ACME 部署证书

CertCloud 支持完整的 ACME 协议,支持使用标准的 ACME 客户端来自动执行 SSL/TLS 证书申请、签发和部署,以此来减少证书安装所花费的时间,提高证书部署效率。

你需要了解

在使用ACME 之前,让我们了解些基本信息!

什么是ACME?

ACME 是 TrustAsia 基于标准化证书签发和管理协议 RFC 8555 实现的 SSL 证书自动化管理工具,可实现端到端的证书自动更新、验证、签发、分发和部署,并支持客户端集中可视化的管理,极大简化证书管理流程,帮助客户轻松、安全地管理 SSL/TLS 证书。

怎样使用ACME?

CertCloud ACME 提供了两种模式选择:订单模式和策略模式,您可根据需求二选一。

  • 订单模式,即完全基于历史订单重颁发证书副本。满足常见客户端部署证书的需求,适合大部分用户。

    在订单模式下,用户需要预先创建证书订单,并在订单详情页面获取相应的ACME命令。申请证书时,系统会基于原订单重颁发多个证书副本,每个证书副本的有效期为90天。然而一旦订单服务时间结束(<90天),新的签发请求将会失败。订单模式下不会产生新订单费用。

  • 策略模式,即完全遵循签发策略签发证书,可能产生新单。适用于对业务要求较高、需要随时快速签发DV/OV/EV证书的后付费用户。

    策略模式下,用户需要预先创建签发策略,这样使用 ACME 命令申请证书时,系统完全遵循策略签发证书,可能重颁发历史订单,也可能创建新的订单。策略模式下,建议开通后付费账户类型。

确认好模式那就来申请证书吧!

你需要准备

选择订单模式

  1. 注册 CertCloud 平台;

  2. 联系商务充值。

选择策略模式

  1. 注册 CertCloud 平台,并开通 ACME

  2. 联系商务开通后付费账号类型。 image.png

如何申请证书

订单模式

申请DV证书

创建订单

选择支持 ACME 的DV 证书产品并提交订单。

获取部署命令

image.png

image.png

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

申请 OV/EV 证书

创建订单

选择OV/EV 证书产品并提交订单。

验证组织/域名

申请OV/EV 证书要求先在订单内完成域名、组织验证。待证书签发后再使用 ACME 进行部署,此时无需任何验证步骤。

image.png

签发证书

订单进入“已签发”的状态,此时可使用 ACME 部署,快速分发 OV/EV 证书副本。

image.png

获取部署命令

image.png

image.png

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

策略模式

申请DV证书

创建签发策略

定义域名关联的证书签发策略,包括产品、订单有效期等信息

a. 侧边栏,选择“自动化”,“ACME”,“签发策略”,点击“新增策略”。

image.png

b. 弹出表单,填写信息,“确认”提交。

image.png

(注意:申请证书时,将使用证书域名匹配该“域名后缀”,获取对应的签发信息)

获取部署命令

a. 侧边栏,选择“自动化”,“ACME”,点击右上角“申请证书”。

image.png

b. 填写证书域名(所有域名在一本证书内),点击“下一步”。

image.png

c. 确认域名的签发信息,点击“下一步”。

d. 获取部署命令。

image.png

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

申请OV/EV 证书

添加预审核组织、域名

提前添加、预审 OV/EV 证书的组织信息,方便客户端快速签发证书

a. 侧边栏,选择“预审核”,组织信息,点击“新增组织”

image.png

b. 跳转新增组织信息,填写信息,并“确认提交”

image.png

(注意:此时需要确认证书的CA提供商,方便提交组织预审)

c. 提交成功后,点击“新增域名”

image.png

也支持侧边栏,选择“预审核”,域名,点击“新增域名”

image.png

d. 跳转新增域名页面,填写信息,并“确认提交”

image.png

e. 提交成功!因组织数量较多,此处需联系交付同学快速预审已提交的组织及域名。(此时可操作 3.4.2 添加签发策略)

f. 配合审核人员审核组织、验证域名。

创建签发策略

定义不同域名对应的证书签发策略,如产品、订单有效期、组织等

a. 侧边栏,选择“自动化”,“ACME”,“签发策略”,点击“新增策略”。

image.png

b. 弹出表单,填写信息,“确认”提交。

image.png

获取部署命令

获取 ACME 客户端申请证书的命令

a. 侧边栏,选择“自动化”,“ACME”,点击右上角“申请证书”。

image.png

b. 填写证书域名(所有域名在一本证书内)点击“下一步”。

image.png

c. 确认域名的签发信息。若预审核未通过,必须先完成预审核,否则申请证书将失败。

image.png

d. 验证通过后,获取部署命令。

image.png

客户端部署证书

这里为大家准备了详细的ACME 申请证书使用教程;

FAQ

如何设置证书到期提醒

平台默认开启证书到期通知,您可在 ACME「设置」页面,设置告警频率。

image.png

image.png

如何实现证书自动更新

如何管理平台账户下所有客户端、证书

您可在侧边栏“自动化”,选择“ACME”,“客户端”,查看并管理账户下所有客户端及客户端申请的证书

image.png

客户端注册凭证泄露如何处理

a. 更新EAB凭证,防止恶意注册;

image.png

b. 新增注册客户端时,系统会发送提醒邮件,若管理员识别为恶意注册,可禁用客户端。禁用状态下,客户端所有请求将失败,正在申请的证书也会立即停止签发。

image.png

image.png

计费相关

ACME 计费与模式无关,仅按订单计费。

  • 订单有效期内,使用 ACME 部署功能颁发的每张证书有效期为 90天,不会产生额外费用;

  • 若申请的证书到期时间超过订单时长,订单模式下将申请失败,策略模式下将创建新的计费订单。

acme.sh 使用文档

这是acme.sh的使用文档,介绍了如何使用ACME协议自动管理和获取SSL/TLS证书,包括安装、注册、手动和自动签发证书,以及自动部署和更新证书的过程。

AWS CloudFront SSL插件使用文档

该部署方式提供在亚马逊云科技中国区域自动生成、更新和下载SSL证书的解决方案,支持与Amazon CloudFront集成和自动更新,要求使用Amazon Route 53解析域名。

CertBot 证书自动部署

这是关于ACME协议和Certbot工具的使用文档,介绍了如何使用Certbot自动化管理和获取SSL/TLS证书,包括安装、注册、手动和自动签发证书,以及与不同DNS服务商的集成方法。

Powershell ACME 证书自动部署

CertCloud 支持完整的 ACME 协议。本页面介绍了 Windows 上使用 Powershell ACME 结合 CertCloud 的部署流程。

June 11, 2024