požadavky HTTP POST nebo PUT. Tato možnost je způsob, jak zpracovat takové požadavky.--data-urlencode
připravuje přenos hesla k účtu na server. Požadavky GET mohou zahrnovat parametry v URL, zatímco požadavky PUT a POST zahrnují pouze parametry v těle. Protože heslo bude předáno prostřednictvím adresy URL, musíme jej kódovat, abychom unikli jakýmkoli symbolům (např/
,?
or#
), které by mohly server zmást. Tento proces se nazývá URL kódování.
\
) na konci prvního řádku vynutí terminál Linux, aby ignoroval znak nového řádku a pokračoval v analýze znaků na dalším řádku jako součást původního příkazu. Tuto syntaxi použijeme k rozdělení dlouhých příkazů na více řádků, abychom se pokusili učinit je více reprezentativními.Výsledkem volání API je objekt JSON obsahující informace o účtu, včetně account_key
a secret_key
, požadováno v následných voláních API.
Vydání certifikátu serveru
Po přípravě pracovního prostředí a po stisknutí kláves API jste nyní připraveni začít hrát s API. Jako příklad budeme požadovat vydání a Základní SSL certifikát pro imaginární webový server s názvem example.ssl.com
. Bez ohledu na to, zda používáte API nebo zákaznický portál, vyžaduje vydání certifikátu určité kroky.
Tyto kroky zahrnují generování soukromého a veřejného klíče, vytvoření a žádost o podpis certifikátu (CSR), vytvoření objednávky certifikátu a provedení ověření domény.
Vygenerujte CSR
Existují několik metod vytvořit CSR, ale protože už terminál používáme, podívejme se, jak vytvořit a CSR s OpenSSL. Pokud již máte CSR můžete použít pro tento účel, můžete tento krok přeskočit.
A CSR je soubor s kódováním base64, který obsahuje většinu informací, které budou zahrnuty v konečném souboru certifikátu. Mezi jeho nejdůležitější obsah patří veřejný klíč a název domény serveru certifikát bude vydán pro.
To znamená, že před vydáním a. Budeme potřebovat pár veřejných klíčů CSR. Následující příkaz vytvoří nový PEM soubor v pracovním adresáři, pojmenovaný example.ssl.com.key
, obsahující tyto dva klíče.
$ openssl genrsa -out example.ssl.com.key 2048 Generování soukromého klíče RSA, modul délky 2048 bitů ................... +++ ...... .................................................. ...... +++ e je 65537 (0x010001)
Pomocí páru klíčů může OpenSSL nyní generovat a CSR pro tebe. Chcete-li toho dosáhnout, použijte příkaz uvedený v následujícím fragmentu kódu.
$ openssl req -new -key example.ssl.com.key -out example.ssl.com.csr Budete požádáni o zadání informací, které budou začleněny do vaší žádosti o certifikát. Chystáte se zadat, co se nazývá rozlišující jméno nebo DN. Existuje poměrně málo polí, ale některá pole můžete nechat prázdná. U některých polí bude výchozí hodnota. Pokud zadáte „.“, Pole zůstane prázdné. ----- Název země (dvoumístný kód) [AU]: Název státu nebo provincie v USA (celé jméno) [Některý stát]: Název lokality v Texasu (např. Město) []: Název organizace v Houstonu (např. Společnost) [Internet Widgits Pty Ltd]: Příklad názvu organizační jednotky (např. Sekce) []: Příklad běžného názvu oddělení (např. FQDN serveru nebo VAŠE jméno) []: example.ssl.com E-mailová adresa []: admin@example.ssl. com Zadejte prosím následující atributy „navíc“, které budou odeslány s vaší žádostí o certifikát. Heslo pro výzvu []: Volitelný název společnosti []:
OpenSSL se vás zeptá na vaše základní kontaktní informace a Běžné jméno certifikátu. U certifikátů SSL je obecným názvem doménový název serveru (v tomto případě example.ssl.com
). Spuštění výše uvedeného příkazu vytvoří soubor s názvem example.ssl.com.csr
, v aktuálním adresáři obsahujícím kódovaný base64 CSR.
