SSL.com-kunder kan nu bruge den populære ACME-protokol til at anmode om og tilbagekalde SSL /TLS certifikater.
ACME (Automated Certificate Management Environment) er en standardprotokol til automatiseret domænevalidering og installation af X.509-certifikater, dokumenteret i IETF RFC 8555. Som en veldokumenteret standard med mange open-source klientimplementeringer, ACME tilbyder en smertefri måde at tilvejebringe websteder eller IoT-enheder såsom modemer og routere med offentligt eller privat tillid til digitale certifikater og holder disse certifikater opdaterede over tid.
Denne guide viser dig, hvordan du:
- Find og hent de legitimationsoplysninger, du har brug for for at anmode om certifikater med ACME.
- Brug Certbot til manuelt at anmode om SSL /TLS certifikater via HTTP-01 og DNS-01 udfordringsmetoder.
- Tilbagekald certifikater med Certbot.
Du kan bruge mange andre ACME-klienter, herunder Kubernetes cert-manager, med SSL.com's ACME-tjeneste.
acme4j klient kan nu bruge SSL.com ACME-tjenester på dette lager: https://github.com/SSLcom/acme4j
Se venligst din softwareudbyders dokumentation for instruktioner til andre ikke-Certbot ACME-klienter.
Installer Certbot
Denne guide antager, at du arbejder på en computer, der har Certbot installeret. Certbot er et gratis og open source-værktøj, udviklet af Electronic Frontier Foundation (EFF), som du kan bruge til at anmode om eller tilbagekalde SSL /TLS certifikater fra SSL.com via ACME-protokollen. Certbot kan køres på en række forskellige platforme, herunder Linux, macOS og Windows.
- Hvis du har snapd installeret, kan du bruge denne kommando til installation:
sudo snap-installation - klassisk certbot
- If
/snap/bin/
er ikke i dinPATH
, skal du også tilføje det eller køre en kommando som denne:sudo ln -s / snap / bin / certbot / usr / bin / certbot
Hvis du har brug for flere oplysninger om installation af Certbot på dit system, henvises der til EFF'er dokumentation.
Hent ACME legitimationsoplysninger
Før du bruger ACME til at anmode om et certifikat, skal du hente dit Konto nøgle og HMAC-nøgle fra din SSL.com-konto.
- Log ind på din SSL.com-konto. Hvis du allerede er logget ind, skal du gå til Hovedmenu fane.
- Klik api-legitimationsoplysninger, placeret under udviklere og integration.
- Du skal bruge din Konto / ACME-nøgle og HMAC-nøgle at anmode om certifikater. Klik på udklipsholderikonet () ved siden af hver tast for at kopiere værdien til udklipsholderen.
- Du kan også kopiere en Certbot-kommando, der er forudfyldt med din e-mail-adresse, konto / ACME-nøgle og HMAC-nøgle ved at klikke på udklipsholderikonet () ved siden af cli-kommando, Nedenfor ACME Certbot. Denne forformaterede kommando bestiller et certifikat via HTTP-01-udfordringsmetoden.
Manuelt anmode om en SSL /TLS certifikat
Nu hvor du har hentet dine legitimationsoplysninger, kan du anmode om et certifikat via certbot
kommando. Certbot understøtter to domæne validering (DV) metoder: HTTP-01 og DNS-01.
HTTP-01 udfordringsmetode
HTTP-01 er den mest anvendte udfordringsmetode, der bruges med ACME og Certbot. Når du anmoder om et certifikat på denne måde, genererer Certbot et token, som du kan bruge til at oprette en offentligt tilgængelig fil på dit websted. SSL.coms ACME-server verificerer derefter filen via HTTP og udsteder et underskrevet certifikat, hvis det er korrekt.
Krav: HTTP-01-metoden kræver, at du har adgang til din webserver, og at webstedet er tilgængeligt via port 80
via HTTP. Du får også brug for sudo
privilegier på computeren.
