Protokol ACME (Automated Certificate management Environment) omogoča avtomatizirano komunikacijo med končno točko ponudnika overjenih digitalnih potrdil in strežniki uporabnikov; upravljanje digitalnih strežnikih potrdil tako lahko postane samodejni proces. Vzpostavitev avtomatiziranega procesa zahteva dodajanje ACME računa in registracijo le-tega.
- Gostovanje infrastrukture
- /
- Overjena digitalna strežniška potrdila
Avtomatizirano upravljanje strežniških potrdil
Dodajanje ACME računa
1.
Prijava v portal SCM
Prijavite se v vmesnik SCM https://cert-manager.com/customer/ARNES. Če dostopa do skrbniškega vmesnika še nimate, nam pišite na helpdesk@arnes.si, da vam ustvarimo RAO račun. Več o pravicah računa si lahko preberete na povezavi https://docs.sectigo.com/scm/scm-administrator/understanding-administrators.html.
2.
Obišite stran končnih točk ACME
V levem meniju izberite možnost Enrollment in nato ACME.
3.
Izberite končno točko
Na seznamu končnih točk izberite možnost https://acme.sectigo.com/v2/GEANTOV (ali GEANTEV za EV potrdila) in za dodajanje računa kliknite na Accounts.
4.
Odprite okno za dodajanje računa
V zgornjem desnem kotu kliknite na +.
5.
Uredite podrobnosti računa
V pojavnem oknu, ki se odpre, zavedite poljubno ime računa, določite organizacijo in oddelek ter dodajte povezane domene, za katere bo lahko registrirani račun pridobival digitalna potrdila. Dodajanje računa zaključite s klikom na Save.
Izdaja certifikata s poljubno domeno ne bo mogoča, če boste računu dodali npr. domeno *.test-arnes.si. Če želite izdati wildcard certifikat, morate računu dodeliti wildcard domeno in glavno domeno.
6.
Shranite podatke
Ko račun ustvarite, so vam na voljo podatki EAB (External Account Binding), ki jih uporabite pri registraciji ACME računa na svojem strežniku. Do EAB podatkov lahko vedno dostopate preko Enrollment > ACME > Accounts.
Namesititev ACME odjemalca in registracija ACME računa
1.
Namestite ACME odjemalec
Pri namestitvi odprtokodnega programa Certbot za različne operacijske sisteme si lahko pomagate z navodili razvijalca spletni strani ponudnika. Če imate na strežniku nameščen operacijski sistem Windows, sledite navodilom na povezavi https://certbot.eff.org/instructions?ws=other&os=windows. Uporabite lahko poljubni odjemalec.
2.
Registrirajte račun
V kolikor ste na svoj strežnik namestili odjemalec Certbot, račun ACME registrirate s spodnjim ukazom.
certbot register --email <EMAIL_RAO> --server https://acme.sectigo.com/v2/GEANTOV --eab-kid <KEY ID> --eab-hmac-key <HMAC KEY>
Vrednosti <KEY ID> in <HMAC KEY> nadomestite s podatki, ki ste jih pridobili v portalu SCM. Če pri dodajanju računa niste izbrali končne točke https://acme.sectigo.com/v2/GEANTOV, morate ustrezno popraviti tudi ta podatek. Registracijo z istimi podatki lahko na enem strežniku izvedete le enkrat. Elektronski naslov, ki ga boste zavedli v ukazno vrstico namesto <EMAIL_RAO> bo prejemal obvestila, vezana na upravljanje potrdil.
3.
Pridobite certifikat
Certifikat lahko izdate z ukazom, ki bo certifikat hkrati namestil in skušal samodejno popraviti konfiguracijsko datoteko, ali pa z ukazom, ki izključno izda certifikat in ga ne namesti. Ukaz za izdajo certifikata z SAN-si se razlikuje. Če nimate ustvarjene konfiguracijske datoteke za domeno, se bo spremenila privzeta datoteka ssl.conf.
certbot run --apache --email --server https://acme.sectigo.com/v2/GEANTOV --domain --rsa-key-size 3072
Vrednosti <EMAIL_RAO> in <domena> ustrezno nadomestite. Če ste pri ustvarjanju ACME računa izbrali drugo končno točko, v ukazu ustrezno nadomestite tudi https://acme.sectigo.com/v2/GEANTOV.
!
En ACME račun lahko registrirate na več strežnikih, na enem samem (istem) strežniku pa le enkrat. Iz varnostnih razlogov priporočamo, da za posamične domene ustvarjate ločene ACME račune.