SSL /TLS Vydání a zrušení certifikátu s ACME

Zobrazit všechny návody

Logo ACMEZákazníci SSL.com nyní mohou pomocí populárního protokolu ACME požadovat a zrušit SSL /TLS certifikáty.

ACME (Automated Certificate Management Environment) je standardní protokol pro automatické ověřování domén a instalaci certifikátů X.509, dokumentovaný v IETF RFC 8555. Jako dobře zdokumentovaný standard s mnoha open-source implementace klientů, ACME nabízí bezbolestný způsob poskytování webových stránek nebo Zařízení IoT jako jsou modemy a směrovače s veřejně nebo soukromě důvěryhodnými digitálními certifikáty a tyto certifikáty průběžně aktualizujte.

ACME není jen pro webové stránky! S vydávajícím CA s povolením ACME ze stránky SSL.com mohou dodavatelé IoT snadno spravovat a automatizovat ověřování, instalaci, obnovu a odvolání SSL /TLS certifikáty na zařízeních podporujících ACME.

Další informace o ACME pro IoT

Tato příručka vám ukáže, jak:

  • Vyhledejte a načtěte přihlašovací údaje, které budete potřebovat k vyžádání certifikátů pomocí ACME.
  • Použijte Certbot k ručnímu vyžádání SSL /TLS certifikáty prostřednictvím HTTP-01 a DNS-01 metody výzvy.
  • Odvolání certifikátů pomocí Certbot.
Poznámka:
Můžete použít mnoho dalších klientů ACME, včetně Cert-manager Kubernetes, se službou ACME SSL.com.
acme4j  klient nyní může používat služby SSL.com ACME na tomto úložišti: https://github.com/SSLcom/acme4j
Pokyny pro ostatní klienty ACME, kteří nejsou Certbot, naleznete v dokumentaci poskytovatele softwaru.

Nainstalujte Certbot

Tato příručka předpokládá, že pracujete na počítači, který má Certbot nainstalován. Certbot je bezplatný a otevřený nástroj vyvinutý společností Electronic Frontier Foundation (EFF), který můžete použít k vyžádání nebo zrušení SSL /TLS certifikáty od SSL.com přes protokol ACME. Certbot lze provozovat na různých platformách, včetně Linux, macOS a Windows.

  • Pokud máte snapd nainstalován, můžete použít tento příkaz pro instalaci: 
    sudo snap install --classic certbot
  • If /snap/bin/ není ve vašem PATH, budete také muset přidat nebo spustit příkaz, jako je tento: 
    sudo ln -s / snap / bin / certbot / usr / bin / certbot

Pokud potřebujete další informace o instalaci Certbotu do vašeho systému, podívejte se na EFF dokumentace.

Přejít na začátek

Načíst pověření ACME

Před použitím ACME k vyžádání certifikátu budete muset získat svůj Klíč účtu a Klíč HMAC ze svého účtu SSL.com.

SSL.com Prodejce a hromadný nákup partneři mohou generovat pověření ACME pro své zákazníky. Číst to jak na to pro úplné pokyny.
  1. Přihlaste se ke svému účtu SSL.com. Pokud jste již přihlášeni, přejděte na stránku Hlavní obrazovka Karta.
    Hlavní obrazovka
  2. klikněte api pověření, umístěný pod vývojáři a integrace.
    Odkaz pověření API
  3. Budete potřebovat vaše Klíč účtu / ACME a Klíč HMAC požadovat certifikáty. Klikněte na ikonu schránky () vedle každého klíče zkopírujte hodnotu do schránky.
    Klíč účtu / ACME a klíč HMAC
  4. Můžete také zkopírovat příkaz Certbot s předvyplněnou e-mailovou adresou, klíčem Account / ACME a klíčem HMAC kliknutím na ikonu schránky () vedle příkaz cli, Pod ACME Certbot. Tento předformátovaný příkaz nainstaluje certifikát pomocí metody výzvy HTTP-01.Zkopírujte příkaz certbot
Přejít na začátek

Ručně požádat o SSL /TLS Osvědčení

Nyní, když jste získali svá pověření, můžete požádat o certifikát prostřednictvím certbot příkaz. Certbot podporuje dvě metody ověření domény (DV): HTTP-01 a DNS-01.

