Cosa è ACME
ACME (Automatic Certificate Management Environment) è un protocollo di comunicazione che permette di automatizzare le operazioni relative ai Certificati SSL DV Single Host e SAN, come ad esempio:
- generazione della CSR,
- validazione dei domini,
- download del Certificato,
- installazione del Certificato sul sito web
- richiesta di rinnovo del Certificato.
Tutte queste attività possono infatti essere svolte in modo completamente automatico usando un client apposito, dopo aver attivato il servizio ACME dall'area clienti.
Chi può attivare ACME
ACME può essere attivato
solo per i Certificati DV di tipo:
- Single Host, cioè quelli per cui è stata selezionata l'opzione Dominio singolo durante l'acquisto;
- SAN, ovvero quelli per cui è stata selezionata l'opzione Fino a 5 siti web durante l'acquisto.
Come attivare ACME
Una volta terminata la procedura di acquisto del Certificato SSL DV di tipo Single Host ("Dominio singolo") o SAN ("Fino a 5 siti web") è necessario seguire gli step riportati qui sotto.
passo 1
|
|
|
Verificare
di avere i requisiti necessari, ovvero:
- di essere in possesso di un accesso amministrativo (come root o administrator) al server su cui verrà installato il Certificato SSL;
- che il server su cui verrà installato il Certificato SSL permetta chiamate entranti in HTTP/HTTPS provenienti dalla CA di Actalis;
- che tra i metodi di pagamento nell'area clienti sia impostato un pagamento online (PayPal o carta di credito)
- che ci sia un pagamento predefinito (per informazioni cliccare qui).
|
|
|
|
|
passo 2
|
|
|
Richiedere l'attivazione di ACME
- accedere all'area clienti, seguendo la guida dedicata;
- cliccare sulla sezione Servizi;
- dal menu laterale sulla sinistra cliccare sulla voce Gestione con ACME;
- selezionare la casella di accettazione relativa al testo presa visione delle condizioni di fornitura e delle clausole.
|
|
|
|
|
passo 3
|
|
|
Installare il client
partendo dall'area clienti, sempre nella sezione Gestione con ACME, a seconda del sistema operativo del server su cui sarà installato il Certificato:
- per Linux: cliccare su Client ACME raccomandato per Linux (si verrà rimandati al sito ufficiale del client Certbot);
- per Windows: cliccare su Client ACME raccomandato per Windows (si verrà rimandati al sito ufficiale del client Win-Acme): è consigliabile installare il client al percorso "programfiles\win-acme".
|
|
|
|
|
passo 4
|
|
|
Richiedere il Certificato
usando il command prompt del server su cui installarlo:
- su Linux: aprire una shell con utenza root e poi lanciare il comando: sostituendo con il nome del dominio o dei sottodomini, l'indirizzo email con il proprio, i parametri KID e KEY con il KID e KEY recuperati dal codice copiato dall'area clienti, dal menu laterale sulla sinistra Gestione con ACME, nell'area Utenze ACME.?
- per un Certificato DV di tipo Single Host:
certbot --apache --server https://acme-api.actalis.com/acme/directory --eab-kid KID --eab-hmac-key KEY -d www.example.com --agree-tos -m [email protected] --no-eff-email
- per un Certificato DV di tipo SAN (multi dominio), è sufficiente aggiungere ulteriori opzioni -d seguito dai rispettivi domini aggiuntivi:
certbot --apache --server https://acme-api.actalis.com/acme/directory --eab-kid KID --eab-hmac-key KEY -d www.example.com -d example.com -d ftp.example.com --agree-tos -m [email protected] --no-eff-email
- su Windows, aprire powershell come amministratore;
- per un Certificato DV di tipo Single Host:
wacs --source iis --installation iis --siteid SITEID --baseuri "https://acme-api.actalis.com/acme/directory" --eab-key-identifier "KID" --eab-key "KEY" --accepttos --emailaddress [email protected]
- per un Certificato DV di tipo SAN (multidominio) il dominio dovrà essere configurato su IIS così da gestire più domini; il comando da utilizzare è:
wacs --source iis --siteid s --baseuri "https://acme-api.actalis.com/acme/directory" --eab-key-identifier "KID" --eab-key "KEY" --accepttos --emailaddress [email protected] --installation iis --nocache
Se esistono più SITEID definiti sul server IIS, questo comando potrebbe non funzionare o portare al risultato sbagliato: in questo caso si deve impostare il corretto valore del SITEID oppure lanciare Win-Acme in modo interattivo (dando il comando wacs.exe senza parametri).
Dai comandi sopra indicati sostituire l'indirizzo email con il proprio, il SITEID con l'identificativo del sito su IIS, i parametri KID e KEY con il KID e KEY recuperati dal codice copiato dall'area clienti (dal menu laterale sulla sinistra Gestione con ACME, nell'area Utenze ACME).
|
|
|
|
passo 5
|
|
|
Verificare l'attivazione del Certificato con ACME
dall'area clienti; per farlo:
- accedere all'area clienti, seguendo la guida dedicata;
- cliccare sulla sezione Servizi;
- dal menu laterale sulla sinistra cliccare sulla voce Certificati SSL;
- verificare che per il Certificato in questione sia presente l'etichetta ACME sotto la voce Tipo attivazione.
A questo punto è necessario:
- visualizzare il sito web dal browser;
- verificare la presenza del lucchetto sulla sinistra, accanto all'indirizzo del sito e che il Certificato risulti essere stato emesso da Actalis.
|
|
|
Ci sono più modi per registrare l'utente e richiedere Certificati con ACME, anche utilizzando gli stessi client: questa guida non intende essere esaustiva in tal senso ma solo dare un aiuto concreto a chi non possiede le conoscenze tecniche necessarie alla gestione del servizio.
FAQ
Sì, è possibile ma solo se tra i metodi di pagamento nell'area clienti è impostato un pagamento online predefinito (PayPal o carta di credito): per informazioni
cliccare qui.
Una delle funzionalità più apprezzate del protocollo ACME è la possibilità di rinnovare automaticamente il Certificato SSL a cui è associato.
Per rinnovare un Certificato con ACME è necessario che:
- tra i metodi di pagamento nell'area clienti sia impostato un pagamento online (PayPal o carta di credito)
- ci sia un pagamento predefinito (per informazioni cliccare qui).
Se queste due condizioni saranno soddisfatte in concomitanza della scadenza del Certificato, il sistema procederà al rinnovo automatico del servizio.
In questo modo tutte le funzionalità relative al protocollo ACME saranno gestibili dal client ACME già installato sul server.
In caso di errore è necessario attendere qualche minuto e successivamente:
- accedere all'area clienti, seguendo la guida dedicata;
- cliccare su Account;
- selezionare Storico ordini;
- verificare se è presente un ordine con data di creazione successiva alla data in cui è stato ricevuto l'errore:
- se è presente:
- verificare che il metodo di pagamento online (PayPal o carta di credito) impostato in area clienti abbia un credito tale da coprire il costo del servizio; se così non fosse, ricaricare il credito o aggiornare il metodo di pagamento, inserendone uno valido; cliccare infine sul pulsante Paga;
- verificare che l'ordine risulti pagato;
- lanciare nuovamente il comando riportato al passo 4 di questa guida.
- se non è presente: lanciare nuovamente il comando riportato al passo 4 di questa guida.