SSL /TLS Certifikatudstedelse og tilbagekaldelse med ACME

ACME-logoSSL.com-kunder kan nu bruge den populære ACME-protokol til at anmode om og tilbagekalde SSL /TLS certifikater.

ACME (Automated Certificate Management Environment) er en standardprotokol til automatiseret domænevalidering og installation af X.509-certifikater, dokumenteret i IETF RFC 8555. Som en veldokumenteret standard med mange open-source klientimplementeringer, ACME tilbyder en smertefri måde at tilvejebringe websteder eller IoT-enheder såsom modemer og routere med offentligt eller privat tillid til digitale certifikater og holder disse certifikater opdaterede over tid.

ACME er ikke kun til websteder! Med en ACME-aktiveret udstedende CA fra SSL.com kan IoT-leverandører nemt styre og automatisere validering, installation, fornyelse og tilbagekaldelse af SSL /TLS certifikater på ACME-kompatible enheder.

Lær mere om ACME til IoT

Denne guide viser dig, hvordan du:

  • Find og hent de legitimationsoplysninger, du har brug for for at anmode om certifikater med ACME.
  • Brug Certbot til manuelt at anmode om SSL /TLS certifikater via HTTP-01 og DNS-01 udfordringsmetoder.
  • Tilbagekald certifikater med Certbot.
Bemærk:
Du kan bruge mange andre ACME-klienter, herunder Kubernetes cert-manager, med SSL.com's ACME-tjeneste.
acme4j  klient kan nu bruge SSL.com ACME-tjenester på dette lager: https://github.com/SSLcom/acme4j
Se venligst din softwareudbyders dokumentation for instruktioner til andre ikke-Certbot ACME-klienter.

Installer Certbot

Denne guide antager, at du arbejder på en computer, der har Certbot installeret. Certbot er et gratis og open source-værktøj, udviklet af Electronic Frontier Foundation (EFF), som du kan bruge til at anmode om eller tilbagekalde SSL /TLS certifikater fra SSL.com via ACME-protokollen. Certbot kan køres på en række forskellige platforme, herunder Linux, macOS og Windows.

  • Hvis du har snapd installeret, kan du bruge denne kommando til installation:
    sudo snap-installation - klassisk certbot
  • If /snap/bin/ er ikke i din PATH, skal du også tilføje det eller køre en kommando som denne:
    sudo ln -s / snap / bin / certbot / usr / bin / certbot

Hvis du har brug for flere oplysninger om installation af Certbot på dit system, henvises der til EFF'er dokumentation.

Hent ACME legitimationsoplysninger

Før du bruger ACME til at anmode om et certifikat, skal du hente dit Konto nøgle og HMAC-nøgle fra din SSL.com-konto.

SSL.com s Forhandler og volumenindkøb partnere kan generere ACME-legitimationsoplysninger for deres kunder. Læs denne vej til fulde instruktioner.
  1. Log ind på din SSL.com-konto. Hvis du allerede er logget ind, skal du gå til Hovedmenu fane.
    Hovedmenu
  2. Klik api-legitimationsoplysninger, placeret under udviklere og integration.
    Link til API-legitimationsoplysninger
  3. Du skal bruge din Konto / ACME-nøgle og HMAC-nøgle at anmode om certifikater. Klik på udklipsholderikonet () ved siden af ​​hver tast for at kopiere værdien til udklipsholderen.
    Konto / ACME-nøgle og HMAC-nøgle
  4. Du kan også kopiere en Certbot-kommando, der er forudfyldt med din e-mail-adresse, konto / ACME-nøgle og HMAC-nøgle ved at klikke på udklipsholderikonet () ved siden af cli-kommando, Nedenfor ACME Certbot. Denne forformaterede kommando bestiller et certifikat via HTTP-01-udfordringsmetoden.Kopiér certbot-kommando

Manuelt anmode om en SSL /TLS certifikat

Nu hvor du har hentet dine legitimationsoplysninger, kan du anmode om et certifikat via certbot kommando. Certbot understøtter to domæne validering (DV) metoder: HTTP-01 og DNS-01.

