SSL.com-kunder kan nå bruke den populære ACME-protokollen til å be om og tilbakekalle SSL /TLS sertifikater.
ACME (Automated Certificate Management Environment) er en standardprotokoll for automatisert domenevalidering og installasjon av X.509-sertifikater, dokumentert i IETF RFC 8555. Som en veldokumentert standard med mange open-source klient implementeringer, ACME tilbyr en smertefri måte å skaffe nettsteder eller IoT-enheter slik som modemer og rutere med offentlig eller privat klarerte digitale sertifikater og holder disse sertifikatene oppdatert over tid.
Denne guiden viser deg hvordan du:
- Finn og hent legitimasjonen du trenger for å be om sertifikater med ACME.
- Bruk Certbot til å be om SSL /TLS sertifikater via HTTP-01 og DNS-01 utfordringsmetoder.
- Opphev sertifikater med Certbot.
Du kan bruke mange andre ACME-klienter, inkludert Kubernetes sertifiseringsleder, med SSL.coms ACME-tjeneste.
acme4j klienten kan nå bruke SSL.com ACME-tjenester på dette depotet: https://github.com/SSLcom/acme4j
Se programvareleverandørens dokumentasjon for instruksjoner for andre ikke-Certbot ACME-klienter.
Installer Certbot
Denne guiden forutsetter at du jobber med en datamaskin som har certbot installert. Certbot er et gratis verktøy med åpen kildekode, utviklet av Electronic Frontier Foundation (EFF), som du kan bruke til å be om eller tilbakekalle SSL /TLS sertifikater fra SSL.com via ACME-protokollen. Certbot kan kjøres på en rekke plattformer, inkludert Linux, macOS og Windows.
- Har du snapd installert, kan du bruke denne kommandoen for installasjon:
sudo snap install - klassisk certbot
- If
/snap/bin/
er ikke i dinPATH
, må du også legge til det eller kjøre en kommando som denne:sudo ln -s / snap / bin / certbot / usr / bin / certbot
Hvis du trenger mer informasjon om å installere Certbot på systemet ditt, kan du se EFF-ene dokumentasjon.
Hent ACME-legitimasjon
Før du bruker ACME til å be om et sertifikat, må du hente Konto nøkkel og HMAC-nøkkel fra SSL.com-kontoen din.
- Logg inn på SSL.com-kontoen din. Hvis du allerede er logget inn, gå til Dashbord fanen.
- Klikk api-legitimasjon, som ligger under utviklere og integrasjon.
- Du trenger din Konto / ACME-nøkkel og HMAC-nøkkel å be om sertifikater. Klikk på utklippstavleikonet () ved siden av hver tast for å kopiere verdien til utklippstavlen.
- Du kan også kopiere en Certbot-kommando forhåndsutfylt med e-postadressen din, konto / ACME-nøkkel og HMAC-nøkkel ved å klikke på utklippstavleikonet () ved siden av cli kommando, Nedenfor ACME Certbot. Denne forhåndsformaterte kommandoen vil bestille et sertifikat via HTTP-01 utfordringsmetoden.
Be om SSL / manueltTLS Sertifikat
Nå som du har hentet legitimasjonen din, kan du be om et sertifikat via certbot
kommando. Certbot støtter to domenevalideringsmetoder (DV): HTTP-01 og DNS-01.
HTTP-01 utfordringsmetode
HTTP-01 er den mest brukte utfordringsmetoden som brukes med ACME og Certbot. Når du ber om et sertifikat på denne måten, vil Certbot generere et token som du kan bruke til å opprette en offentlig tilgjengelig fil på nettstedet ditt. SSL.coms ACME-server vil deretter bekrefte filen via HTTP og utstede et signert sertifikat hvis det er riktig.
Krav: HTTP-01-metoden krever at du har tilgang til webserveren din, og at nettstedet er tilgjengelig via port 80
via HTTP. Du trenger også sudo
privilegier på datamaskinen.