$ cat example.ssl.com.csr -----BEGIN CERTIFICATE REQUEST----- MIIC5DCCAcwCAQAwgZ4xCzAJBgNVBAYTAlVTMQ4wDAYDVQQIDAVUZXhhczEQMA4G A1UEBwwHSG91c3RvbjEQMA4GA1UECgwHRXhhbXBsZTEbMBkGA1UECwwSRXhhbXBs ZSBEZXBhcnRtZW50MRgwFgYDVQQDDA9leGFtcGxlLnNzbC5jb20xJDAiBgkqhkiG 9w0BCQEWFWFkbWluQGV4YW1wbGUuc3NsLmNvbTCCASIwDQYJKoZIhvcNAQEBBQAD ggEPADCCAQoCggEBAN7XMG7+zhaGfimdD1F0P3xxUS8dC6knKId3ONEt14Wa5E62 ZIUkyNgQC7gd3Be31jBhcuzJKn8UbTcWnPXd3OCbznbkqXtnljiF3yN9cRnj2f7y 89Hfmje8C07xe6AsoUMSTYzwsoo3zai1bxOUhy+uDU8FzxcSHunepdx/naHXY1Md waQwzBCp668hFeIOslEjkTCNle3HK1LrgjZCIg0tyHBuZTNuUcQOyXrrDSrtOxx8 dqOD7sYqJie2xiCC9kkpNGYYTEuCuVKidgiC3e/DuLUNbhoUMfSENv64TGA7lRIj nEBrrEm6FOSgPEGgEsM78cexVaqNCavNXNy49ysCAwEAAaAAMA0GCSqGSIb3DQEB CwUAA4IBAQAV1Ac9nYH64BrB4OHlOYPkZbK6qCKfipTg7s4Xdcc3TponjTnMJyaQ NNh0koCUOFJaYPjWIk/YkCeGNv/fbce+sddNbh0jtcVTPw8EFvs53IaUAE99zDvn 577Azj+OXfmaLQXjK15BtnT5hbmRKsrpPxnAdk4NOohM7QKWNEdBrcfTuH1q3WpD 6jSD35FlIFUfMgNi34mxF4vYamGrWgdURIb7DCk2h7B2LQK+vRNx1uPm9FVSeYZc tHZWTiw2xEExw2Qco6lqXYl8t0Eo07gYl4gAEx9bibvVqYMo3Zss1mRg6+WEB8Xs G+Hn1TG3XIaIbmvlpRNma/l766KZwLXG -----END CERTIFICATE REQUEST-----
Vytvořte objednávku certifikátu
Poté, co získal CSR, jste nyní připraveni vytvořit objednávku certifikátu prostřednictvím API. První volání API, na které jsme se podívali, byl požadavek GET, zatímco toto je POST. Požadavky POST musí obsahovat všechny parametry v jejich tělech jako objekty JSON. V důsledku toho musíte formátovat parametry objednávky certifikátu v JSON. Konfiguraci JSON pro tento příklad najdete v následujícím fragmentu kódu.
{"account_key": "4497618e5c98", "secret_key": "FY + s9 / ghUrv7SQ ==", "product": "106", "period": "365", "server_software": "15", "organization_name" : "Example", "street_address_1": "Example st", "local_name": "Houston", "state_or_province_name": "Texas", "postal_code": "77777", "country_name": "US", "duns_number": "1234567", "company_number": "Příklad číslo", "registered_country_name": "US", "unique_value": "1ed1c72baf", "csr":" ----- ZAČÁTEK ŽÁDOST O CERTIFIKÁT ----- MIIDIjCCAgwaRlkPnuD ... 0QQ3JKQqJbii3760Rgon8hZmbkiE = ----- KONEC ŽÁDOST O CERTIFIKÁT ----- "}
Už jsme viděli klíče API. K objednání certifikátů však musíme zahrnout i další parametry, jako je product
ID a platnost period
. Seznam ID produktů naleznete v Dokumentace SWS API. V tomto příkladu je objednávka provedena na základní certifikát SSL s dobou platnosti 1 rok. Další skupina parametrů ukládá kontaktní informace o žadateli o registraci (jste to vy). The unique_value
parametr (volitelný), obsahuje alfanumerický řetězec, který zajišťuje jedinečnost požadavku. Pokud nezadáte jedinečnou hodnotu, vygeneruje se pro vás náhodná. Zadání jedinečné hodnoty tímto způsobem je užitečné, pokud chcete generovat soubory DCV nebo položky CNAME mimo uživatelský portál SSL.com. Nakonec csr
parametr musí obsahovat platný kódovaný base64 CSR, jako ten, ve kterém jsme uložili example.ssl.com.csr
.