HTTP-01 udfordringsmetode

HTTP-01 er den mest anvendte udfordringsmetode, der bruges med ACME og Certbot. Når du anmoder om et certifikat på denne måde, genererer Certbot et token, som du kan bruge til at oprette en offentligt tilgængelig fil på dit websted. SSL.coms ACME-server verificerer derefter filen via HTTP og udsteder et underskrevet certifikat, hvis det er korrekt.

Krav: HTTP-01-metoden kræver, at du har adgang til din webserver, og at webstedet er tilgængeligt via port 80 via HTTP. Du får også brug for sudo privilegier på computeren.

Brug følgende kommando for at hente et certifikat manuelt. Erstat værdier i ALLE CAPS med dine faktiske værdier. (Som nævnt ovenfor kan du også kopiere og indsætte en certbot-kommando, der gør dette fra din portalkonto):

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- accept-tos --no-eff-e-mail --email EMAIL-ADRESSE --eab-hmac-key HMAC-KEY --eab-kid KONTO-KEY -d DOMAIN.NAME

Nedbryde kommandoen:

  • sudo certbot kører certbot kommando med superbrugerrettigheder.
  • certonly anmoder om at hente et certifikat, men ikke installere det.
  • --manual angiver at køre Certbot interaktivt.
  • --server https://acme.ssl.com/sslcom-dv-ecc angiver SSL.coms ACME-server.
  • --config-dir /etc/ssl-com (valgfrit) indstiller konfigurationsmappen.
  • --logs-dir /var/log/ssl-com (valgfrit) indstiller biblioteket til logfiler.
  • --agree-tos (valgfrit) accepterer ACME-abonnentaftalen. Du kan udelade dette, hvis du vil være enig interaktivt.
  • --no-eff-email (valgfrit) angiver, at du ikke vil dele din e-mail-adresse med EFF. Hvis du udelader dette, bliver du bedt om at dele din e-mail-adresse.
  • --email EMAIL-ADDRESS giver en e-mail-adresse til registrering. Du kan angive flere adresser adskilt med kommaer.
  • --eab-hmac-key HMAC-KEY angiver din HMAC-nøgle.
  • --eab-kid ACCOUNT-KEY angiver din kontonøgle.
  • -d DOMAIN.NAME angiver det domænenavn, som certifikatet dækker. Bemærk, at du kan bruge -d DOMAIN.NAME mulighed flere gange i din kommando for at tilføje domænenavne til dit certifikat. Certbot kræver, at du opretter en udfordringsfil for hvert anmodet domænenavn. Se afsnittet om certifikattyper og fakturering nedenfor for at se, hvordan forskellige kombinationer af domænenavne tilordnes SSL.com-certifikattyper og deres tilsvarende prisfastsættelse.
Bemærk: Certbot 2.0.0 eller nyere genererer som standard ECDSA for nye certifikater. Ovenstående kommando vil generere et ECDSA nøglepar og certifikat. Sådan bruger du RSA-nøgler i stedet:

  • Skift --server værdi i kommandoen til https://acme.ssl.com/sslcom-dv-rsa
  • Tilføj --key-type rsa til kommandoen.
Når du først kører ovenstående certbot kommando, ACME-kontooplysninger gemmes på din computer i konfigurationsmappen (/etc/ssl-com i kommandoen vist ovenfor. Ved fremtidige kørsler af certbot kan du udelade --eab-hmac-key og --eab-kid valgmuligheder, fordi certbot ignorerer dem til fordel for den lokalt gemte kontoinformation.

Hvis du har brug for at knytte dine ACME-certifikatordrer til computeren til en anden SSL.com-konto, skal du fjerne disse kontooplysninger fra din computer med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (eller hvis du har udeladt det valgfri --config-dir mulighed, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Når du kører ovenstående kommando, skal du modtage instruktioner til at oprette en valideringsfil:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Opret en fil, der netop indeholder disse data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI og gøre den tilgængelig på din webserver på denne webadresse: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryk på Enter for at fortsætte

Opret filen, og gem den på et sted på din webserver, hvor den kan tilgås via HTTP over port 80 på den viste URL, og tryk derefter på Enter.

Bemærk: HTTP-01-udfordringen kan kræve et filnavn, der begynder med en bindestreg (-) Karakter. I dette tilfælde skal du muligvis angive kataloget, når du opretter din fil for at forhindre, at skallen fortolker bindestreg (f.eks vim ./-r1rsRTImVz_s7HHk7biTQ).

