20 nov. 2024

FAQ de l'ACME

Vue d'ensemble de l'ACME

Le protocole ACME (Automatic Certificate Management Environment/ Environnement de gestion automatique des certificats) est conçu pour automatiser les processus d'approvisionnement, de renouvellement et de révocation des certificats en fournissant une infrastructure permettant aux autorités de certification de communiquer avec les agents installés sur les serveurs Web.

ACME est un cadre extensible pour automatiser les procédures d'émission de certificats et de validation de domaine. ACME permet aux utilisateurs de demander des actions de gestion de certificat à l'aide d'un ensemble de messages JSON (JavaScript Object Notation) reportés sur HTTPS. L'émission à l'aide d'ACME ressemble au processus d'émission d'une autorité de certification traditionnelle, dans lequel un utilisateur crée un compte, demande un certificat et prouve le contrôle du ou des domaines de ce certificat pour que l'autorité de certification émette le certificat demandé.

L'intégration de GlobalSign à ACME est conforme à la norme Internet RFC 8555. Notre serveur ACME est hébergé sur notre moteur de gestion des certificats cloud, Atlas. Une fois qu'un agent ACME est lié à un compte Atlas, les utilisateurs peuvent utiliser ACME pour demander et révoquer des certificats TLS conformes à CA/Browser Forum d'Atlas sans avoir à s'interfacer avec le portail Ou les API Atlas, et il peut être programmé pour le faire automatiquement.

Cet article de support fournit des FAQ pour notre produit ACME. Pour plus de détails techniques sur la façon d'intégrer votre client ACME à notre solution Atlas, veuillez-vous référer à notre guide de mise en œuvre.

Foire aux questions

Puis-je émettre des certificats à des sous-domaines de domaines validés?

Selon la méthode de vérification sélectionnée, le service ACME de GlobalSign émettra des certificats pour les sous-domaines. En outre, si le domaine parent a déjà été vérifié avec une méthode de validation applicable, la logique de validation du sous-domaine sera contournée et le certificat sera automatiquement émis.

Notez que www.example.com est un sous-domaine de example.com et nécessite sa propre entrée SAN mais pas sa propre validation si vous avez déjà vérifié example.com.

Combien de temps dure la validation de domaine?

Une fois que vous avez validé un domaine, vous pouvez continuer à émettre des certificats avec ce SAN jusqu'à 397 jours. Notez que cette période peut changer en raison de globalsign ou de changements d'exigences de l'industrie à tout moment.

Quels clients ACME GlobalSign prend-il en charge?

Nous examinons constamment les clients d'ACME par rapport à notre service ; revenez souvent pour les mises à jour !

Linux

• Certbot - https://certbot.eff.org/
• acme.sh - https://github.com/acmesh-official/acme.sh

Fenêtres

• win-acme - https://www.win-acme.com/

J'ai égaré mes informations d'identification API. Qu’est-ce que je fais?

Étant donné que nous ne stockons pas vos informations d'identification d'API, vous devez créer de nouvelles informations d'identification d'API via le portail Atlas.

J'ai besoin de plus d'informations sur ma clé MAC.

• La clé MAC est un secret partagé entre le client et le service GlobalSign ACME, qui permet aux clients de lier leur clé publique cliente ACME spécifique à leur compte Atlas (plus précisément, à un identifiant API dans le compte client).
• Lorsque vous demandez une clé MAC, copiez-la et collez-la dans un endroit sécurisé. Ce sera votre seule occasion de le faire. Vous ne pourrez plus afficher votre clé MAC dans le portail Atlas.
• Pour réduire le risque de compromission ou d'abus de clé MAC, chaque clé MAC peut être utilisée pendant un maximum de 30 jours et jusqu'à 1000 fois.
• Dans le cas où la clé MAC est par inadvertance divulguée ou compromise, le client peut créer une nouvelle clé MAC qui désactive la précédente.
• Une fois qu'une clé MAC a expiré ou a été utilisée 1000 fois, vous devez obtenir un nouveau MAC avant de pouvoir lier plus de clients ACME à votre compte.
• La validité et les utilisations restantes de la clé MAC sont disponibles sur la carte d'identification API du portail Atlas.

Quelles méthodes de validation de domaine sont prises en charge?

La méthode de validation de domaine HTTP (http-01) et la méthode de validation DNS (dns-01) sont actuellement prises en charge.

J'ai une erreur lorsque j'essaie d'émettre un certificat ou de valider un domaine. Qu’est-ce que je fais?

Veuillez contacter le support GlobalSign et inclure tous les messages d'erreur que vous recevez et le journal de débogage afin que nous puissions aider à résoudre le problème.

Comment puis-je émettre un certificat à l'aide de acme.sh?

Si vous utilisez l'agent de acme.sh, vous devrez entrer un CSR dont les URE n'ont pas d'URE spécifié. Vous pouvez créer un CSR à l'aide d'OpenSSL ou d'un autre outil. Si vous utilisez le CSR qui est généré pendant l'émission automatique de certificat, alors vous rencontrerez une erreur.

Quel algorithme de signature mon CSR devrait-il être?

Notre service ACME est configuré de sorte que nous émettions uniquement des Certificats avec une signature RSA ou ECC à l'aide d'un algorithme de hachage de signature SHA-256. On s'attend à ce que votre agent ACME génère le CSR pour vous, de sorte que vous n'aurez pas à vous soucier de la création et de la soumission d'un CSR valide. Si vous rencontrez une erreur qui pointe vers le CSR, c'est peut-être parce que l'agent en soumet une qui est bloquée par notre service. Vérifiez le CSR et confirmez qu'il utilise un algorithme basé sur SHA-256 de signature. Si ce n'est pas le cas, vous devrez peut-être configurer votre agent pour en soumettre un ou générer votre propre CSR et demander à l'agent de l'utiliser.