Nahraďte parametry vlastními hodnotami kontaktní údaje a CSRa uložte tuto konfiguraci JSON do souboru s názvem example.ssl.com.json
.
Když je vše nastaveno, jste připraveni vytvořit objednávku. cURL přijímá parametry JSON buď jako vložený řetězec, nebo prostřednictvím názvu souboru. Vzhledem k tomu, že první možnost je příliš podrobná, předejme místo toho název souboru.
Vezměte prosím na vědomí --data-binary
Přepínač cURL, který dává příkazu cURL zahrnout obsah souboru do těla požadavku POST.
$ curl -L --cacert SSL_COM_RSA_SSL_SUBCA.crt --request POST --header "Content-Type: application / json" \ --data-binary "@ example.ssl.com.json" 'https: // sws-test .sslpki.com / certificates '{"ref": "co-ac1ecm200", "registrant": {"organization": "Example", "organization_unit": null, "street_address_1": "Příklad st", "street_address_2": null, "street_address_3": null, "locality": "Houston", "state_or_province": "Texas", "post_office_box": null, "postal_code": "77777", "country": "US", "email": null} , "order_status": "je požadováno ověření", "validace": null, "order_amount": "$ 49.00", "certificate_url": "https://sandbox.ssl.com/team/abc-1ec6012/certificate_orders/co-ac1ecm200 "," receive_url ":" https://sandbox.ssl.com/team/abc-1ec6012/orders/fe3b-1ecm201 "," smart_seal_url ":" https://sandbox.ssl.com/team/abc-1ec6012 / certificate_orders / co-ac1ecm200 / site_seal "," validation_url ":" https://sandbox.ssl.com/team/abc-1ec6012/certificate_orders/co-ac1ecm200/validation "," external_order_number ": null," certificates ": nula }
Výsledkem operace je další objekt JSON, který obsahuje podrobnosti o nově vytvořené objednávce certifikátu. Můžeme vidět jeho order_status
a jeho referenční číslo v ref
parametr, který se používá k odkazu na toto pořadí ve všech následných voláních API. Výstup navíc obsahuje různé adresy URL, například certificate_url
, který ukazuje na podrobnosti objednávky na portálu a validation_url
, která odkazuje na stránku ověření objednávky.
Konečně, certificates
bude obsahovat všechny certifikáty spojené s objednávkou. Protože objednávka ještě nebyla ověřena, nebyly vytvořeny žádné certifikáty.
Ověření domény
Jak je uvedeno v objednávce certifikátu order_status
of validation required
, musíte provést ověření před vydáním certifikátu.
Veřejně důvěryhodné certifikační autority (například SSL.com) jsou povinny ověřit, zda kupující certifikátu skutečně řídí server, na který bude certifikát vydán, než jim vydá jakékoli certifikáty. Toho lze dosáhnout prostřednictvím více metoda pomocí tohoto dalšího volání API můžete zobrazit všechny dostupné metody ověřování pro konkrétní objednávku.
Ujistěte se, že jste vyměnili referenční číslo co-ac1ecm200 v adrese URL s referenčním číslem vaší objednávky, které bylo vygenerováno v předchozím volání API.