Metoda výzvy HTTP-01

HTTP-01 je nejčastěji používanou metodou výzev používaných s ACME a Certbot. Když tímto způsobem požádáte o certifikát, Certbot vygeneruje token, který můžete použít k vytvoření veřejně přístupného souboru na vašem webu. Server ACME serveru SSL.com poté soubor ověří pomocí protokolu HTTP a vydá podepsaný certifikát, pokud je správný.

požadavky: Metoda HTTP-01 vyžaduje, abyste měli přístup k vašemu webovému serveru a aby byl web k dispozici přes port 80 přes HTTP. Budete také potřebovat sudo oprávnění v počítači.

Chcete-li certifikát načíst ručně, použijte následující příkaz. Nahraďte hodnoty v ALL CAPS svými skutečnými hodnotami. (Jak je uvedeno výše, můžete také zkopírovat a vložit příkaz certbot, který to provede, z vašeho účtu portálu):

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- souhlas-tos --no-eff-email --email E-MAILOVÁ ADRESA --eab-hmac-key HMAC-KEY --eab-kid KLÍČ ÚČTU -d DOMÉNA.NAME

Rozdělení příkazu:

  • sudo certbot běží certbot příkaz s oprávněními superuživatele.
  • certonly požaduje načíst certifikát, ale neinstalovat ho.
  • --manual určuje interaktivní spuštění Certbot.
  • --server https://acme.ssl.com/sslcom-dv-ecc specifikuje server ACME serveru SSL.com.
  • --config-dir /etc/ssl-com (volitelné) nastaví konfigurační adresář.
  • --logs-dir /var/log/ssl-com (volitelné) nastaví adresář pro protokoly.
  • --agree-tos (volitelně) souhlasí s účastnickou dohodou ACME. To můžete vynechat, pokud se chcete dohodnout interaktivně.
  • --no-eff-email (volitelné) označuje, že nechcete sdílet svou e-mailovou adresu s EFF. Pokud toto vynecháte, budete vyzváni k možnosti sdílet vaši e-mailovou adresu.
  • --email EMAIL-ADDRESS poskytuje registrační e-mailovou adresu. Můžete zadat více adres oddělených čárkami.
  • --eab-hmac-key HMAC-KEY určuje váš klíč HMAC.
  • --eab-kid ACCOUNT-KEY určuje klíč vašeho účtu.
  • -d DOMAIN.NAME Určuje název domény, na který se certifikát bude vztahovat. Všimněte si, že můžete použít -d DOMAIN.NAME možnost vícekrát v příkazu přidat názvy domén k vašemu certifikátu. Certbot bude vyžadovat, abyste pro každý požadovaný název domény vytvořili soubor výzvy. Viz část o typy certifikátů a fakturace níže uvidíte, jak se různé kombinace doménových jmen mapují na Typy certifikátů SSL.com a jejich odpovídající ceny.
Poznámka: Certbot 2.0.0 nebo novější standardně generuje ECDSA pro nové certifikáty. Výše uvedený příkaz vygeneruje pár klíčů ECDSA a certifikát. Chcete-li místo toho použít klíče RSA:

  • Změň --server hodnota v příkazu do https://acme.ssl.com/sslcom-dv-rsa
  • přidat --key-type rsa na příkaz.
Při prvním spuštění výše uvedeného certbot příkaz, informace o účtu ACME budou uloženy na vašem počítači v konfiguračním adresáři (/etc/ssl-com ve výše uvedeném příkazu. Při budoucích bězích certbotu můžete vynechat --eab-hmac-key a --eab-kid možnosti, protože certbot je bude ignorovat ve prospěch informací o místně uloženém účtu.

Pokud potřebujete spojit své objednávky certifikátů ACME pro počítač s jiným účtem SSL.com, měli byste tyto informace o účtu z počítače odebrat pomocí příkazu sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (nebo, pokud jste vynechali nepovinné --config-dir volba, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Když spustíte výše uvedený příkaz, měli byste dostat pokyny k vytvoření ověřovacího souboru:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vytvořte soubor obsahující pouze tato data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI A zpřístupněte jej na svém webovém serveru na této adrese URL: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Pokračujte stisknutím klávesy Enter

Vytvořte soubor a uložte jej na umístění na webovém serveru, kde k němu lze přistupovat přes HTTP přes port 80 na zobrazené adrese URL a stiskněte Enter.

