SSL /TLS Sertifikatutstedelse og tilbakekalling med ACME

ACME-logoSSL.com-kunder kan nå bruke den populære ACME-protokollen til å be om og tilbakekalle SSL /TLS sertifikater.

ACME (Automated Certificate Management Environment) er en standardprotokoll for automatisert domenevalidering og installasjon av X.509-sertifikater, dokumentert i IETF RFC 8555. Som en veldokumentert standard med mange open-source klient implementeringer, ACME tilbyr en smertefri måte å skaffe nettsteder eller IoT-enheter slik som modemer og rutere med offentlig eller privat klarerte digitale sertifikater og holder disse sertifikatene oppdatert over tid.

ACME er ikke bare for nettsteder! Med en ACME-aktivert utstedende CA fra SSL.com, kan IoT-leverandører enkelt administrere og automatisere validering, installasjon, fornyelse og tilbakekalling av SSL /TLS sertifikater på ACME-kompatible enheter.

Lær mer om ACME for IoT

Denne guiden viser deg hvordan du:

  • Finn og hent legitimasjonen du trenger for å be om sertifikater med ACME.
  • Bruk Certbot til å be om SSL /TLS sertifikater via HTTP-01 og DNS-01 utfordringsmetoder.
  • Opphev sertifikater med Certbot.
OBS:
Du kan bruke mange andre ACME-klienter, inkludert Kubernetes sertifiseringsleder, med SSL.coms ACME-tjeneste.
acme4j  klienten kan nå bruke SSL.com ACME-tjenester på dette depotet: https://github.com/SSLcom/acme4j
Se programvareleverandørens dokumentasjon for instruksjoner for andre ikke-Certbot ACME-klienter.

Installer Certbot

Denne guiden forutsetter at du jobber med en datamaskin som har certbot installert. Certbot er et gratis verktøy med åpen kildekode, utviklet av Electronic Frontier Foundation (EFF), som du kan bruke til å be om eller tilbakekalle SSL /TLS sertifikater fra SSL.com via ACME-protokollen. Certbot kan kjøres på en rekke plattformer, inkludert Linux, macOS og Windows.

  • Har du snapd installert, kan du bruke denne kommandoen for installasjon:
    sudo snap install - klassisk certbot
  • If /snap/bin/ er ikke i din PATH, må du også legge til det eller kjøre en kommando som denne:
    sudo ln -s / snap / bin / certbot / usr / bin / certbot

Hvis du trenger mer informasjon om å installere Certbot på systemet ditt, kan du se EFF-ene dokumentasjon.

Hent ACME-legitimasjon

Før du bruker ACME til å be om et sertifikat, må du hente Konto nøkkel og HMAC-nøkkel fra SSL.com-kontoen din.

SSL.coms Forhandler og voluminnkjøp partnere kan generere ACME-legitimasjon for kundene sine. Lese hvordan du gjør det for fullstendige instruksjoner.
  1. Logg inn på SSL.com-kontoen din. Hvis du allerede er logget inn, gå til Dashbord fanen.
    Dashbord
  2. Klikk api-legitimasjon, som ligger under utviklere og integrasjon.
    API-legitimasjonslink
  3. Du trenger din Konto / ACME-nøkkel og HMAC-nøkkel å be om sertifikater. Klikk på utklippstavleikonet () ved siden av hver tast for å kopiere verdien til utklippstavlen.
    Konto / ACME-nøkkel og HMAC-nøkkel
  4. Du kan også kopiere en Certbot-kommando forhåndsutfylt med e-postadressen din, konto / ACME-nøkkel og HMAC-nøkkel ved å klikke på utklippstavleikonet () ved siden av cli kommando, Nedenfor ACME Certbot. Denne forhåndsformaterte kommandoen vil bestille et sertifikat via HTTP-01 utfordringsmetoden.Kopier certbot-kommandoen

Be om SSL / manueltTLS Sertifikat

Nå som du har hentet legitimasjonen din, kan du be om et sertifikat via certbot kommando. Certbot støtter to domenevalideringsmetoder (DV): HTTP-01 og DNS-01.