For å hente et sertifikat manuelt, bruk følgende kommando. Erstatt verdier i ALLE CAPS med dine faktiske verdier. (Som nevnt ovenfor kan du også kopiere og lime inn en certbot-kommando som gjør dette fra portalkontoen din):
sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-ecc --config-dir /etc/ssl-com --logs-dir /var/log/ssl-com -- accept-tos --no-eff-email --email EMAIL-ADRESSE --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY -d DOMENE.NAME
Bryte kommandoen ned:
sudo certbot
kjørercertbot
kommando med superbrukerrettigheter.certonly
ber om å hente et sertifikat, men ikke installere det.--manual
spesifiserer å kjøre Certbot interaktivt.--server https://acme.ssl.com/sslcom-dv-ecc
spesifiserer SSL.coms ACME-server.--config-dir /etc/ssl-com
(valgfritt) angir konfigurasjonskatalogen.--logs-dir /var/log/ssl-com
(valgfritt) angir katalogen for logger.--agree-tos
(valgfritt) godtar ACME-abonnentavtalen. Du kan utelate dette hvis du vil være enig interaktivt.--no-eff-email
(valgfritt) indikerer at du ikke vil dele e-postadressen din med EFF. Hvis du utelater dette, vil du bli bedt om å dele e-postadressen din.--email EMAIL-ADDRESS
gir en e-postadresse for registrering. Du kan spesifisere flere adresser, atskilt med komma.--eab-hmac-key HMAC-KEY
spesifiserer HMAC-nøkkelen.--eab-kid ACCOUNT-KEY
angir kontonøkkelen din.-d DOMAIN.NAME
angir domenenavnet som sertifikatet skal dekke. Merk at du kan bruke-d DOMAIN.NAME
alternativ flere ganger i kommandoen din for å legge til domenenavn i sertifikatet ditt. Certbot vil kreve at du oppretter en utfordringsfil for hvert forespurt domenenavn. Se avsnittet om sertifikattyper og fakturering nedenfor for å se hvordan forskjellige kombinasjoner av domenenavn tilordnes SSL.com-sertifikattyper og deres tilsvarende priser.
- Endre
--server
verdi i kommandoen tilhttps://acme.ssl.com/sslcom-dv-rsa
. - Legg til
--key-type rsa
til kommandoen.
certbot
ACME-kontoinformasjon lagres på datamaskinen din i konfigurasjonskatalogen (/etc/ssl-com
i kommandoen vist ovenfor. På fremtidige kjøringer av certbot kan du utelate --eab-hmac-key
og --eab-kid
alternativer fordi certbot vil ignorere dem til fordel for den lokalt lagrede kontoinformasjonen.
Hvis du trenger å knytte ACME-sertifikatordrene til datamaskinen til en annen SSL.com-konto, bør du fjerne denne kontoinformasjonen fra datamaskinen din med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(eller hvis du har utelatt det valgfrie --config-dir
alternativ, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Når du kjører kommandoen ovenfor, bør du motta instruksjoner om hvordan du oppretter en valideringsfil:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Opprett en fil som inneholder akkurat disse dataene: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI og gjøre den tilgjengelig på webserveren din på denne nettadressen: http://DOMAIN.NAME/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Trykk Enter for å fortsette
Opprett filen og lagre den på et sted på webserveren din der den er tilgjengelig via HTTP over port 80
på URL-adressen som vises, og trykk deretter på Enter
.
-
) karakter. I dette tilfellet må du kanskje spesifisere katalogen når du oppretter filen for å forhindre at skallet tolker dashbordet (f.eks vim ./-r1rsRTImVz_s7HHk7biTQ
).Hvis all informasjonen din er riktig, bør du motta en bekreftelsesmelding som viser sertifikatkjeden og den private nøkkelen:
VIKTIGE MERKNADER: - Gratulerer! Sertifikatet og kjeden din er lagret på: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Nøkkelfilen din er lagret på: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your sertifikatet utløper 2021-10-05. For å få en ny eller justert versjon av dette sertifikatet i fremtiden, bare kjør certbot igjen. For å ikke-interaktivt fornye * alle * sertifikatene dine, kjør "certbot fornye"
Du kan nå konfigurere webserveren din for å få tilgang til det nye sertifikatet og den private nøkkelen.
DNS-01 utfordringsmetode
De DNS-01 utfordringsmetoden er vanskeligere å bruke enn HTTP-01, men kan være mer praktisk å bruke på flere webservere. I denne metoden vil Certbot gi et token du bruker til å opprette en DNS TXT-post under domenenavnet som sertifikatet vil beskytte.
