Die Laufzeit von OV-/EV-Zertifikaten besteht aus diesen Hauptphasen:
Sobald ein Zertifikat ausgestellt wurde, haben Sie folgende Möglichkeiten:
Um den Text ihres Antrags zu verfassen und eine Bestellung abzugeben, benötigen Sie einige Schlüsselinformationen:
Sobald Sie den/die Domänenname(n) zusammengestellt haben, die durch das Zertifikat geschützt werden sollen, sollten Sie in einen der beiden Antragtextparameter eingetragen werden.
Parameter | Typ | Beschreibung |
---|---|---|
common_name
|
Zeichenfolge | Die primäre Domäne, die durch das Zertifikat geschützt werden soll. |
dns_names
|
Array |
Alle weiteren Domänen, die durch das Zertifikat geschützt werden sollen. Das Hinzufügen von Domänen zu diesem Parameter kann zusätzliche Kosten verursachen. |
Alle OV-/EV-Zertifikatsaufträge erlauben Ihnen, kostenlos einen bestimmten zusätzlichen SAN auf Single-Domain-Zertifikaten einzubeziehen. Bei der Abfassung des Antragstexts fügen Sie die Basisdomäne ([your-domain].com) zu dem common_name
-Parameter und anschließend die andere Version der Domäne (www.[your-domain].com) zu dem dns_names
-Array hinzu.
Der CSR (Certificate Signing Request) sollte auf dem Server generiert werden, auf dem das Zertifikat installiert werden soll. Sobald er generiert ist, geben Sie den PEM-formatierten CSR in den csr
-Parameter im Antragstext ein. Siehe Erstellen eines CSR (Certificate Signing Request).
Bei der Bestellung eines Zertifikats müssen Sie angeben, wie lange das Zertifikat gültig sein soll. Sie können jeden dieser Parameter verwenden, um zu bestimmen, wie lange ein Zertifikat gültig ist.
Parameter | Typ | Beschreibung |
---|---|---|
validity_years
|
Int |
Verwenden Sie diesen Parameter bei der Angabe der Gültigkeitsdauer des Zertifikats in Jahren. Zulässige Werte: 1 , 2
|
validity_days
|
Int | Verwenden Sie diesen Parameter bei der Angabe der Gültigkeitsdauer des Zertifikats in Tagen. |
custom_expiration_date
|
Zeichenfolge |
Mit diesem Parameter geben Sie ein bestimmtes Datum, an dem das Zertifikat ablaufen soll. Format: yyyy-MM-dd
|
Falls es mehr als einen Gültigkeitsparameter in dem Antrag gibt, priorisieren wir diese wie folgt: custom_expiration_date
> validity_days
> validity_years
.
Die standardmäßige DCV-Methode für Bestellungen von EV-Zertifikaten ist DCV per E-Mail. Auf Wunsch können Sie die Standard-DCV-Methode ändern, indem Sie den dcv_method
-Parameter in den Antragstext aufnehmen. Der dcv_method
-Parameter akzeptiert diese Werte:
Wert | Beschreibung |
---|---|
email
|
Sendet DCV-E-Mails an eine jede E-Mail-Adresse (z. B. an Administratoren und technische Ansprechpartner), die wir im WHOIS-Eintrag der Domäne finden sowie an die fünf konstruierten E-Mail-Adressen für die Domäne (admin, administrator, webmaster, hostmaster und postmaster @[domain_name]). Bei Verwendung dieser Methode können Sie einen bestimmten E-Mail-Umfang definieren, indem Sie das dcv_emails -Objekt einbeziehen.
|
dns-cname-token
|
Gibt ein Token mit einem Zufallswert im Antworttext zurück, der zu einem DNS-CNAME-Eintrag für die Domäne hinzugefügt werden muss. Diese Methode erfordert, die Fähigkeit zum Ändern von Domänen-DNS-Einträgen. |
dns‑txt‑token
|
Gibt ein Token mit einem Zufallswert im Antworttext zurück, der zu einem DNS-TXT-Eintrag für die Domäne hinzugefügt werden muss. Diese Methode erfordert, die Fähigkeit zum Ändern von Domänen-DNS-Einträgen. |
http‑token
|
Gibt ein Token mit einem Zufallswert im Antworttext zurück, der zu einer TXT-Datei auf der Website platziert werden muss, die durch das Zertifikat geschützt werden soll. Diese Methode setzt voraus, dass Sie Dateien auf den Webserver hochladen können. |
Siehe Nachweis der Kontrolle über Domänen in einem anhängigen Zertifikatsauftrag für weitere Informationen über die verschiedenen DCV Methoden.