HTTP-01 utfordringsmetode

HTTP-01 er den mest brukte utfordringsmetoden som brukes med ACME og Certbot. Når du ber om et sertifikat på denne måten, vil Certbot generere et token som du kan bruke til å opprette en offentlig tilgjengelig fil på nettstedet ditt. SSL.coms ACME-server vil deretter bekrefte filen via HTTP og utstede et signert sertifikat hvis det er riktig.

Krav: HTTP-01-metoden krever at du har tilgang til webserveren din, og at nettstedet er tilgjengelig via port 80 via HTTP. Du trenger også sudo privilegier på datamaskinen.

For å hente et sertifikat manuelt, bruk følgende kommando. Erstatt verdier i ALLE CAPS med dine faktiske verdier. (Som nevnt ovenfor kan du også kopiere og lime inn en certbot-kommando som gjør dette fra portalkontoen din):

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- accept-tos --no-eff-email --email EMAIL-ADRESSE --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY -d DOMENE.NAME

Bryte kommandoen ned:

  • sudo certbot kjører certbot kommando med superbrukerrettigheter.
  • certonly ber om å hente et sertifikat, men ikke installere det.
  • --manual spesifiserer å kjøre Certbot interaktivt.
  • --server https://acme.ssl.com/sslcom-dv-ecc spesifiserer SSL.coms ACME-server.
  • --config-dir /etc/ssl-com (valgfritt) angir konfigurasjonskatalogen.
  • --logs-dir /var/log/ssl-com (valgfritt) angir katalogen for logger.
  • --agree-tos (valgfritt) godtar ACME-abonnentavtalen. Du kan utelate dette hvis du vil være enig interaktivt.
  • --no-eff-email (valgfritt) indikerer at du ikke vil dele e-postadressen din med EFF. Hvis du utelater dette, vil du bli bedt om å dele e-postadressen din.
  • --email EMAIL-ADDRESS gir en e-postadresse for registrering. Du kan spesifisere flere adresser, atskilt med komma.
  • --eab-hmac-key HMAC-KEY spesifiserer HMAC-nøkkelen.
  • --eab-kid ACCOUNT-KEY angir kontonøkkelen din.
  • -d DOMAIN.NAME angir domenenavnet som sertifikatet skal dekke. Merk at du kan bruke -d DOMAIN.NAME alternativ flere ganger i kommandoen din for å legge til domenenavn i sertifikatet ditt. Certbot vil kreve at du oppretter en utfordringsfil for hvert forespurt domenenavn. Se avsnittet om sertifikattyper og fakturering nedenfor for å se hvordan forskjellige kombinasjoner av domenenavn tilordnes SSL.com-sertifikattyper og deres tilsvarende priser.
OBS: Certbot 2.0.0 eller nyere genererer som standard ECDSA for nye sertifikater. Kommandoen ovenfor vil generere et ECDSA nøkkelpar og sertifikat. Slik bruker du RSA-nøkler i stedet:

  • Endre --server verdi i kommandoen til https://acme.ssl.com/sslcom-dv-rsa
  • Legg til --key-type rsa til kommandoen.
Når du først kjører ovennevnte certbot ACME-kontoinformasjon lagres på datamaskinen din i konfigurasjonskatalogen (/etc/ssl-com i kommandoen vist ovenfor. På fremtidige kjøringer av certbot kan du utelate --eab-hmac-key og --eab-kid alternativer fordi certbot vil ignorere dem til fordel for den lokalt lagrede kontoinformasjonen.

Hvis du trenger å knytte ACME-sertifikatordrene til datamaskinen til en annen SSL.com-konto, bør du fjerne denne kontoinformasjonen fra datamaskinen din med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (eller hvis du har utelatt det valgfrie --config-dir alternativ, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Når du kjører kommandoen ovenfor, bør du motta instruksjoner om hvordan du oppretter en valideringsfil:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Opprett en fil som inneholder akkurat disse dataene: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI og gjøre den tilgjengelig på webserveren din på denne nettadressen: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Trykk Enter for å fortsette

Opprett filen og lagre den på et sted på webserveren din der den er tilgjengelig via HTTP over port 80 på URL-adressen som vises, og trykk deretter på Enter.

