ACME 部署证书

CertCloud 支持完整的 ACME 协议,支持使用标准的 ACME 客户端来自动执行 SSL/TLS 证书申请、签发和部署,以此来减少证书安装所花费的时间,提高证书部署效率。

你需要了解

在使用ACME 之前,让我们了解些基本信息!

什么是ACME?

ACME 是 TrustAsia 基于标准化证书签发和管理协议 RFC 8555 实现的 SSL 证书自动化管理工具,可实现端到端的证书自动更新、验证、签发、分发和部署,并支持客户端集中可视化的管理,极大简化证书管理流程,帮助客户轻松、安全地管理 SSL/TLS 证书。

怎样使用ACME?

CertCloud ACME 提供了两种模式选择:订单模式和策略模式,您可根据需求二选一。

  • 订单模式,即完全基于历史订单重颁发证书副本。满足常见客户端部署证书的需求,适合大部分用户。

    在订单模式下,用户需要预先创建证书订单,并在订单详情页面获取相应的ACME命令。申请证书时,系统会基于原订单重颁发多个证书副本,每个证书副本的有效期为90天。然而一旦订单服务时间结束(<90天),新的签发请求将会失败。订单模式下不会产生新订单费用。

  • 策略模式,即完全遵循签发策略签发证书,可能产生新单。适用于对业务要求较高、需要随时快速签发DV/OV/EV证书的后付费用户。

    策略模式下,用户需要预先创建签发策略,这样使用 ACME 命令申请证书时,系统完全遵循策略签发证书,可能重颁发历史订单,也可能创建新的订单。策略模式下,建议开通后付费账户类型。

确认好模式那就来申请证书吧!

你需要准备

选择订单模式

  1. 注册 CertCloud 平台;

  2. 联系商务充值。

选择策略模式

  1. 注册 CertCloud 平台,并开通 ACME

  2. 联系商务开通后付费账号类型。 image.png

如何申请证书

订单模式

申请DV证书

创建订单

选择支持 ACME 的DV 证书产品并提交订单。

获取部署命令

image.png

image.png

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

申请 OV/EV 证书

创建订单

选择OV/EV 证书产品并提交订单。

验证组织/域名

申请OV/EV 证书要求先在订单内完成域名、组织验证。待证书签发后再使用 ACME 进行部署,此时无需任何验证步骤。

image.png

签发证书

订单进入“已签发”的状态,此时可使用 ACME 部署,快速分发 OV/EV 证书副本。

image.png

获取部署命令

image.png

image.png

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

策略模式

申请DV证书

创建签发策略

定义域名关联的证书签发策略,包括产品、订单有效期等信息

a. 侧边栏,选择“自动化”,“ACME”,“签发策略”,点击“新增策略”。

image.png

b. 弹出表单,填写信息,“确认”提交。

image.png

(注意:申请证书时,将使用证书域名匹配该“域名后缀”,获取对应的签发信息)

获取部署命令

a. 侧边栏,选择“自动化”,“ACME”,点击右上角“申请证书”。

image.png

b. 填写证书域名(所有域名在一本证书内),点击“下一步”。

image.png

c. 确认域名的签发信息,点击“下一步”。

d. 获取部署命令。

image.png

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

申请OV/EV 证书

添加预审核组织、域名

提前添加、预审 OV/EV 证书的组织信息,方便客户端快速签发证书

a. 侧边栏,选择“预审核”,组织信息,点击“新增组织”

![image.png](acme/acme-020.png)

b. 跳转新增组织信息,填写信息,并“确认提交”

![image.png](acme/acme-021.png)

(注意:此时需要确认证书的CA提供商,方便提交组织预审)

c. 提交成功后,点击“新增域名”

![image.png](acme/acme-022.png)

也支持侧边栏,选择“预审核”,域名,点击“新增域名”

![image.png](acme/acme-023.png)

d. 跳转新增域名页面,填写信息,并“确认提交”

![image.png](acme/acme-024.png)

e. 提交成功!因组织数量较多,此处需联系交付同学快速预审已提交的组织及域名。(此时可操作 3.4.2 添加签发策略)

f. 配合审核人员审核组织、验证域名。

创建签发策略

定义不同域名对应的证书签发策略,如产品、订单有效期、组织等

a. 侧边栏,选择“自动化”,“ACME”,“签发策略”,点击“新增策略”。

![image.png](acme/acme-025.png)

b. 弹出表单,填写信息,“确认”提交。

![image.png](acme/acme-026.png)

获取部署命令

获取 ACME 客户端申请证书的命令

a. 侧边栏,选择“自动化”,“ACME”,点击右上角“申请证书”。

![image.png](acme/acme-027.png)

b. 填写证书域名(所有域名在一本证书内)点击“下一步”。

![image.png](acme/acme-028.png)

c. 确认域名的签发信息。若预审核未通过,必须先完成预审核,否则申请证书将失败。

![image.png](acme/acme-029.png)

d. 验证通过后,获取部署命令。

![image.png](acme/acme-030.png)

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

FAQ

如何设置证书到期提醒

平台默认开启证书到期通知,您可在 ACME「设置」页面,设置告警频率。

image.png

image.png

如何实现证书自动更新

如何管理平台账户下所有客户端、证书

您可在侧边栏“自动化”,选择“ACME”,“客户端”,查看并管理账户下所有客户端及客户端申请的证书

image.png

客户端注册凭证泄露如何处理

a. 更新EAB凭证,防止恶意注册;

![image.png](acme/acme-034.png)

b. 新增注册客户端时,系统会发送提醒邮件,若管理员识别为恶意注册,可禁用客户端。禁用状态下,客户端所有请求将失败,正在申请的证书也会立即停止签发。

![image.png](acme/acme-035.png)

![image.png](acme/acme-036.png)

计费相关

ACME 计费与模式无关,仅按订单计费。

  • 订单有效期内,使用 ACME 部署功能颁发的每张证书有效期为 90天,不会产生额外费用;

  • 若申请的证书到期时间超过订单时长,订单模式下将申请失败,策略模式下将创建新的计费订单。


acme.sh 使用文档

这是acme.sh的使用文档,介绍了如何使用ACME协议自动管理和获取SSL/TLS证书,包括安装、注册、手动和自动签发证书,以及自动部署和更新证书的过程。

AWS CloudFront SSL插件使用文档

该部署方式提供在亚马逊云科技中国区域自动生成、更新和下载SSL证书的解决方案,支持与Amazon CloudFront集成和自动更新,要求使用Amazon Route 53解析域名。

CertBot 证书自动部署

这是关于ACME协议和Certbot工具的使用文档,介绍了如何使用Certbot自动化管理和获取SSL/TLS证书,包括安装、注册、手动和自动签发证书,以及与不同DNS服务商的集成方法。

Powershell ACME 证书自动部署

CertCloud 支持完整的 ACME 协议。本页面介绍了 Windows 上使用 Powershell ACME 结合 CertCloud 的部署流程。

December 18, 2023