Bei der Verwendung der E-Mail-DCV-Methode ist es möglich,die E-Mail-Adressen anzugeben, die für das Senden der DCV-E-Mails verwendet werden sollen. Nehmen Sie dazu das dcv_emails
-Array in den Antragstext auf, und fügen Sie für jede Domäne in dem Auftrag einen Eintrag hinzu.
Bei Verwendung dieses Parameters müssen die eingegebenen E-Mail-Adressen im WHOIS-Eintrag der Domäne angegeben sein oder zu den Standard-E-Mail-Adressen für die Domäne gehören (gemäß Branchenstandard definiert als: admin, administrator, webmaster, hostmaster und/oder postmaster@[domain_name]). Darüber hinaus werden wir die DCV-E-Mail nur an die angegebenen Adressen senden.
Wenn Sie zum Beispiel john.doe@[domain_name], angeben, werden wir die DCV-E-Mails an keine der Standard-E-Mail-Adressen senden. Oder wenn Sie admin@[domain.com], angeben, werden wir die DCV-E-Mail nicht an john.doe@ senden[domain_name].
"dcv_emails": [
{
"dns_name": "example.com",
"email_domain": "example.com",
"email": "hostname@example.com"
},
{
"dns_name": "my.example.com",
"email_domain": "example.com",
"email": "admin@example.com"
},
{
"dns_name": "another.example.com",
"email_domain": "example.com",
"email": "admin@example.com"
}
]
Nachdem Sie nun die obigen Informationen gesammelt haben, können Sie Ihren Antragstext verfassen und senden Sie Ihre Bestellung senden. Dies geschieht anhand eines POST an den Endpunkt OV-/EV-SSL bestellen. Beachten Sie, dass die Secure Site-Produktlinie über einen separaten Endpunkt bestellt wird.
Organisationsdetails und -kontakt werden hier im organization
-Objekt übermittelt. Falls das Unternehmen bereits über eine zugewiesene ID verfügt, können Sie sie einfach mit der Zeichenfolge id
übergeben, anstatt die vollständigen Unternehmensdaten bereitzustellen.
Ein erfolgreicher POST an diesen Endpunkt führt zu einem 201 Created-HTTP-Antwortcode. Der Antworttext enthält einige wichtige Informationen, die verwendet werden, um den Status des Auftrags zu überprüfen und das Zertifikat herunterzuladen sobald es ausgestellt wurde.
id
– Die Auftrags-ID zur Überprüfung der Auftragsdetails und Durchführung der DCV-Maßnahmen.certificate_id
– Die Zertifikats-ID um das ausgestellte Zertifikat herunterzuladen.dcv_random_value
– Ein zufällig generiertes Token für die DCV-Methoden DNS-TXT-Token und HTTP-Token. Dieses Token ist 30 Tage gültig.Weitere Informationen über die einzelnen Parameter im Antragstext finden Sie in der Tabelle OV-/EV-SSL bestellen – Antragsparameter.