OBS: HTTP-01-utfordringen kan kreve et filnavn som begynner med en bindestrek (-) karakter. I dette tilfellet må du kanskje spesifisere katalogen når du oppretter filen for å forhindre at skallet tolker dashbordet (f.eks vim ./-r1rsRTImVz_s7HHk7biTQ).

Hvis all informasjonen din er riktig, bør du motta en bekreftelsesmelding som viser sertifikatkjeden og den private nøkkelen:

VIKTIGE MERKNADER: - Gratulerer! Sertifikatet og kjeden din er lagret på: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Nøkkelfilen din er lagret på: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your sertifikatet utløper 2021-10-05. For å få en ny eller justert versjon av dette sertifikatet i fremtiden, bare kjør certbot igjen. For å ikke-interaktivt fornye * alle * sertifikatene dine, kjør "certbot fornye"

Du kan nå konfigurere webserveren din for å få tilgang til det nye sertifikatet og den private nøkkelen.

DNS-01 utfordringsmetode

De DNS-01 utfordringsmetoden er vanskeligere å bruke enn HTTP-01, men kan være mer praktisk å bruke på flere webservere. I denne metoden vil Certbot gi et token du bruker til å opprette en DNS TXT-post under domenenavnet som sertifikatet vil beskytte.

Krav: DNS-01-metoden krever at du har muligheten til å opprette DNS-poster for nettstedets domenenavn.

Følgende kommando vil be om et sertifikat for DOMAIN.NAME via DNS-01 utfordringsmetoden:

sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME

OBS: Du kan også bruke det -d DOMAIN.NAME alternativ flere ganger i kommandoen din for å legge til domenenavn i sertifikatet ditt. Certbot vil kreve at du oppretter en egen DNS TXT-post for hvert forespurt domenenavn. Du trenger ikke å vente på at hver TXT-post skal spre seg før du trykker på Enter til du kommer til den siste utfordringen. Se avsnittet om sertifikattyper og fakturering nedenfor for å se hvordan forskjellige kombinasjoner av domenenavn tilordnes SSL.com-sertifikattyper og deres tilsvarende priser.
Når du først kjører ovennevnte certbot ACME-kontoinformasjon lagres på datamaskinen din i konfigurasjonskatalogen (/etc/ssl-com i kommandoen vist ovenfor. På fremtidige kjøringer av certbot kan du utelate --eab-hmac-key og --eab-kid alternativer fordi certbot vil ignorere dem til fordel for den lokalt lagrede kontoinformasjonen.

Hvis du trenger å knytte ACME-sertifikatordrene til datamaskinen til en annen SSL.com-konto, bør du fjerne denne kontoinformasjonen fra datamaskinen din med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com (eller hvis du har utelatt det valgfrie --config-dir alternativ, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com).

Denne kommandoen er den samme som den fra HTTP-01-delen, men legger til --preferred-challenges dns alternativ. Når du kjører kommandoen, vil du motta instruksjoner for hvordan du oppretter en DNS-post:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue

Opprett DNS TXT-posten, og vent til den sprer seg. (whatsmydns.net er et praktisk verktøy for å sjekke for DNS-forplantning). Merk at understrekingstegnet (_) i begynnelsen av postnavnet er påkrevd. Når posten har spredt seg over hele verden, trykk Enter.

Hvis du ber om et jokertegnesertifikat (f.eks *.example.com) må du be om basedomenenavnet separat hvis du også vil beskytte det (for eksempel -d *.example.com -d example.com). I et slikt tilfelle må du opprette to TXT poster med samme navn (_acme-challenge.example.com).

Hvis all informasjonen din er riktig, bør du motta en bekreftelsesmelding som viser sertifikatkjeden og den private nøkkelen:

IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"

Du kan nå konfigurere webserveren din for å få tilgang til det nye sertifikatet og den private nøkkelen.