Hvis alle dine oplysninger er korrekte, skal du modtage en bekræftelsesmeddelelse, der viser placeringen af ​​din certifikatkæde og private nøgle:

VIGTIGE BEMÆRKNINGER: - Tillykke! Dit certifikat og kæde er gemt på: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Din nøglefil er gemt på: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Din cert udløber 2021-10-05. For at få en ny eller tweaked version af dette certifikat i fremtiden skal du blot køre certbot igen. For ikke-interaktivt at forny * alle * dine certifikater skal du køre "certbot fornye"

Du kan nu konfigurere din webserver til at få adgang til det nye certifikat og den private nøgle.

DNS-01 udfordringsmetode

DNS-01 udfordringsmetoden er vanskeligere at bruge end HTTP-01, men kan være mere praktisk at bruge på flere webservere. I denne metode leverer Certbot et token, som du bruger til at oprette en DNS TXT-post under det domænenavn, som certifikatet beskytter.

Krav: DNS-01-metoden kræver, at du har mulighed for at oprette DNS-poster til dit websteds domænenavn.

Følgende kommando vil anmode om et certifikat for DOMAIN.NAME via DNS-01-udfordringsmetoden:

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME

Bemærk: Du kan bruge -d DOMAIN.NAME mulighed flere gange i din kommando for at tilføje domænenavne til dit certifikat. Certbot kræver, at du opretter en separat DNS TXT-post for hvert anmodet domænenavn. Du behøver ikke vente på, at hver TXT-post udbredes, før du trykker på Enter indtil du når den sidste udfordring. Se afsnittet om certifikattyper og fakturering nedenfor for at se, hvordan forskellige kombinationer af domænenavne tilordnes SSL.com-certifikattyper og deres tilsvarende prisfastsættelse.
Når du først kører ovenstående certbot kommando, ACME-kontooplysninger gemmes på din computer i konfigurationsmappen (/etc/ssl-com i kommandoen vist ovenfor. Ved fremtidige kørsler af certbot kan du udelade --eab-hmac-key og --eab-kid valgmuligheder, fordi certbot ignorerer dem til fordel for den lokalt gemte kontoinformation.

Hvis du har brug for at knytte dine ACME-certifikatordrer til computeren til en anden SSL.com-konto, skal du fjerne disse kontooplysninger fra din computer med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (eller hvis du har udeladt det valgfri --config-dir mulighed, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Denne kommando er den samme som den fra HTTP-01 sektionen, men tilføjer --preferred-challenges dns mulighed. Når du kører kommandoen, modtager du instruktioner til oprettelse af en DNS-post:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue

Opret DNS TXT-posten, og vent på, at den spredes. (whatsmydns.net er et praktisk værktøj til at kontrollere DNS-formering). Bemærk, at understregningstegnet (_) i begyndelsen af ​​postnavnet er påkrævet. Når posten er udbredt over hele verden, skal du trykke på Enter.

Hvis du anmoder om et wildcard-certifikat (f.eks *.example.com) skal du anmode om basisdomænenavnet separat, hvis du også ønsker at beskytte det (f.eks -d *.example.com -d example.com). I et sådant tilfælde skal du oprette to TXT-poster med samme navn (_acme-challenge.example.com).

Hvis alle dine oplysninger er korrekte, skal du modtage en bekræftelsesmeddelelse, der viser placeringen af ​​din certifikatkæde og private nøgle:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"

Du kan nu konfigurere din webserver til at få adgang til det nye certifikat og den private nøgle.