$ curl --cacert SSL_COM_RSA_SSL_SUBCA.crt --request GET \ --data-urlencode 'secret_key = FY + s9 / ghUrv7SQ ==' --data-urlencode 'account_key = 4497618e5c98' \ 'https: //sws-test.sslpki.com / certificate / co-ac1ecm200 / validations / methods '{"instructions": "https://www.ssl.com/faqs/ssl-dv-validation-requirements/", "md5_hash": "29BD4C00B65613CCEC04C19C0050D931", " sha2_hash ": "BF340FDFD9C43D45B8310FC4A400E4D4B61CAF8D2002BAAF0945252E35F9D751", "dns_sha2_hash": "BF340FDFD9C43D45B8310FC4A400E4D4.B61CAF8D2002BAAF0945252E35F9D751.167c8a5c49", "dcv_methods": { "example.ssl.com": { "EMAIL_ADDRESSES": [ "admin@ssl.com"," správce @ ssl .com "," webmaster@ssl.com "," hostmaster@ssl.com "," postmaster@ssl.com "," admin@example.ssl.com "," administrator@example.ssl.com "," webmaster @ example.ssl.com "," hostmaster@example.ssl.com "," postmaster@example.ssl.com "]," http_csr_hash ": {" http ":" http://example.ssl.com/.well-known/pki-validation / 29BD4C00B65613CCEC04C19C0050D931.txt "," allow_https ":" true "," contents ":" BF340FDFD9C43D45B8310FC4A400E4D4B61CAF8D2002BAAF0945252E35F9D751 \ n167_8} \ nccsr_hash ": {" cname ":" _29BD4C00B65613CCEC04C19C0050D931.example.ssl.com. CNAME ff8716e0fd.ssl.com. "," Name ":" _29BD4C00B65613CCEC04C19C0050D931.example.ssl.com "," value ":" BF340FDFD9C43D45B8310FC4A400E4D4.B61CAF8D2002BAAF0945252EE}} "} com "}
Vrácený výstup bude zahrnovat všechny informace, které potřebujete k ověření platnosti kontroly domény. Například, pokud chcete použít http_csr_hash
metoda ověření, musíte vytvořit soubor na serveru, pro který bude tento certifikát vydán, pojmenovaný .well_known/pki-validation/29BD4C00B65613CCEC04C19C0050D931.txt
. Soubor by měl přesně obsahují hodnotu contents
parametr.
Poté můžete navštívit validation_url
nalezené v předchozím hovoru, který vytvořil objednávku, a pokračujte v ověřování, jako obvykle u objednávky, kterou jste vytvořili prostřednictvím zákaznického portálu. (Vždy můžete navštívit Validace a najděte adresu URL pro konkrétní objednávku).
Po úspěšném ověření platnosti domény bude certifikát vydán a budete si jej moci stáhnout.
Načíst certifikát
Svůj certifikát najdete na webovém portálu nebo jej načtete pomocí API. Pro naše účely budeme používat API. Jak je vidět v předchozí části, při vytváření nové objednávky certifikátu obsahuje odpověď referenční číslo. Toto číslo lze použít k načtení podrobností objednávky, včetně skutečných údajů o certifikátu.
$ curl --request GET -L --cacert SSL_COM_RSA_SSL_SUBCA.crt \ --data-urlencode 'secret_key = FY + s9 / ghUrv7SQ ==' --data-urlencode 'account_key = 4497618e5c98' \ 'https: // sws-test .sslpki.com / certificate / co-ac1ecm200? response_type = individual & response_encoding = base64 '{"description": "1 Year Basic SSL", "product": "106", "product_name": "basicssl", "order_status": "vydáno" , "order_date": "2019-05-02T10: 08: 48.000-05: 00", "registrant": {"organization": "Example", "organization_unit": null, "street_address_1": "Příklad st", " street_address_2 ": null," street_address_3 ": null," locality ":" Houston "," state_or_province ":" Texas "," post_office_box ": null," postal_code ":" 77777 "," country ":" US "," email ": null}," certificates ":" \ nMIIE1TCCA72gAwIBAgIRANsjhF + t ... 4CAw5Egg73IgIHggE1QEZiYQRu + 0wDQY \ n "," common_name ":" example.ssl.com "," domains_qty_purchased ":" 1 ", "ed" 0 "," subject_alternative_names ": [" example.ssl.com "," www.example.ssl.com "]," validace ": null," efektivní_datum ":" 2019-05-03T11: 22: 37.000-05: 00 "," expiration_date ":" 2020-05-02T11: 22: 37.000-05: 00 "," algoritmus ":" SHA256 "," external_order_number ": null," domains ": null," site_seal_code " ": null," subscriber_agreement ": null," server_software ": 15," kontakty ": [{...}, {...}]}
Jelikož se má API používat programově, musíte analyzovat odpověď JSON, abyste certifikát izolovali a uložili do souboru. Analýza JSON je mimo rozsah tohoto článku; jedná se však o jednoduchý úkol, který lze snadno implementovat do většiny moderních skriptovacích nebo programovacích jazyků.
Prohledávejte objednávky certifikátů
Pokud nemáte po ruce referenční číslo, můžete vydat volání API a načíst všechny objednávky certifikátů vašeho účtu. Toto volání vám umožňuje filtrovat objednávky a také to, jaké informace se zobrazí.