Sertifikatfornyelse (manuell)

For manuelt utstedte sertifikater (som beskrevet i denne håndboken) oppnås sertifikatfornyelse ved å gjenta kommandoen som ble brukt til å be om sertifikatet. Certbot gir en renew underkommando, men det vil gi en feil i et forsøk på å bruke den sammen med sertifikater som er forespurt med --manual alternativ:

sudo certbot fornye - kraft-fornyelse Lagring av feilsøkingslogg til /var/log/ssl-com/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Behandling /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Kunne ikke velge passende plugin: Det manuelle pluginet fungerer ikke; Det kan være problemer med den eksisterende konfigurasjonen. Feilen var: PluginError ('Et autentiseringsskript må leveres med --manual-auth-hook når manuell plugin ikke brukes interaktivt.',) Forsøk på å fornye cert (DOMAIN.NAME) fra / etc / ssl-com / fornying / DOMAIN.NAME.conf produserte en uventet feil: Den manuelle pluginen fungerer ikke; det kan være problemer med den eksisterende konfigurasjonen. Feilen var: PluginError ('Et autentiseringsskript må leveres med --manual-auth-hook når manuell plugin ikke brukes interaktivt.',). Hopper. Alle fornyelsesforsøk mislyktes. Følgende serier kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (feil) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Alle fornyelsesforsøk mislyktes. Følgende serier kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (feil) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 fornyelsesfeil (er), 0 analyseringsfeil (er)

Sertifikat tilbakekalling

Opphev sertifikat med certbot revoke. Erstatt sertifikatbanen i ALL CAPS med dine faktiske verdier (for eksempel /etc/ssl-com/live/example.com/cert.pem). Hvis du ikke spesifiserte en egendefinert --config-dir og --logs-dir Når du ber om originalsertifikatet, utelater du disse alternativene.

sudo certbot tilbakekall - server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com

Du blir bedt om du også vil slette det tilbakekalte sertifikatet:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vil du slette sertifikatet (e) du bare tilbakekalte, sammen med alle tidligere og senere versjoner av sertifikatet? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y) es (anbefalt) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Slettet alle filer knyttet til sertifikat DOMENENAVN. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Merk: Noen brukere kan få denne feilen når de prøver å tilbakekalle et sertifikat ved hjelp av SSL.comsitt ACME-endepunkt:Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.

Prøv følgende for å løse feilen:
a) Spesifiser sertifikatets private nøkkelbane for å signere tilbakekallingsforespørselen.
Eksempel: --key-path /PATH/TO/privkey.pem
b) Hvis du brukte en egendefinert katalog, spesifiser katalogen du brukte da du utstedte sertifikatet: --config-dir

Sertifikattyper og fakturering

Alt SSL /TLS sertifikater utstedt via ACME av SSL.com er ett-års sertifikater. SSL.com-sertifikattypen du vil motta (og blir fakturert for) avhenger av antallet og typen domenenavn du ønsker:

  • Grunnleggende SSL: Ett domenenavn, eller domenenavn pluss www underdomener (f.eks example.com og www.example.com).
    • Merk at hvis du ønsker å beskytte både basen domenenavn og www, må du ta med begge deler i Certbot-kommandoen (f.eks -d example.com -d www.example.com).
  • Wildcard SSL: Ett jokertegnet domenenavn, eller ett jokertegnet domenenavn pluss basis domenenavn (f.eks *.example.com og example.com).
  • Premium SSL: Base domenenavn og ett til tre underdomener som ikke er jokertegn. (Unntak: Som nevnt ovenfor, basedomene pluss www underdomenet [og ingen andre] blir fakturert som Basic SSL.) For eksempel:
    • example.com og info.example.com
    • example.comwww.example.comog info.example.com
    • example.comwww.example.com, info.example.com og store.example.com
  • Multi-Domain UCC / SAN SSL: Enhver annen kombinasjon av domenenavn. For eksempel:
    • Basis domenenavn og mer enn tre underdomener
    • To eller flere jokertegn og / eller domenenavn som ikke er underdomener

Deltakere i SSL.com Program for forhandler og voluminnkjøp faktureres til den nedsatte satsen som er knyttet til prisnivået.

For mer informasjon

Det er mye mer du kan gjøre med ACME-protokollen (med eller uten Certbot). Se følgende ressurser for mye mer informasjon:

Trenger du mer hjelp med din SSL.com-konto?

Takk for at du valgte SSL.com! Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase.
Twitter
Facebook
Linkedin
Reddit
Epost

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.