Krav: DNS-01-metoden krever at du har muligheten til å opprette DNS-poster for nettstedets domenenavn.
Følgende kommando vil be om et sertifikat for DOMAIN.NAME via DNS-01 utfordringsmetoden:
sudo certbot certonly --manual --server https://acme.ssl.com/sslcom-dv-rsa --agree-tos --no-eff-email --email EMAIL-ADDRESS --eab-hmac-key HMAC-KEY --eab-kid ACCOUNT-KEY --preferred-challenges dns -d DOMAIN.NAME
-d DOMAIN.NAME
alternativ flere ganger i kommandoen din for å legge til domenenavn i sertifikatet ditt. Certbot vil kreve at du oppretter en egen DNS TXT-post for hvert forespurt domenenavn. Du trenger ikke å vente på at hver TXT-post skal spre seg før du trykker på Enter
til du kommer til den siste utfordringen. Se avsnittet om sertifikattyper og fakturering nedenfor for å se hvordan forskjellige kombinasjoner av domenenavn tilordnes SSL.com-sertifikattyper og deres tilsvarende priser. certbot
ACME-kontoinformasjon lagres på datamaskinen din i konfigurasjonskatalogen (/etc/ssl-com
i kommandoen vist ovenfor. På fremtidige kjøringer av certbot kan du utelate --eab-hmac-key
og --eab-kid
alternativer fordi certbot vil ignorere dem til fordel for den lokalt lagrede kontoinformasjonen.
Hvis du trenger å knytte ACME-sertifikatordrene til datamaskinen til en annen SSL.com-konto, bør du fjerne denne kontoinformasjonen fra datamaskinen din med kommandoen. sudo rm -r /etc/ssl-com/accounts/acme.ssl.com
(eller hvis du har utelatt det valgfrie --config-dir
alternativ, sudo rm -r /etc/letsencrypt/accounts/acme.ssl.com
).
Denne kommandoen er den samme som den fra HTTP-01-delen, men legger til --preferred-challenges dns
alternativ. Når du kjører kommandoen, vil du motta instruksjoner for hvordan du oppretter en DNS-post:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.DOMAIN.NAME with the following value: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue
Opprett DNS TXT-posten, og vent til den sprer seg. (whatsmydns.net er et praktisk verktøy for å sjekke for DNS-forplantning). Merk at understrekingstegnet (_) i begynnelsen av postnavnet er påkrevd. Når posten har spredt seg over hele verden, trykk Enter
.
*.example.com
) må du be om basedomenenavnet separat hvis du også vil beskytte det (for eksempel -d *.example.com -d example.com
). I et slikt tilfelle må du opprette to TXT poster med samme navn (_acme-challenge.example.com
). Hvis all informasjonen din er riktig, bør du motta en bekreftelsesmelding som viser sertifikatkjeden og den private nøkkelen:
IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem Your key file has been saved at: /etc/ssl-com/live/DOMAIN.NAME/privkey.pem Your cert will expire on 2021-10-05. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew"
Du kan nå konfigurere webserveren din for å få tilgang til det nye sertifikatet og den private nøkkelen.
Sertifikatfornyelse (manuell)
For manuelt utstedte sertifikater (som beskrevet i denne håndboken) oppnås sertifikatfornyelse ved å gjenta kommandoen som ble brukt til å be om sertifikatet. Certbot gir en renew
underkommando, men det vil gi en feil i et forsøk på å bruke den sammen med sertifikater som er forespurt med --manual
alternativ:
sudo certbot fornye - kraft-fornyelse Lagring av feilsøkingslogg til /var/log/ssl-com/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Behandling /etc/ssl-com/renewal/DOMAIN.NAME - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Kunne ikke velge passende plugin: Det manuelle pluginet fungerer ikke; Det kan være problemer med den eksisterende konfigurasjonen. Feilen var: PluginError ('Et autentiseringsskript må leveres med --manual-auth-hook når manuell plugin ikke brukes interaktivt.',) Forsøk på å fornye cert (DOMAIN.NAME) fra / etc / ssl-com / fornying / DOMAIN.NAME.conf produserte en uventet feil: Den manuelle pluginen fungerer ikke; det kan være problemer med den eksisterende konfigurasjonen. Feilen var: PluginError ('Et autentiseringsskript må leveres med --manual-auth-hook når manuell plugin ikke brukes interaktivt.',). Hopper. Alle fornyelsesforsøk mislyktes. Følgende serier kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (feil) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Alle fornyelsesforsøk mislyktes. Følgende serier kunne ikke fornyes: /etc/ssl-com/live/DOMAIN.NAME/fullchain.pem (feil) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 fornyelsesfeil (er), 0 analyseringsfeil (er)
Sertifikat tilbakekalling
Opphev sertifikat med certbot revoke
. Erstatt sertifikatbanen i ALL CAPS med dine faktiske verdier (for eksempel /etc/ssl-com/live/example.com/cert.pem
). Hvis du ikke spesifiserte en egendefinert --config-dir
og --logs-dir
Når du ber om originalsertifikatet, utelater du disse alternativene.