$ curl --cacert SSL_COM_RSA_SSL_SUBCA.crt --request GET \ --data-urlencode 'secret_key = FY + s9 / ghUrv7SQ ==' --data-urlencode 'account_key = 4497618e5c98' \ 'https: //sws-test.sslpki.com / certificates? fields = domains, ref, order_status '[{"ref": "co-ac1ecm200", "order_status": "vydáno", "domains": ["example.ssl.com"]}, {" ref ":" co-581eclsap "," order_status ":" ověřování, čekejte prosím "," domény ": [" example.ssl.com "]}, {" ref ":" co-6f1ecm1of "," order_status ": "čekání na kontaktní informace od zákazníka", "domény": ["test.ssl.com"]}}
Projekt fields
Parametr URL umožňuje řídit, které podrobnosti certifikátu se budou zobrazovat ve výstupu. Můžete si navíc prohlížet stránky per_page
a page
parametry požadavku. Chcete-li omezit počet certifikátů na základě jejich dat vydání, můžete použít start
a end
parametry. Nakonec můžete filtrovat a prohledávat objednávky pomocí kritérií, jako je ID produktu, datum vypršení platnosti nebo jakékoli jiné pole obsažené v certifikátu. Pro více informací se podívejte na Dokumentace API SSL.com.
Zrušte certifikát
Poslední funkcí, kterou se budeme v této příručce zabývat, je hromadné zrušení certifikátu. Certifikáty vás mohou ochránit, pokud držíte soukromý klíč, který je s nimi spojen, pouze vy (nebo lidé, kterým důvěřujete). V případě, že dojde ke kompromitaci soukromého klíče nebo je třeba změnit jakékoli informace o certifikátu, musí být certifikát okamžitě odvolán a musí být vydán nový.
V případech, kdy existuje podezření na odcizení soukromého klíče, je nezbytné, aby klientský software (jako jsou prohlížeče nebo operační systémy) přestal přijímat jej co možná nejdříve. Z tohoto důvodu důrazně doporučujeme, abyste na své servery implementovali automatizovaný systém odvolávání, opětovného vydávání, získávání a instalace certifikátů.
SWS API SSL.com vám umožňuje programově zrušit jeden, více nebo všechny certifikáty v rámci libovolné vaší objednávky certifikátů. Následující volání API zruší všechny certifikáty v pořadí certifikátů co-ac1ecm200:
curl --cacert SSL_COM_RSA_SSL_SUBCA.crt --request DELETE --header "Content-Type: application / json" \ --data-binary '{"account_key": "4497618e5c98", "secret_key": "FY + s9 / ghUrv7SQ = = "," reason ":" odcizen "} '\' https: //sws.sslpki.com / certificate / co-ac1ecm200 '{"status": "zrušeno"}
Tento příkaz cURL vydá požadavek HTTP DELETE (místo GET nebo POST jako předchozí příkazy) a poskytuje inline konfiguraci JSON. Je také platné vytvořit soubor s obsahem JSON a předat jej do CURL pomocí názvu souboru stejným způsobem jako příkaz, který vydal objednávku certifikátů.
Můžete zadat jakýkoli důvod, který chcete reason
parametr a může případně obsahovat seznam sériových čísel certifikátů v JSON, aby zrušil pouze certifikáty odpovídající těmto seriálům. Pokud nejsou zahrnuta žádná sériová čísla, budou zrušeny všechny certifikáty patřící do zadaného pořadí certifikátů.
Další informace o tomto volání API naleznete na našem Dokumentace rozhraní API.
Proč investovat do čističky vzduchu?
Tento článek popisuje přímý proces vydávání a odvolání certifikátu serveru DV jako zjednodušeného příkladu operací, které můžete provádět prostřednictvím SWS API SSL.com. My na SSL.com podporujeme použití automatizace, kde je to možné, protože to odstraňuje potíže s ručním prováděním stejných opakujících se úkolů, a co je důležitější, umožňuje rychlejší dobu odezvy v případě nouze (viz problém s entropií sériového čísla).
Neváhejte a experimentujte s našimi pískoviště a SWS APIV případě problémů neváhejte kontaktovat naše pracovníky podpory.
- Váš účet SSL.com - Odeslání a CSR
- Neúspěšný předběžný test ?!
- Váš účet SSL.com - Ověření
- Váš účet SSL.com - objednávky
- Váš účet SSL.com - domény
- SSL /TLS Vydání a zrušení certifikátu s ACME
- Podporované cloudové HSM pro podepisování dokumentů a podepisování kódů EV