SSL /TLS Sertifikaatin myöntäminen ja peruuttaminen ACME: n kanssa

Katso kaikki oppaat

ACME-logoSSL.com-asiakkaat voivat nyt käyttää suosittua ACME-protokollaa pyytääkseen ja peruuttaakseen SSL /TLS todistukset.

ACME (Automated Certificate Management Environment) on standardiprotokolla toimialueen automaattiseen validointiin ja X.509-varmenteiden asentamiseen, dokumentoitu IETF RFC 8555. Hyvin dokumentoiduna standardina, jossa on monia avoimen lähdekoodin tuotteita asiakkaan toteutukset, ACME tarjoaa kivuttoman tavan tarjota verkkosivustoja tai IoT-laitteet kuten modeemit ja reitittimet, joissa on julkisesti tai yksityisesti luotettavat digitaaliset varmenteet, ja pitävät nämä varmenteet ajan tasalla.

ACME ei ole vain verkkosivustoille! SSL: n myöntämän ACME-yhteensopivan CA: n avulla IoT-toimittajat voivat helposti hallita ja automatisoida SSL: n / sovellusten validointia, asennusta, uusimista ja peruuttamista.TLS varmenteet ACME-yhteensopiville laitteille.

Lisätietoja IoT: n ACME: stä

Tämä opas näyttää, miten:

  • Etsi ja noudata tunnistetietoja, joita tarvitset varmenteiden pyytämiseen ACME: llä.
  • Pyydä SSL: tä manuaalisesti CertbotillaTLS sertifikaatit HTTP-01 ja DNS-01 haastemenetelmät.
  • Peruuta varmenteet Certbotilla.
Huomautus:
Voit käyttää monia muita ACME-asiakkaita, mukaan lukien Kubernetesin sert-managerSSL.comin ACME-palvelun avulla.
acme4j  asiakas voi nyt käyttää SSL.com ACME -palveluita tässä arkistossa: https://github.com/SSLcom/acme4j
Ohjeet muille kuin Certbot ACME -asiakkaille on ohjelmistotoimittajasi dokumentaatiossa.

Asenna Certbot

Tässä oppaassa oletetaan, että työskentelet tietokoneella, jolla on Certbot asennettu. Certbot on ilmainen ja avoimen lähdekoodin työkalu, jonka on kehittänyt Electronic Frontier Foundation (EFF) ja jonka avulla voit pyytää tai peruuttaa SSL /TLS sertifikaatit SSL.com: lta ACME-protokollan kautta. Certbotia voidaan käyttää useilla alustoilla, mukaan lukien Linux, macOS ja Windows.

  • Jos olet snapd asennettu, voit käyttää tätä komentoa asennukseen: 
    sudo snap install -klassinen certbot
  • If /snap/bin/ ei ole sinun PATH, sinun on myös lisättävä se tai suoritettava tällainen komento: 
    sudo ln -s / snap / bin / certbot / usr / bin / certbot

Jos tarvitset lisätietoja Certbotin asentamisesta järjestelmään, katso EKTR: t dokumentointi.

Siirry alkuun

Hae ACME-kirjautumistiedot

Ennen kuin voit käyttää sertifikaatin pyytämistä ACME: n avulla, sinun on haettava sertifikaatti Tiliavain ja HMAC-avain SSL.com-tililtäsi.

SSL.com n Jälleenmyyjä ja volyymihankinta kumppanit voivat luoda ACME-tunnistetietoja asiakkailleen. Lukea tämä miten täydelliset ohjeet.
  1. Kirjaudu SSL.com-tilillesi. Jos olet jo kirjautunut sisään, siirry koontinäyttöön. Tab.
    koontinäyttöön.
  2. Napauta api valtakirjat, sijaitsee alle kehittäjät ja integraatio.
    API-tunnistetietojen linkki
  3. Tarvitset sinun Tili / ACME-avain ja HMAC-avain pyytää varmenteita. Napsauta leikepöydän kuvaketta () kunkin näppäimen vieressä kopioidaksesi arvon leikepöydälle.
    Tili / ACME-avain ja HMAC-avain
  4. Voit myös kopioida Certbot-komennon, joka on esitäytetty sähköpostiosoitteellasi, Tili / ACME-avain ja HMAC-avain napsauttamalla leikepöydän kuvaketta () vieressä cli-komento, Alla ACME Certbot. Tämä valmiiksi muotoiltu komento tilaa varmenteen HTTP-01-haastemenetelmän kautta.Kopioi certbot-komento
Siirry alkuun