Poznámka: Výzva HTTP-01 může vyžadovat název souboru začínající pomlčkou (-) znak. V tomto případě možná budete muset při vytváření souboru zadat adresář, abyste zabránili tomu, aby shell interpretoval pomlčku (např vim ./-r1rsRTImVz_s7HHk7biTQ).

Pokud jsou všechny vaše informace správné, měli byste obdržet potvrzovací zprávu s umístěním vašeho řetězce certifikátů a soukromého klíče:

DŮLEŽITÉ POZNÁMKY: - Gratulujeme! Váš certifikát a řetězec byly uloženy na: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Váš klíčový soubor byl uložen na: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your platnost certifikátu vyprší dne 2021-10-05. Chcete-li v budoucnu získat novou nebo vylepšenou verzi tohoto certifikátu, jednoduše znovu spusťte certbot. Chcete-li neinteraktivně obnovit * všechny * své certifikáty, spusťte „certbot obnovit“

Nyní můžete nakonfigurovat webový server pro přístup k novému certifikátu a soukromému klíči.

Přejít na začátek

Metoda výzvy DNS-01

Projekt DNS-01 Výzva je obtížnější než HTTP-01, ale může být pohodlnější pro použití na více webových serverech. V této metodě Certbot poskytne token, který použijete k vytvoření záznamu DNS TXT pod názvem domény, který bude certifikát chránit.

požadavky: Metoda DNS-01 vyžaduje, abyste měli schopnost vytvářet záznamy DNS pro název domény vašeho webu.

Následující příkaz bude vyžadovat certifikát pro DOMAIN.NAME pomocí metody výzvy DNS-01:

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME

Poznámka: Můžete použít -d DOMAIN.NAME možnost vícekrát v příkazu přidat názvy domén k vašemu certifikátu. Certbot bude vyžadovat, abyste pro každý požadovaný název domény vytvořili samostatný záznam DNS TXT. Před stisknutím nemusíte čekat, až se každý záznam TXT rozšíří Enter dokud nedosáhnete poslední výzvy. Viz část o typy certifikátů a fakturace níže uvidíte, jak se různé kombinace doménových jmen mapují na Typy certifikátů SSL.com a jejich odpovídající ceny.
Při prvním spuštění výše uvedeného certbot příkaz, informace o účtu ACME budou uloženy na vašem počítači v konfiguračním adresáři (/etc/ssl-com ve výše uvedeném příkazu. Při budoucích bězích certbotu můžete vynechat --eab-hmac-key a --eab-kid možnosti, protože certbot je bude ignorovat ve prospěch informací o místně uloženém účtu.

Pokud potřebujete spojit své objednávky certifikátů ACME pro počítač s jiným účtem SSL.com, měli byste tyto informace o účtu z počítače odebrat pomocí příkazu sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (nebo, pokud jste vynechali nepovinné --config-dir volba, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Tento příkaz je stejný jako v sekci HTTP-01, ale přidává --preferred-challenges dns volba. Po spuštění příkazu obdržíte pokyny pro vytvoření záznamu DNS:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue

Vytvořte záznam DNS TXT a počkejte, až se rozšíří. (whatsmydns.net je vhodný nástroj pro kontrolu šíření DNS). Všimněte si, že znak podtržítka (_) na začátku názvu záznamu je požadováno. Když se záznam rozšířil do celého světa, stiskněte Enter.

Pokud požadujete certifikát se zástupnými znaky (např *.example.com) budete si muset základní název domény vyžádat samostatně, pokud si jej přejete chránit také (například -d *.example.com -d example.com). V takovém případě budete muset vytvořit dvě TXT záznamy se stejným názvem (_acme-challenge.example.com).

Pokud jsou všechny vaše informace správné, měli byste obdržet potvrzovací zprávu s umístěním vašeho řetězce certifikátů a soukromého klíče:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"

Nyní můžete nakonfigurovat webový server pro přístup k novému certifikátu a soukromému klíči.