Brug følgende kommando for at hente et certifikat manuelt. Erstat værdier i ALLE CAPS med dine faktiske værdier. (Som nævnt ovenfor kan du også kopiere og indsætte en certbot-kommando, der gør dette fra din portalkonto):
sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- accept-tos --no-eff-e-mail --email EMAIL-ADRESSE --eab-hmac-key HMAC-KEY --eab-kid KONTO-KEY -d DOMAIN.NAME
Nedbryde kommandoen:
sudo certbot
kørercertbot
kommando med superbrugerrettigheder.certonly
anmoder om at hente et certifikat, men ikke installere det.--manual
angiver at køre Certbot interaktivt.--server https://acme.ssl.com/sslcom-dv-ecc
angiver SSL.coms ACME-server.--config-dir /etc/ssl-com
(valgfrit) indstiller konfigurationsmappen.--logs-dir /var/log/ssl-com
(valgfrit) indstiller biblioteket til logfiler.--agree-tos
(valgfrit) accepterer ACME-abonnentaftalen. Du kan udelade dette, hvis du vil være enig interaktivt.--no-eff-email
(valgfrit) angiver, at du ikke vil dele din e-mail-adresse med EFF. Hvis du udelader dette, bliver du bedt om at dele din e-mail-adresse.--email EMAIL-ADDRESS
giver en e-mail-adresse til registrering. Du kan angive flere adresser adskilt med kommaer.--eab-hmac-key HMAC-KEY
angiver din HMAC-nøgle.--eab-kid ACCOUNT-KEY
angiver din kontonøgle.-d DOMAIN.NAME
angiver det domænenavn, som certifikatet dækker. Bemærk, at du kan bruge-d DOMAIN.NAME
mulighed flere gange i din kommando for at tilføje domænenavne til dit certifikat. Certbot kræver, at du opretter en udfordringsfil for hvert anmodet domænenavn. Se afsnittet om certifikattyper og fakturering nedenfor for at se, hvordan forskellige kombinationer af domænenavne tilordnes SSL.com-certifikattyper og deres tilsvarende prisfastsættelse.
- Skift
--server
værdi i kommandoen tilhttps://acme.ssl.com/sslcom-dv-rsa
. - Tilføj
--key-type rsa
til kommandoen.
certbot
kommando, ACME-kontooplysninger gemmes på din computer i konfigurationsmappen (/etc/ssl-com
i kommandoen vist ovenfor. Ved fremtidige kørsler af certbot kan du udelade --eab-hmac-key
og --eab-kid
valgmuligheder, fordi certbot ignorerer dem til fordel for den lokalt gemte kontoinformation.
Hvis du har brug for at knytte dine ACME-certifikatordrer til computeren til en anden SSL.com-konto, skal du fjerne disse kontooplysninger fra din computer med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(eller hvis du har udeladt det valgfri --config-dir
mulighed, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Når du kører ovenstående kommando, skal du modtage instruktioner til at oprette en valideringsfil:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Opret en fil, der netop indeholder disse data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI og gøre den tilgængelig på din webserver på denne webadresse: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryk på Enter for at fortsætte
Opret filen, og gem den på et sted på din webserver, hvor den kan tilgås via HTTP over port 80
på den viste URL, og tryk derefter på Enter
.
-
) Karakter. I dette tilfælde skal du muligvis angive kataloget, når du opretter din fil for at forhindre, at skallen fortolker bindestreg (f.eks vim ./-r1rsRTImVz_s7HHk7biTQ
).Hvis alle dine oplysninger er korrekte, skal du modtage en bekræftelsesmeddelelse, der viser placeringen af din certifikatkæde og private nøgle:
VIGTIGE BEMÆRKNINGER: - Tillykke! Dit certifikat og kæde er gemt på: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Din nøglefil er gemt på: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Din cert udløber 2021-10-05. For at få en ny eller tweaked version af dette certifikat i fremtiden skal du blot køre certbot igen. For ikke-interaktivt at forny * alle * dine certifikater skal du køre "certbot fornye"
Du kan nu konfigurere din webserver til at få adgang til det nye certifikat og den private nøgle.