Pyydä manuaalisesti SSL /TLS Todistus

Nyt kun olet hakenut kirjautumistiedot, voit pyytää sertifikaattia certbot komento. Certbot tukee kahta toimialueen validointimenetelmää (HTTP): HTTP-01 ja DNS-01.

HTTP-01-haastetapa

HTTP-01 on yleisimmin käytetty altistusmenetelmä, jota käytetään ACME: n ja Certbotin kanssa. Kun pyydät sertifikaattia tällä tavalla, Certbot luo tunnuksen, jonka avulla voit luoda julkisesti saatavilla olevan tiedoston verkkosivustollesi. SSL.com: n ACME-palvelin tarkistaa sitten tiedoston HTTP: n kautta ja antaa allekirjoitetun varmenteen, jos se on oikea.

Vaatimukset: HTTP-01-menetelmä edellyttää, että sinulla on pääsy verkkopalvelimeesi ja että sivusto on käytettävissä portin kautta 80 HTTP: n kautta. Tarvitset myös sudo tietokoneella.

Voit noutaa varmenteen manuaalisesti seuraavalla komennolla. Korvaa KAIKKI CAPS -arvot todellisilla arvoillasi. (Kuten edellä todettiin, voit myös kopioida ja liittää tämän suorittavan certbot-komennon portaalitililtäsi):

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- samaa

Komennon hajottaminen:

  • sudo certbot toimii certbot komento pääkäyttäjän oikeuksilla.
  • certonly pyytää noutamaan varmenteen, mutta ei asentamaan sitä.
  • --manual määrittää suorittamaan Certbotin vuorovaikutteisesti.
  • --server https://acme.ssl.com/sslcom-dv-ecc määrittää SSL.com: n ACME-palvelimen.
  • --config-dir /etc/ssl-com (valinnainen) määrittää kokoonpanohakemiston.
  • --logs-dir /var/log/ssl-com (valinnainen) asettaa lokien hakemiston.
  • --agree-tos (valinnainen) hyväksyy ACME-tilaajasopimuksen. Voit jättää tämän pois, jos haluat sopia vuorovaikutteisesti.
  • --no-eff-email (valinnainen) osoittaa, että et halua jakaa sähköpostiosoitteesi EKTR: n kanssa. Jos jätät tämän pois, sinua pyydetään jakamaan sähköpostiosoitteesi.
  • --email EMAIL-ADDRESS antaa rekisteröinnin sähköpostiosoitteen. Voit määrittää useita osoitteita pilkuilla erotettuna.
  • --eab-hmac-key HMAC-KEY määrittää HMAC-avaimesi.
  • --eab-kid ACCOUNT-KEY määrittää tiliavain.
  • -d DOMAIN.NAME määrittää verkkotunnuksen, jonka varmenne kattaa. Huomaa, että voit käyttää -d DOMAIN.NAME vaihtoehto useita kertoja komennossa lisätäksesi verkkotunnuksia varmenteeseesi. Certbot vaatii sinua luomaan haastetiedoston jokaiselle pyydetylle verkkotunnukselle. Katso kohta varmenteen tyypit ja laskutus alla nähdäksesi kuinka eri verkkotunnusyhdistelmät yhdistyvät SSL.com-sertifikaattityypit ja vastaava hinnoittelu.
Huomautus: Certbot 2.0.0 tai uudempi luo oletuksena ECDSA:n uusia varmenteita varten. Yllä oleva komento luo ECDSA-avainparin ja varmenteen. Voit käyttää RSA-avaimia sen sijaan seuraavasti:

  • Muuta --server arvo komennossa https://acme.ssl.com/sslcom-dv-rsa
  • Lisää --key-type rsa komentoon.
Kun suoritat yllä mainitun certbot komento, ACME-tilitiedot tallennetaan tietokoneellesi kokoonpanohakemistoon (/etc/ssl-com yllä olevassa komennossa. Voit jättää certbotin tulevissa ajoissa --eab-hmac-key ja --eab-kid vaihtoehtoja, koska certbot jättää ne huomioimatta paikallisesti tallennettujen tilitietojen hyväksi.

Jos sinun on liitettävä tietokoneen ACME-varmenteen tilaukset toiseen SSL.com-tiliin, poista nämä tilitiedot tietokoneeltasi komennolla sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (tai jos jätit valinnaisen --config-dir vaihtoehto, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Kun suoritat yllä olevan komennon, sinun pitäisi saada ohjeet varmennustiedoston luomiseksi:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Luo tiedosto, joka sisältää vain nämä tiedot: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Ja tee se saataville Web-palvelimellesi tällä URL-osoitteella: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Paina Enter jatkaaksesi

Luo tiedosto ja tallenna se Web-palvelimesi paikkaan, johon sitä voidaan käyttää HTTP over portin kautta 80 näkyvään URL-osoitteeseen ja paina sitten Enter.

Huomautus: HTTP-01-haaste voi edellyttää, että tiedostonimi alkaa viivalla (-) merkki. Tässä tapauksessa sinun on ehkä määritettävä hakemisto tiedostoa luodessasi, jotta kuori ei voi tulkita viivaa (esim vim ./-r1rsRTImVz_s7HHk7biTQ).

Jos kaikki tietosi ovat oikein, sinun tulee saada vahvistusviesti, joka näyttää varmenteketjun ja yksityisen avaimen sijainnit:

TÄRKEITÄ HUOMAUTUKSIA: - Onnittelut! Sertifikaatti ja ketju on tallennettu osoitteeseen: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Avaintiedostosi on tallennettu osoitteeseen: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem sertti vanhenee 2021-10-05. Jos haluat hankkia uuden tai muokatun version tästä varmenteesta jatkossa, suorita certbot uudelleen. Jos haluat uudistaa * kaikki * varmenteet vuorovaikutteisesti, suorita "certbot uusiminen"

Voit nyt määrittää verkkopalvelimesi käyttämään uutta varmentetta ja yksityistä avainta.

Siirry alkuun

DNS-01-haastetapa

- DNS-01 haastomenetelmä on hankalampi käyttää kuin HTTP-01, mutta se voi olla helpompaa käyttää useissa verkkopalvelimissa. Tässä menetelmässä Certbot tarjoaa tunnuksen, jota käytät luomaan DNS TXT -tietue toimialueen nimellä, jota varmenne suojaa.

Vaatimukset: DNS-01-menetelmä edellyttää, että sinulla on kyky luoda DNS-tietueita verkkosivustosi verkkotunnukselle.

Seuraava komento pyytää varmenteen verkkotunnukselle DOMAIN.NAME DNS-01-haastemenetelmän kautta:

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME

Huomautus: Voit käyttää -d DOMAIN.NAME vaihtoehto useita kertoja komennossa lisätäksesi verkkotunnuksia varmenteeseesi. Certbot vaatii sinua luomaan erillisen DNS TXT -tietueen kullekin pyydetylle verkkotunnukselle. Sinun ei tarvitse odottaa jokaisen TXT-tietueen etenemistä ennen kuin painat Enter kunnes saavut viimeiseen haasteeseen. Katso kohta varmenteen tyypit ja laskutus alla nähdäksesi kuinka eri verkkotunnusyhdistelmät yhdistyvät SSL.com-sertifikaattityypit ja vastaava hinnoittelu.
Kun suoritat yllä mainitun certbot komento, ACME-tilitiedot tallennetaan tietokoneellesi kokoonpanohakemistoon (/etc/ssl-com yllä olevassa komennossa. Voit jättää certbotin tulevissa ajoissa --eab-hmac-key ja --eab-kid vaihtoehtoja, koska certbot jättää ne huomioimatta paikallisesti tallennettujen tilitietojen hyväksi.

