Jak użyć oprogramowania Certbot do wydania certyfikatu Certum SSL poprzez ACME?

Certum wspiera ACME w wersji v2, zgodne z RFC 8555.

Do obsługi ACME dostępny jest na rynku szereg klientów ACME, a Certum nie rekomenduje szczególnie żadnego z nich. Certum nie udostępnia również własnego klienta ACME. Przykładowa instrukcja postępowania jest prezentowana z wykorzystaniem oprogramowania Certbot. Instrukcja ma jedynie charakter poglądowy i w celu wsparcia krok po kroku uruchomienia po stronie serwera implementacji opartej np. o oprogramowanie Certbot, prosimy o wykorzystanie dedykowanych materiałów instruktażowych i wsparcia, dostarczonych przez wydawcę danego klienta ACME.

Instalacja oprogramowania Certbot

• Pobierz i zainstaluj na serwerze klienta ACME np. Certbot, korzystając z oficjalnej instrukcji: https://certbot.eff.org/

Uwaga: Certbot nie jest produktem Certum. W celu uruchomienia i konfiguracji klienta ACME na serwerze należy postępować zgodnie z instrukcją użytkownika i zaleceniami wsparcia technicznego twórcy danego klienta ACME. Taka instrukcja dla oprogramowania Certbot jest dostępna pod adresem: https://eff-certbot.readthedocs.io/en/stable/using.html.

W celu uzyskania pomocy w instalacji i konfiguracji dowolnego innego klienta ACME, przejdź na stronę jego wydawcy i skorzystaj z dostępnych materiałów i wsparcia.

Aktywacja certyfikatu z użyciem oprogramowania Certbot

• Rozpocznij rejestrację konta ACME w Certum poleceniem poniżej. Wartości kid i hmac (EAB) uzupełnij zgodnie z danymi otrzymanymi w szczegółach certyfikatu Certum:
  certbot register --server https://acme.certum.pl/directory --eab-kid z2r7_WC57nZWHvCbyjRV94y836hq19CWPLdU7naHaXXXXXXXXXXXXXXXXXX --eab-hmac-key ZjExMWNiNzQ1ZGI0NjE0MWU3ZjYwNDZjMzhhOGRiYjhmNjFlMjBjOGXXXXXXXXXXXXXXX

Jeśli nie posiadasz danych uwierzytelniających kid i hmac, zapoznaj się z instrukcją jak aktywować certyfikat SSL z użyciem ACME.

• Podaj adres e-mail konta w Certum z zamówionym produktem SSL, na które zostanie zarejestrowane konto w ACME
• Przeczytaj i potwierdź warunki użytkowania certyfikatów Certum
• W razie potrzeby, odpowiedz na dodatkowe pytania dotyczące przetwarzania danych konta ACME przez Certbot. Skutkiem powinno być potwierdzenie założenia konta
• Rozpocznij żądanie certyfikatu i wybierz metodę weryfikacji posiadania kontroli nad domenami dla których chcesz wydać certyfikat poleceniem:
  certbot certonly --manual --key-type rsa --server https://acme.certum.pl/directory --preferred-challenges dns-01
  gdzie podając parametry, możesz dokonać wyboru:
• opcji samego wydania certyfikatu, bez jego instalacji na serwerze przełącznikiem certonly
• typu klucza przełącznikiem –key-type ustawionym na rsa lub ecdsa
• manualnej weryfikacji domeny przełącznikiem –manual (może zostać połączona ze skryptem automatyzującym –manual-auth-hook). Automatyczna weryfikacja domeny wymaga skonfigurowanego na serwerze domeny dodatku
• metody weryfikacji domeny (typu challenga):  dns-01 lub http-01
• Podaj domeny do umieszczenia w certyfikacie. W przypadku więcej niż jednej domeny, oddziel je spacją:

  twojadomena.pl www.twojadomena.pl

• Wybierz opcję automatycznej weryfikacji kontroli nad domenami lub zweryfikuj manualnie posiadanie kontroli nad domenami, zgodnie z wyświetloną instrukcją. Umieść rekord w DNS domen lub plik na serwerze i potwierdź w konsoli gotowość do weryfikacji. Odczekaj na weryfikację i wydanie certyfikatu. Certyfikat domyślnie zostanie wydany na okres zgodny ze standardem branżowym, który od 2026-03-13 dla SSL wynosi maksymalnie 199 dni
• Pobierz certyfikat i klucz prywatny ze wskazanej przez Certbot lokalizacji. W przypadku opcji certonly, zainstaluj je na serwerze i rozpocznij używanie. Automatyczna instalacja certyfikatu jest możliwa poprzez wskazanie instalatora przełącznikiem –installer
• Jeśli potrzebujesz ponownie wydać ten certyfikat, wykonaj żądanie certyfikatu z punktu e. Jeśli weryfikacja kontroli nad domeną wygasła, może być konieczna jej ponowna weryfikacja
• Jeśli chcesz ponownie wydać ten certyfikat z dodaniem nowych domen, wykonaj żądanie certyfikatu z punktu e. Jeśli deklarowałeś domeny przy włączaniu ACME dla produktu, do certyfikatu możesz dodawać tylko zadeklarowane tam domeny. Dodawane domeny i wygasłe weryfikacje domen mogą wymagać ponownej weryfikacji.

Uwaga: Certyfikat domyślnie zostanie wydany na okres zgodny ze standardem branżowym, który dla SSL wydanych od 2026-03-13 wynosi maksymalnie 199 dni i nie dłuższy niż data końca ważności zamówionego produktu.

Uwaga: W przypadku dobiegania daty końca ważności wydanego certyfikatu, wykorzystanie opcji renew wyda certyfikat na kolejny okres ważności w ramach ważności zamówionego produktu.

• Jeśli poprzednio wydany certyfikat ma już datę końca ważności równą dacie ważności zamówionego produktu, certyfikat zostanie wydany z taką samą datą końca ważności jak poprzedni certyfikat
• Jeśli weryfikacja kontroli nad domeną wygasła, może być konieczna jej ponowna weryfikacja
• Aby wydać kolejny certyfikat w nowym okresie ważności produktu, należy zamówić nowy produkt i z wykorzystaniem nowych danych uwierzytelniających ACME przejść proces od p. a.

Uwaga: Certum ogranicza liczbę żądań dla każdej operacji ACME, aby zapewnić wydajność i stabilność systemu. Limit jest obliczany dla każdego zamówienia produktu ACME w przypadku rejestracji kont ACME i żądań certyfikatów. Dodatkowo, pozostałe operacje są limitowane dla każdego adresu IP.

Otrzymanie kodu HTTP 429 w odpowiedzi klienta ACME oznacza przekroczenie limitu. Odpowiedź zawiera komunikat Retry-After z liczbą sekund, po których żądanie może zostać ponownie wysłane.

Obsługa problemów

W przypadku niepowodzenia w wydaniu certyfikatu pomimo pozytywnej weryfikacji kontroli nad domenami, zapoznaj się z przeprowadzanymi przez Certum automatycznymi weryfikacjami systemowymi.