DNS-01 udfordringsmetode
DNS-01 udfordringsmetoden er vanskeligere at bruge end HTTP-01, men kan være mere praktisk at bruge på flere webservere. I denne metode leverer Certbot et token, som du bruger til at oprette en DNS TXT-post under det domænenavn, som certifikatet beskytter.
Krav: DNS-01-metoden kræver, at du har mulighed for at oprette DNS-poster til dit websteds domænenavn.
Følgende kommando vil anmode om et certifikat for DOMAIN.NAME via DNS-01-udfordringsmetoden:
sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME
-d DOMAIN.NAME
mulighed flere gange i din kommando for at tilføje domænenavne til dit certifikat. Certbot kræver, at du opretter en separat DNS TXT-post for hvert anmodet domænenavn. Du behøver ikke vente på, at hver TXT-post udbredes, før du trykker på Enter
indtil du når den sidste udfordring. Se afsnittet om certifikattyper og fakturering nedenfor for at se, hvordan forskellige kombinationer af domænenavne tilordnes SSL.com-certifikattyper og deres tilsvarende prisfastsættelse. certbot
kommando, ACME-kontooplysninger gemmes på din computer i konfigurationsmappen (/etc/ssl-com
i kommandoen vist ovenfor. Ved fremtidige kørsler af certbot kan du udelade --eab-hmac-key
og --eab-kid
valgmuligheder, fordi certbot ignorerer dem til fordel for den lokalt gemte kontoinformation.
Hvis du har brug for at knytte dine ACME-certifikatordrer til computeren til en anden SSL.com-konto, skal du fjerne disse kontooplysninger fra din computer med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(eller hvis du har udeladt det valgfri --config-dir
mulighed, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Denne kommando er den samme som den fra HTTP-01 sektionen, men tilføjer --preferred-challenges dns
mulighed. Når du kører kommandoen, modtager du instruktioner til oprettelse af en DNS-post:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue
Opret DNS TXT-posten, og vent på, at den spredes. (whatsmydns.net er et praktisk værktøj til at kontrollere DNS-formering). Bemærk, at understregningstegnet (_) i begyndelsen af postnavnet er påkrævet. Når posten er udbredt over hele verden, skal du trykke på Enter
.
*.example.com
) skal du anmode om basisdomænenavnet separat, hvis du også ønsker at beskytte det (f.eks -d *.example.com -d example.com
). I et sådant tilfælde skal du oprette to TXT-poster med samme navn (_acme-challenge.example.com
). Hvis alle dine oplysninger er korrekte, skal du modtage en bekræftelsesmeddelelse, der viser placeringen af din certifikatkæde og private nøgle:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"
Du kan nu konfigurere din webserver til at få adgang til det nye certifikat og den private nøgle.
Certifikatfornyelse (manuel)
For manuelt udstedte certifikater (som beskrevet i denne vejledning) udføres certifikatfornyelse ved blot at gentage den kommando, der blev brugt til at anmode om certifikatet. Certbot leverer en renew
underkommando, men det vil frembringe en fejl ved et forsøg på at bruge den sammen med certifikater, der anmodes om med --manual
valgmulighed:
sudo certbot fornye - kraft-fornyelse Gemme fejllog til /var/log/ssl-com/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Behandling /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Kunne ikke vælge passende plugin: Det manuelle plugin fungerer ikke; der kan være problemer med din eksisterende konfiguration. Fejlen var: PluginError ('Et godkendelsesscript skal leveres med --manual-auth-hook, når det manuelle plugin ikke anvendes interaktivt.',) Forsøg på at forny cert (DOMAIN.NAME) fra / etc / ssl-com / fornyelse / DOMAIN.NAME.conf producerede en uventet fejl: Det manuelle plugin fungerer ikke; der kan være problemer med din eksisterende konfiguration. Fejlen var: PluginError ('Et godkendelsesscript skal leveres med --manual-auth-hook, når det manuelle plugin ikke anvendes interaktivt.',). Springer over. Alle fornyelsesforsøg mislykkedes. Følgende certs kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (fejl) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Alle forsøg på fornyelse mislykkedes. Følgende certs kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (fiasko) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 fornyelsesfejl (er), 0 analyseringsfejl (er)
Tilbagekaldelse af certifikat
Tilbagekald et certifikat med certbot revoke
. Erstat certifikatstien i ALLE CAPS med dine faktiske værdier (f.eks. /etc/ssl-com/live/example.com/cert.pem
). Hvis du ikke angav en brugerdefineret --config-dir
og --logs-dir
Når du anmoder om det originale certifikat, skal du udelade disse muligheder.