Jos sinun on liitettävä tietokoneen ACME-varmenteen tilaukset toiseen SSL.com-tiliin, poista nämä tilitiedot tietokoneeltasi komennolla sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (tai jos jätit valinnaisen --config-dir vaihtoehto, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Tämä komento on sama kuin HTTP-01-osassa oleva, mutta lisää sen --preferred-challenges dns vaihtoehto. Kun suoritat komennon, saat ohjeet DNS-tietueen luomiseen:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue

Luo DNS TXT -tietue ja odota, että se etenee. (whatsmydns.net on kätevä työkalu DNS-levityksen tarkistamiseen). Huomaa, että alaviiva (_) tietueen nimen alussa on tarvitaan. Kun levy on levinnyt maailmanlaajuisesti, paina Enter.

Jos pyydät jokerimerkkiä (esim *.example.com), sinun on pyydettävä perusverkkotunnus erikseen, jos haluat suojata myös sitä (esimerkiksi -d *.example.com -d example.com). Tällöin sinun on luotava kaksi TXT-tietueet samalla nimellä (_acme-challenge.example.com).

Jos kaikki tietosi ovat oikein, sinun tulee saada vahvistusviesti, joka näyttää varmenteketjun ja yksityisen avaimen sijainnit:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"

Voit nyt määrittää verkkopalvelimesi käyttämään uutta varmentetta ja yksityistä avainta.

Siirry alkuun

Sertifikaatin uusiminen (manuaalinen)

Manuaalisesti myönnetyille varmenteille (kuten tässä oppaassa kuvataan) varmenteen uusiminen suoritetaan yksinkertaisesti toistamalla sertifikaatin pyytämiseen käytetty komento. Certbot tarjoaa a renew alikomento, mutta se aiheuttaa virheen yrittäessäsi käyttää sitä sertifikaattien kanssa, joita pyydetään --manual vaihtoehto:

sudo certbot uuen --force-uuAjennus virhelokin tallentaminen /var/log/ssl-com/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Käsitellään /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Ei voitu valita sopivaa laajennusta: Manuaalinen laajennus ei toimi; nykyisessä kokoonpanossasi voi olla ongelmia. Virhe oli: PluginError ('Todennuskomentosarjan on oltava mukana --manual-auth-hook, kun manuaalista laajennusta käytetään ei-vuorovaikutteisesti.',) Yritetään uudistaa sertifikaatti (DOMAIN.NAME) tiedostosta / etc / ssl-com / uusiminen / DOMAIN.NAME.conf aiheutti odottamattoman virheen: Manuaalinen laajennus ei toimi; nykyisessä kokoonpanossasi voi olla ongelmia. Virhe oli: PluginError ('Todennuskomentosarjan on oltava mukana --manual-auth-hook, kun manuaalista laajennusta käytetään ei-vuorovaikutteisesti.',). Ohita. Kaikki uusimisyritykset epäonnistuivat. Seuraavia varmenteita ei voitu uusia: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (vika) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Kaikki uusimisyritykset epäonnistuivat. Seuraavia varmenteita ei voitu uusia: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (vika) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 uusintavirhe (ä), 0 jäsentämisvirhe (ä)
Siirry alkuun

Varmenteen peruuttaminen

Peruuta varmenne certbot revoke. Korvaa KAIKKI CAPS -varmennepolku todellisilla arvoillasi (esimerkiksi /etc/ssl-com/live/example.com/cert.pem). Jos et määritä mukautettua --config-dir ja --logs-dir jätä nämä vaihtoehdot pois, kun pyydät alkuperäistä sertifikaattia.

sudo certbot peruuttaa --palvelimen https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com

Sinulta kysytään, haluatko myös poistaa kumotun varmenteen:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Haluatko poistaa sertit peruutit juuri yhdessä kaikkien aikaisempien ja myöhempien versioiden kanssa? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y) es (suositus) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Poistetaan kaikki todistukseen liittyvät tiedostot VERKKOTUNNUS. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Huomautus: Jotkut käyttäjät voivat saada tämän virheen yrittäessään peruuttaa varmennetta käyttämällä SSL.comACME-päätepiste:Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.