curl -X POST \
'https://www.digicert.com/services/v2/order/certificate/{{ssl_certificate_id}}' \
-H 'Content-Type: application/json' \
-H 'X-DC-DEVKEY: {{api_key}}' \
-d '{
"certificate": {
"common_name": "example.com",
"dns_names": [
"sub.example.com",
"app.example.com"
],
"csr": "<csr>",
"server_platform": {
"id": 45
},
"signature_hash": "sha256",
"organization_units": [
"Accounting department"
]
},
"validity_years": 2,
"comments": "Message for the approver",
"disable_renewal_notifications": true,
"locale": "en",
"dcv_emails": [
{
"dns_name": "example.com",
"email_domain": "example.com",
"email": "hostname@example.com"
},
{
"dns_name": "sub.example.com",
"email_domain": "example.com",
"email": "admin@example.com"
},
{
"dns_name": "app.example.com",
"email_domain": "example.com",
"email": "admin@example.com"
}
]
"payment_method": "balance",
"organization": {
"name": "Epigyne Unwieldiness llc",
"assumed_name": "Epigyne Unwieldiness",
"country": "us",
"address": "932 Prospect Street",
"address2": "Floor 08",
"city": "Minneapolis",
"state": "mn",
"zip": "40849",
"telephone": "666-186-6450",
"container": {
"id": 93288
},
"organization_contact": {
"first_name": "Gia",
"last_name": "Booth",
"job_title": "Clinical Laboratory Technician",
"email": "gia.booth@inbox.com",
"telephone": "666-186-6450",
"telephone_extension": "736"
}
},
"custom_fields": [
{
"metadata_id": 11,
"value": "Invoice #00001"
}
]
}'
{
"id": 112233,
"certificate_id": 123456
}
{
"id": 112233,
"certificate_id": 123456,
"dcv_random_value": "icru1984rnekfj"
}
Nach dem Absenden der Bestellung können Sie den Endpunkt Auftragsinfo verwenden, um Auftragsdetails zu bekommen und die gesendeten Informationen zu überprüfen.
Es mag vorkommen, dass Sie nach der Bestellung eines Zertifikats diese wieder stornieren müssen. Um eine Bestellung zu stornieren, müssen Sie den Status von „Anhängig“ zu „Storniert“ ändern. Dies geschieht anhand eines PUT an den Endpunkt Auftragsstatus aktualisieren.
Ein erfolgreicher PUT an diesen Endpunkt führt zu einem 204 No content-HTTP-Antwortcode.
Der status
-Parameter erlaubt nur den Wert von CANCELED
(großgeschrieben).
curl -X PUT \
'https://www.digicert.com/services/v2/order/certificate/{{order_id}}/status' \
-H 'Content-Type: application/json' \
-H 'X-DC-DEVKEY: {{api_key}}' \
-d '{
"status": "CANCELED",
"note": "Message about the cancellation."
}'
// empty
Nach der Übermittlung der OV-/EV-Bestellung, müssen Sie die Kontrolle über die Domänen in dem Auftrag nachweisen.
Unabhängig von der gewählten DCV-Methode müssen Sie die DCV für jede Domäne, die durch das Zertifikat geschützt werden soll, abschließen. Wenn Sie zum Beispiel die dns-txt-token
-Methode gewählt haben, müssen Sie für jede Domäne im Auftrag einen DNS-TXT-Eintrag erstellen.
Falls das dcv_emails
-Array in den Antworttext aufgenommen wurde, werden die DCV-E-Mails an die Adressen gesendet, die im Array definiert sind. Anderenfalls werden DCV-E-Mails an diese Adressen gesendet:
Zum Abschluss der DCV per E-Mail suchen Sie in Ihrem E-Mail-Client-Posteingang die E-Mail mit dem Betreff [Maßnahme erforderlich] Zertifikatsantrag genehmigen für [yourdomain] {Auftrag Nr.} und befolgen Sie die Anweisungen.
Falls Sie die DCV-E-Mails für eine eingereichte Bestellung erneut senden müssen, können Sie den Endpunkt E-Mails erneut senden (ersetzen Sie den {{order_id}}Platzhalter durch die Auftrags-ID, die im Antworttext zurückgegeben wurde, als Sie die Bestellung aufgegeben haben).
Führen Sie die folgenden Schritte aus, um die DNS-CNAME-DCV abzuschließen und die Kontrolle über Ihre Domänen nachzuweisen:
dcv_random_value
, der generiert wurde, als Sie die Bestellung aufgegeben haben. Für OV/EV-Aufträge können Sie diesen Wert mit dem Domänenendpunkt einschließlich der URL-Abfragezeichenfolge include_dcv=true abrufen.Sobald Sie den DNS-CNAME-Eintrag für alle Domänen im Auftrag hinzugefügt haben, können wir die CNAME-Einträge überprüfen.