Certifikatfornyelse (manuel)

For manuelt udstedte certifikater (som beskrevet i denne vejledning) udføres certifikatfornyelse ved blot at gentage den kommando, der blev brugt til at anmode om certifikatet. Certbot leverer en renew underkommando, men det vil frembringe en fejl ved et forsøg på at bruge den sammen med certifikater, der anmodes om med --manual valgmulighed:

sudo certbot fornye - kraft-fornyelse Gemme fejllog til /var/log/ssl-com/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Behandling /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Kunne ikke vælge passende plugin: Det manuelle plugin fungerer ikke; der kan være problemer med din eksisterende konfiguration. Fejlen var: PluginError ('Et godkendelsesscript skal leveres med --manual-auth-hook, når det manuelle plugin ikke anvendes interaktivt.',) Forsøg på at forny cert (DOMAIN.NAME) fra / etc / ssl-com / fornyelse / DOMAIN.NAME.conf producerede en uventet fejl: Det manuelle plugin fungerer ikke; der kan være problemer med din eksisterende konfiguration. Fejlen var: PluginError ('Et godkendelsesscript skal leveres med --manual-auth-hook, når det manuelle plugin ikke anvendes interaktivt.',). Springer over. Alle fornyelsesforsøg mislykkedes. Følgende certs kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (fejl) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Alle forsøg på fornyelse mislykkedes. Følgende certs kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (fiasko) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 fornyelsesfejl (er), 0 analyseringsfejl (er)

Tilbagekaldelse af certifikat

Tilbagekald et certifikat med certbot revoke. Erstat certifikatstien i ALLE CAPS med dine faktiske værdier (f.eks. /etc/ssl-com/live/example.com/cert.pem). Hvis du ikke angav en brugerdefineret --config-dir og --logs-dir Når du anmoder om det originale certifikat, skal du udelade disse muligheder.

sudo certbot tilbagekald - server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com

Du bliver bedt om, om du også vil slette det tilbagekaldte certifikat:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vil du slette certifikatet / certifikaterne du lige har tilbagekaldt sammen med alle tidligere og senere versioner af certifikatet? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y) es (anbefales) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Slettet alle filer, der vedrører certifikat DOMÆNENAVN. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Bemærk: Nogle brugere får muligvis denne fejl, mens de forsøger at tilbagekalde et certifikat vha SSL.coms ACME-endepunkt:Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.

Prøv følgende for at løse fejlen:
a) Angiv certifikatets private nøglesti for at underskrive anmodningen om tilbagekaldelse.
Eksempel: --key-path /PATH/TO/privkey.pem
b) Hvis du brugte et brugerdefineret bibliotek, skal du angive det bibliotek, du brugte, da du udstedte certifikatet: --config-dir

Certifikattyper og fakturering

Alt SSL /TLS certifikater udstedt via ACME af SSL.com er etårige certifikater. Den SSL.com-certifikattype, du modtager (og bliver faktureret for) afhænger af antallet og typen af ​​anmodede domænenavne:

  • Grundlæggende SSL: Et domænenavn eller domænenavn plus www underdomæne (f.eks example.com og www.example.com).
    • Bemærk, at hvis du ønsker at beskytte både basisdomænenavnet og www, skal du medtage begge dele i din Certbot-kommando (f.eks -d example.com -d www.example.com).
  • Wildcard SSL: Et wildcard-domænenavn eller et wildcard-domænenavn plus basisdomænenavn (f.eks *.example.com og example.com).
  • Premium SSL: Basisdomænenavn og et til tre ikke-wildcard-underdomæner. (Undtagelse: Som nævnt ovenfor, basedomæne plus www underdomæne [og ingen andre] faktureres som Basic SSL.) For eksempel:
    • example.com og info.example.com
    • example.comwww.example.comog info.example.com
    • example.comwww.example.com, info.example.com og store.example.com
  • UCC / SAN SSL med flere domæner: Enhver anden kombination af domænenavne. For eksempel:
    • Basisdomænenavn og mere end tre underdomæner
    • To eller flere jokertegn og / eller ikke-underdomæne domænenavne

Deltagere i SSL.com's Forhandler- og volumenindkøbsprogram faktureres til den nedsatte sats, der er knyttet til deres prisniveau.

For mere information

Der er meget mere, du kan gøre med ACME-protokollen (med eller uden Certbot). Se følgende ressourcer for meget mere information:

Har du brug for mere hjælp til din SSL.com-konto?

Tak for at du valgte SSL.com! Hvis du har spørgsmål, bedes du kontakte os via e-mail på Support@SSL.com, opkald 1-877-SSL-SECURE, eller bare klik på chatlinket nederst til højre på denne side. Du kan også finde svar på mange almindelige supportspørgsmål i vores vidensbase.
Twitter
Facebook
LinkedIn
Reddit
E-mail

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.