Yritä ratkaista virhe seuraavasti:
a) Määritä varmenteen yksityisen avaimen polku peruutuspyynnön allekirjoittamista varten.
Esimerkiksi: --key-path /PATH/TO/privkey.pem
b) Jos käytit mukautettua hakemistoa, määritä hakemisto, jota käytit varmenteen myöntämisen yhteydessä: --config-dir
Siirry alkuun

Varmenteen tyypit ja laskutus

Kaikki SSL /TLS SSLM: n ACME: n kautta myöntämät varmenteet ovat yhden vuoden sertifikaatteja. SSL.com-varmenteen tyyppi, jonka saat (ja josta laskutetaan), riippuu pyydettyjen verkkotunnusten lukumäärästä ja tyypistä:

  • Perus-SSL: Yksi verkkotunnus tai verkkotunnus plus www aliverkkotunnus (esim example.com ja www.example.com).
    • Huomaa, että jos haluat suojata sekä perusverkkotunnuksen että www, sinun on sisällytettävä molemmat Certbot-komentoosi (esim -d example.com -d www.example.com).
  • Joutokortti SSL: Yksi jokerimerkin verkkotunnus tai yksi jokerimerkkotunnus ja perusverkkotunnus (esim *.example.com ja example.com).
  • Ensiluokkainen SSL: Perusverkkotunnus ja yhdestä kolmeen jokerimerkin aliverkkotunnusta. (Poikkeus: Kuten edellä todettiin, perusdomeeni plus www aliverkkotunnusta [eikä muita] laskutetaan SSL: ksi.) Esimerkiksi:
    • example.com ja info.example.com
    • example.comwww.example.comja info.example.com
    • example.comwww.example.com, info.example.com ja store.example.com
  • Monialueinen UCC / SAN SSL: Mikä tahansa muu verkkotunnusten yhdistelmä. Esimerkiksi:
    • Perusverkkotunnus ja yli kolme aliverkkotunnusta
    • Kaksi tai useampia jokerimerkkejä ja / tai muita kuin verkkotunnuksia

Partipantit SSL.com: ssa Jälleenmyyjä ja volyymiosto-ohjelma laskutetaan niiden hintatasoon liittyvällä alennetulla korolla.

Siirry alkuun

Lisätietoja

ACME-protokollalla voi tehdä paljon enemmän (Certbotin kanssa tai ilman). Katso lisätietoja seuraavista lähteistä:

Tarvitsetko lisäapua SSL.com-tilisi kanssa?

Kiitos, että valitsit SSL.com! Jos sinulla on kysyttävää, ota meihin yhteyttä sähköpostitse osoitteeseen Support@SSL.com, puhelu 1-877-SSL-SECURE, tai napsauta vain sivun oikeassa alakulmassa olevaa chat-linkkiä. Voit myös löytää vastauksia moniin yleisiin tukikysymyksiin sivustollemme tietopohja.
Twitter
Facebook
LinkedIn
Reddit
Sähköposti

SSL.com -tukitiimi

Kirjoittaja - sisällönvalvoja
Kaikki viestit »

Pysy ajan tasalla ja turvassa

SSL.com on maailman johtava kyberturvallisuuden johtaja, PKI ja digitaaliset sertifikaatit. Rekisteröidy saadaksesi viimeisimmät alan uutiset, vinkit ja tuoteilmoitukset SSL.com.

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.

Ota kysely