Führen Sie die folgenden Schritte aus, um die DNS-TXT-DCV abzuschließen und die Kontrolle über Ihre Domänen nachzuweisen:
dcv_random_value
, der generiert wurde, als Sie die Bestellung aufgegeben haben. Für OV/EV-Aufträge können Sie diesen Wert mit dem Domänenendpunkt einschließlich der URL-Abfragezeichenfolge include_dcv=true abrufen.Sobald Sie den DNS-TXT-Eintrag für alle Domänen im Auftrag hinzugefügt haben, können wir die TXT-Einträge überprüfen.
Führen Sie die folgenden Schritte aus, um die HTTP-Token-DCV abzuschließen und die Kontrolle über Ihre Domänen nachzuweisen:
Sobald für jede Domäne im Auftrag der Zufalls-Token zum DNS-TXT-Eintrag hinzugefügt (DNS-TXT-Methode) oder die Datei fileauth.txt an die angegebenen Position hochgeladen wurde (HTTP-DCV-Methode), sind Sie bereit für die DCV-Prüfung. Dies geschieht über die Detailseite des Auftrags in CertCentral.
Klicken Sie im Abschnitt Auftragsstatus der Seite auf jede Domäne, bei der die DCV anhängig ist, und dann auf "Überprüfen", um die DCV-Methode zu überprüfen und zu bestätigen.
Zusätzlich zur Domänenvalidierung erfordern alle OV/EV-Aufträge eine Validierung des Unternehmens. Sobald ein Auftrag übermittelt wird, beginnt das Validierungsteam von DigiCert an der OV-/EV-Validierung zu arbeiten.
Sowohl die Organisations- als auch die Domänenvalidierung müssen abgeschlossen sein, bevor das Zertifikat ausgestellt werden kann.
Sie können den aktuellen Validierungsstatus einer Organisation mit einem GET an den Endpunkt Validierungsdetails der Organisation überprüfen.
Ein erfolgreicher GET an diesen Endpunkt führt zu einem 200 OK-HTTP-Antwortcode.
curl -X GET \
'https://www.digicert.com/services/v2/organization/{{organization_id}}/validation' \
-H 'Content-Type: application/json' \
-H 'X-DC-DEVKEY: {{api_key}}'
{
"validations": [
{
"type": "ov",
"name": "OV",
"description": "Normal Organization Validation",
"status": "pending"
},
{
"type": "ev",
"name": "EV",
"description": "Extended Organization Validation (EV)",
"status": "pending",
"verified_users": [
{
"id": 12,
"first_name": "John",
"last_name": "Smith"
}
]
}
]
}
Nach der Erteilung Ihres Auftrags und dem Abschluss der DCV für jede Domäne möchten Sie sicher wissen, wann sich der Auftragsstatus ändert und das Zertifikat heruntergeladen werden kann. Das geht am besten mit einem GET an den Endpunkt Statusänderungsliste.
Auf einen GET an diesen Endpunkt sind drei Antworten möglich:
orders
-Array) – Das Aufträge-Array listet alle Aufträge, die im vorgegebenen Zeitrahmen ihren Status geändert haben. Falls sich der Status Ihres Auftrags von „anhängig“ zu „ausgestellt“ geändert hat, wird er in der Liste angezeigt. Falls mehrere Aufträge zurückgegeben werden, verwenden Sie entweder die Auftrags-ID oder die Zertifikats-ID, um den Auftrag zu lokalisieren.{}
) bedeutet, dass sich bei keinem Auftrag der Status im vorgegebenen Zeitrahmen geändert hat. Erweitern Sie entweder den Zeitrahmen oder warten Sie und senden Sie später einen neuen Antrag.time_frame_too_long
-Fehlercode bedeutet, dass der in der URL-Abfragezeichenfolge vorgegebene Zeitrahmen den Höchstwert überschreitet. Reduzieren Sie den Zeitrahmen auf einen Wert unter 10080 Minuten (7 Tage).curl -X GET \
'https://www.digicert.com/services/v2/order/certificate/status-changes?minutes=10' \
-H 'Content-Type: application/json' \
-H 'X-DC-DEVKEY: {{api_key}}'
{
"orders": [
{
"order_id": 112233,
"certificate_id": 123456,
"status": "issued"
}
]
}
{}
{
"errors": [
{
"code": "time_frame_too_long",
"message": "An error occurred while processing your request."
