Certum wspiera ACME w wersji v2, zgodne z RFC 8555.

Do obsługi ACME dostępny jest szereg klientów ACME. Przykładowa instrukcja postępowania jest prezentowana na przykładzie oprogramowania Certbot. Instrukcja ma jedynie charakter poglądowy i w celu wsparcia krok po kroku uruchomienia po stronie serwera implementacji opartej np. o oprogramowanie Certbot, prosimy o wykorzystanie dedykowanych materiałów instruktażowych i wsparcia, dostarczonych przez wydawcę danego klienta ACME. Dokumentacja oprogramowania Certbot jest dostępna pod adresem. https://eff-certbot.readthedocs.io/en/stable/using.html

Instalacja oprogramowania Certbot

• Pobierz i zainstaluj na serwerze klienta ACME np. Certbot, korzystając z oficjalnej instrukcji: https://certbot.eff.org/

Aktywacja certyfikatu z użyciem oprogramowania Certbot

• Rozpocznij rejestrację konta ACME w Certum poleceniem poniżej. Wartości kid i hmac uzupełnij zgodnie z danymi otrzymanymi w szczegółach certyfikatu Certum:
  
certbot register --server https://acme.certum.pl/directory/ --eab-kid z2r7_WC57nZWHvCbyjRV94y836hq19CWPLdU7naHaXXXXXXXXXXXXXXXXXX --eab-hmac-key ZjExMWNiNzQ1ZGI0NjE0MWU3ZjYwNDZjMzhhOGRiYjhmNjFlMjBjOGXXXXXXXXXXXXXXX

• Podaj adres e-mail konta w Certum z zamówionym produktem SSL, na które zostanie zarejestrowane konto w ACME
• Przeczytaj i potwierdź warunki użytkowania certyfikatów Certum
• W razie potrzeby, odpowiedz na dodatkowe pytania dotyczące przetwarzania danych konta ACME przez Certbot. Skutkiem powinno być potwierdzenie założenia konta
• Rozpocznij żądanie certyfikatu i wybierz metodę weryfikacji posiadania kontroli nad domenami dla których chcesz wydać certyfikat poleceniem:
  
certbot certonly --manual --key-type rsa --server https://acme.certum.pl/directory/ --preferred-challenges dns-01

  gdzie podając parametry, możesz dokonać wyboru:
  • opcji samego wydania certyfikatu, bez jego instalacji na serwerze przełącznikiem certonly
  • typu klucza przełącznikiem –key-type ustawionym na rsa lub ecdsa
  • manualnej weryfikacji domeny przełącznikiem –manual. Automatyczna weryfikacja domeny wymaga skonfigurowanego na serwerze domeny dodatku
  • metody weryfikacji domeny (typu challenga):  dns-01 lub http-01
• Podaj domeny do umieszczenia w certyfikacie. Certbot nie wspiera podawania adresów IP. W przypadku więcej niż jednej domeny, oddziel je spacją:
  
twojadomena.pl www.twojadomena.pl

• Wybierz opcję automatycznej weryfikacji kontroli nad domenami lub zweryfikuj manualnie posiadanie kontroli nad domenami, zgodnie z wyświetloną instrukcją. Umieść rekord w DNS domen lub plik na serwerze i potwierdź w konsoli gotowość do weryfikacji. Odczekaj na weryfikację i wydanie certyfikatu
• Pobierz certyfikat i klucz prywatny ze wskazanej przez Certbot lokalizacji. W przypadku opcji certonly, zainstaluj je na serwerze i rozpocznij używanie.

Uwaga: W przypadku dobiegania daty końca ważności wydanego certyfikatu, wykorzystanie opcji renew wyda certyfikat z datą końca ważności certyfikatu równą odnawianemu certyfikatowi, nawet jeśli zamówionym produktem SSL było odnowienie certyfikatu. W celu przedłużenia zabezpieczenia domeny certyfikatem, należy zamówić nowy produkt i aktywować dla niego nowy certyfikat.

Uwaga: Certum ogranicza liczbę żądań dla każdej operacji ACME, aby zapewnić wydajność i stabilność systemu. Limit jest obliczany dla każdego zamówienia produktu ACME w przypadku rejestracji kont ACME i żądań certyfikatów. Dodatkowo, pozostałe operacje są limitowane dla każdego adresu IP.

Otrzymanie kodu HTTP 429 w odpowiedzi klienta ACME oznacza przekroczenie limitu. Odpowiedź zawiera komunikat Retry-After z liczbą sekund, po których żądanie może zostać ponownie wysłane.

Obsługa problemów

W przypadku niepowodzenia w wydaniu certyfikatu pomimo pozytywnej weryfikacji kontroli nad domenami, zapoznaj się z przeprowadzanymi przez Certum automatycznymi weryfikacjami systemowymi.