Přejít na začátek

Obnovení certifikátu (ruční)

U ručně vydaných certifikátů (jak je popsáno v této příručce) se obnovení certifikátu provádí jednoduchým opakováním příkazu použitého k vyžádání certifikátu. Certbot poskytuje renew dílčí příkaz, ale způsobí chybu při pokusu o použití s ​​certifikáty požadovanými s --manual možnost:

sudo certbot restore --force-obnova Ukládání ladicího protokolu do /var/log/ssl-com/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Zpracování /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Nelze vybrat vhodný plugin: Manuální plugin nefunguje; mohou existovat problémy s vaší stávající konfigurací. Chyba byla: PluginError ('Při použití ručního pluginu neinteraktivně musí být poskytnut ověřovací skript s --manual-auth-hook.') Pokus o obnovení cert (DOMAIN.NAME) z / etc / ssl-com / obnova / DOMAIN.NAME.conf způsobila neočekávanou chybu: Ruční plugin nefunguje; mohou existovat problémy s vaší stávající konfigurací. Chyba byla: PluginError ('Při použití ručního pluginu neinteraktivně musí být poskytnut ověřovací skript s --manual-auth-hook.',). Skákání. Všechny pokusy o obnovení selhaly. Následující certifikáty nelze obnovit: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (selhání) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Všechny pokusy o obnovení selhaly. Následující certifikáty nelze obnovit: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (selhání) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 selhání obnovy, 0 selhání analýzy
Přejít na začátek

Zrušení certifikátu

Zrušit certifikát pomocí certbot revoke. Nahraďte cestu k certifikátu VŠECHNY VELIKOSTI skutečnými hodnotami (například /etc/ssl-com/live/example.com/cert.pem). Pokud jste nezadali vlastní --config-dir a --logs-dir při žádosti o původní certifikát tyto možnosti vynechejte.

sudo certbot revoke --server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com

Zobrazí se výzva, zda chcete zrušený certifikát také odstranit:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Chtěli byste smazat cert (y) právě jste odvolali, spolu se všemi staršími a novějšími verzemi certifikátu? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y) es (doporučeno) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Smazány všechny soubory týkající se certifikátu DOMÉNOVÉ JMÉNO. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Poznámka: Někteří uživatelé mohou dostat tuto chybu při pokusu o odvolání certifikátu pomocí SSL.comKoncový bod ACME:Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.

Chcete-li chybu vyřešit, zkuste následující:
a) Zadejte cestu soukromého klíče certifikátu pro podepsání žádosti o odvolání.
Příklad: --key-path /PATH/TO/privkey.pem
b) Pokud jste použili vlastní adresář, zadejte adresář, který jste použili při vydávání certifikátu: --config-dir
Přejít na začátek

Typy certifikátů a fakturace

Vše SSL /TLS certifikáty vydané přes ACME SSL.com jsou jednoroční certifikáty. Typ certifikátu SSL.com, který obdržíte (a bude vám účtován), závisí na počtu a typu požadovaných názvů domén:

  • Základní SSL: Jeden název domény nebo název domény plus www subdoména (např example.com a www.example.com).
    • Všimněte si, že pokud chcete chránit jak základní název domény, tak i www, musíte do příkazu Certbot zahrnout obě (např -d example.com -d www.example.com).
  • Wildcard SSL: Jeden zástupný název domény nebo jeden zástupný název domény plus základní název domény (např *.example.com a example.com).
  • Prémiový SSL: Základní název domény a jedna až tři subdomény bez zástupných znaků. (Výjimka: Jak je uvedeno výše, základní doména plus www subdoména [a žádné další] budou účtovány jako základní SSL.) Například:
    • example.com a info.example.com
    • example.comwww.example.com, a info.example.com
    • example.comwww.example.com, info.example.com , a store.example.com
  • UCC / SAN SSL s více doménami: Jakákoli jiná kombinace doménových jmen. Například:
    • Základní název domény a více než tři subdomény
    • Dva nebo více zástupných znaků a / nebo názvů domén jiných než subdoména

Účastníci v SSL.com Program distributora a hromadného nákupu budou účtovány se sníženou sazbou spojenou s jejich cenovou úrovní.

Přejít na začátek

Pro více informací

S protokolem ACME můžete dělat mnohem víc (s Certbotem nebo bez něj). Další informace najdete v následujících zdrojích:

Potřebujete další pomoc s vaším účtem SSL.com?

Děkujeme, že jste si vybrali SSL.com! Pokud máte nějaké dotazy, kontaktujte nás e-mailem na adrese Support@SSL.com, volání 1-877-SSL-SECURE, nebo jednoduše klikněte na odkaz chat v pravé dolní části této stránky. Odpovědi můžete najít také v mnoha častých otázkách podpory Databáze znalostí.
X
facebook
LinkedIn
reddit
email

Tým podpory SSL.com

Autor - správce obsahu
Všechny příspěvky »

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.

Zúčastněte se průzkumu