}
]
}
Sobald sich der Auftragsstatus von „anhängig“ zu „ausgestellt“ ändert, können Sie Ihr Zertifikat herunterladen. Es gibt vier Endpunkte, um Ihr Zertifikat herunterzuladen:
Bei der Neuausstellung eines Zertifikats können Sie Domänennamen hinzufügen, entfernen oder vertauschen, den CSR aktualisieren oder den Signatur-Hashwert eines Zertifikats ohne eine neue Bestellung ändern. Ein neuausgestelltes Zertifikat erhält eine neue Zertifikats-ID, behält jedoch dieselbe Auftrags-ID. Nachdem eine Neuausstellung genehmigt wurde, wird ein neues Zertifikat ausgestellt und muss neu installiert werden.
Für die Neuausstellung eines Zertifikats benötigen Sie diese Daten:
Selbst wenn sich einige der obigen Angaben nicht ändern, müssen Sie sie in dem Antrag auf Neuausstellung angeben.
Beachten Sie, dass bestimmte Änderungen, z. B. das Hinzufügen zusätzlicher SANs ('dns_names') zusätzliche Kosten verursachen kann.
Die Durchführung einer DCV kann für einige oder alle Domänen notwendig sein.
Der Endpunkt Zertifikat neuausstellen akzeptiert die folgenden optionalen Parameter:
curl -X POST \
'https://www.digicert.com/services/v2/order/certificate/{{order_id}}/reissue' \
-H 'Content-Type: application/json' \
-H 'X-DC-DEVKEY: {{api_key}}' \
-d '{
"certificate": {
"common_name": "example.com",
"dns_names": [
"sub.example.com"
],
"csr": "<csr>",
"server_platform": {
"id": 2
},
"signature_hash": "sha256"
"skip_approval": true
}
}'
{
"id": 112233,
"requests": [
{
"id": 332211
}
]
}
{
"id": 112233,
"certificate_id": 111112
}
Nach Abschluss einer Neuausstellung können Sie das neue Zertifikat herunterladen (siehe Zertifikat herunterladen).
Anhand des Endpunkts Neuausstellungen auflisten können Sie für einen Auftrag einen vollständigen Neuausstellungsverlauf abrufen.
Sobald Ihr Auftrag ausgestellt wurde, können Sie bei Bedarf einen Widerrufsantrag stellen.
Alle Widerrufsanträge müssen von einem Administrator in CertCentral genehmigt werden, bevor DigiCert das Zertifikat widerruft. Dieser Genehmigungsschritt ist erforderlich und darf nicht übersprungen werden.
Zum Widerrufen eines Zertifikats können Sie einen der beiden Endpunkte verwenden:
Beide Endpunkte verwenden die gleiche Antragstextparameter.
Nach dem Absenden des Widerrufsantrags muss der Antrag durch einen Administrator mithilfe des Endpunkts Antragsstatus aktualisieren genehmigt werden.
curl -X PUT \
'https://www.digicert.com/services/v2/certificate/{{certificate_id}}/revoke' \
-H 'Content-Type: application/json' \
-H 'X-DC-DEVKEY: {{api_key}}' \
-d '{
"comments": "I no longer need this cert."
}'
{
"id": 1,
"date": "2016-02-10T17:06:15+00:00",
"type": "revoke",
"status": "pending",
"requester": {
"id": 14,
"first_name": "John",
"last_name": "Smith",
"email": "john.smith@digicert.com"
},
"comments": "I no longer need this cert."
}