sudo certbot tilbagekald - server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com
Du bliver bedt om, om du også vil slette det tilbagekaldte certifikat:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vil du slette certifikatet / certifikaterne du lige har tilbagekaldt sammen med alle tidligere og senere versioner af certifikatet? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y) es (anbefales) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Slettet alle filer, der vedrører certifikat DOMÆNENAVN. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.
Prøv følgende for at løse fejlen:
a) Angiv certifikatets private nøglesti for at underskrive anmodningen om tilbagekaldelse.
Eksempel:
--key-path /PATH/TO/privkey.pem
b) Hvis du brugte et brugerdefineret bibliotek, skal du angive det bibliotek, du brugte, da du udstedte certifikatet:
--config-dir
Certifikattyper og fakturering
Alt SSL /TLS certifikater udstedt via ACME af SSL.com er etårige certifikater. Den SSL.com-certifikattype, du modtager (og bliver faktureret for) afhænger af antallet og typen af anmodede domænenavne:
- Grundlæggende SSL: Et domænenavn eller domænenavn plus
www
underdomæne (f.eksexample.com
ogwww.example.com
).- Bemærk, at hvis du ønsker at beskytte både basisdomænenavnet og
www
, skal du medtage begge dele i din Certbot-kommando (f.eks-d example.com -d www.example.com
).
- Bemærk, at hvis du ønsker at beskytte både basisdomænenavnet og
- Wildcard SSL: Et wildcard-domænenavn eller et wildcard-domænenavn plus basisdomænenavn (f.eks
*.example.com
ogexample.com
). - Premium SSL: Basisdomænenavn og et til tre ikke-wildcard-underdomæner. (Undtagelse: Som nævnt ovenfor, basedomæne plus
www
underdomæne [og ingen andre] faktureres som Basic SSL.) For eksempel:
example.com
oginfo.example.com
example.com
,www.example.com
oginfo.example.com
example.com
,www.example.com
,info.example.com
ogstore.example.com
- UCC / SAN SSL med flere domæner: Enhver anden kombination af domænenavne. For eksempel:
- Basisdomænenavn og mere end tre underdomæner
- To eller flere jokertegn og / eller ikke-underdomæne domænenavne
Deltagere i SSL.com's Forhandler- og volumenindkøbsprogram faktureres til den nedsatte sats, der er knyttet til deres prisniveau.
For mere information
Der er meget mere, du kan gøre med ACME-protokollen (med eller uden Certbot). Se følgende ressourcer for meget mere information:
- Hvad er ACME-protokollen?
- ACME SSL /TLS Automatisering med Apache og Nginx
- SSL /TLS Automation til IoT med ACME
- Certbot-dokumentation
- Certbot mand side
Har du brug for mere hjælp til din SSL.com-konto?
- Din SSL.com-konto - Indsendelse af en CSR
- Mislykket for-test ?!
- Din SSL.com-konto - Valideringer
- Din SSL.com-konto - ordrer
- SSL.coms SWS API - Introduktion
- Din SSL.com-konto - domæner
- Understøttede Cloud HSM'er til dokumentsignering og EV-kodesignering