sudo certbot tilbakekall - server https://acme.ssl.com/sslcom-dv-rsa --cert-path /PATH/TO/cert.pem --config-dir / etc / ssl-com --logs-dir / var / log / ssl-com
Du blir bedt om du også vil slette det tilbakekalte sertifikatet:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vil du slette sertifikatet (e) du bare tilbakekalte, sammen med alle tidligere og senere versjoner av sertifikatet? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y) es (anbefalt) / (N ) o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Slettet alle filer knyttet til sertifikat DOMENENAVN. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Unable to register an account with ACME server. Error returned by the ACME server: Something went wrong. We apologize for the inconvenience.
Prøv følgende for å løse feilen:
a) Spesifiser sertifikatets private nøkkelbane for å signere tilbakekallingsforespørselen.
Eksempel:
--key-path /PATH/TO/privkey.pem
b) Hvis du brukte en egendefinert katalog, spesifiser katalogen du brukte da du utstedte sertifikatet:
--config-dir
Sertifikattyper og fakturering
Alt SSL /TLS sertifikater utstedt via ACME av SSL.com er ett-års sertifikater. SSL.com-sertifikattypen du vil motta (og blir fakturert for) avhenger av antallet og typen domenenavn du ønsker:
- Grunnleggende SSL: Ett domenenavn, eller domenenavn pluss
www
underdomener (f.eksexample.com
ogwww.example.com
).- Merk at hvis du ønsker å beskytte både basen domenenavn og
www
, må du ta med begge deler i Certbot-kommandoen (f.eks-d example.com -d www.example.com
).
- Merk at hvis du ønsker å beskytte både basen domenenavn og
- Wildcard SSL: Ett jokertegnet domenenavn, eller ett jokertegnet domenenavn pluss basis domenenavn (f.eks
*.example.com
ogexample.com
). - Premium SSL: Base domenenavn og ett til tre underdomener som ikke er jokertegn. (Unntak: Som nevnt ovenfor, basedomene pluss
www
underdomenet [og ingen andre] blir fakturert som Basic SSL.) For eksempel:
example.com
oginfo.example.com
example.com
,www.example.com
oginfo.example.com
example.com
,www.example.com
,info.example.com
ogstore.example.com
- Multi-Domain UCC / SAN SSL: Enhver annen kombinasjon av domenenavn. For eksempel:
- Basis domenenavn og mer enn tre underdomener
- To eller flere jokertegn og / eller domenenavn som ikke er underdomener
Deltakere i SSL.com Program for forhandler og voluminnkjøp faktureres til den nedsatte satsen som er knyttet til prisnivået.
For mer informasjon
Det er mye mer du kan gjøre med ACME-protokollen (med eller uten Certbot). Se følgende ressurser for mye mer informasjon:
- Hva er ACME-protokollen?
- ACME SSL /TLS Automatisering med Apache og Nginx
- SSL /TLS Automatisering for IoT med ACME
- Certbot-dokumentasjon
- Certbot mann side
Trenger du mer hjelp med din SSL.com-konto?
- SSL.com-kontoen din - sender inn en CSR
- Mislykket forhånds-test ?!
- SSL.com-kontoen din - valideringer
- SSL.com-kontoen din - Bestillinger
- SSL.coms SWS API - Introduksjon
- Din SSL.com-konto - Domener
- Støttede Cloud HSM-er for dokumentsignering og EV-kodesignering