Emissione immediata di certificati OV/EV

Questa guida al flusso di lavoro serve solo per gli ordini di certificato OV/EV. Per l’emissione di certificati immediati usati per gli ordini DV, vedere l’emissione immediata di certificati DV.

Quando si utilizza l’API per ordinare i certificati, ci vuole troppo tempo per aspettare l’emissione del certificato. Seguendo la procedura indicata in questa guida al flusso di lavoro, sarai in grado di trarre vantaggio dalla nostra funzione di emissione immediata, consentendoti di ricevere immediatamente il certificato emesso e ridurre le chiamate API fino al 70%.

Panoramica

Per sfruttare l’emissione immediata, è necessario soddisfare questi prerequisiti:

  • Il tuo account è configurato per approvare automaticamente le richieste o saltare il processo di richiesta.
  • L’organizzazione associata al certificato è pre-convalidata.
  • Tutti i domini da proteggere con il certificato sono pre-convalidati.
  • La chiave API usata per inviare l’ordine ha le autorizzazioni per approvare le richieste di certificato.

Quando tutti questi prerequisiti vengono soddisfatti, il tuo certificato emesso viene riportato nel corpo della risposta. Se manca uno qualsiasi di questi prerequisiti, non è possibile effettuare l’emissione immediata.

Impostazioni della fase di approvazione

Per impostazione predefinita, il tuo account CertCentral è configurato per le approvazioni della richiesta di certificato in una solo fase. Affinché l’emissione immediata del certificato funzioni, la fase di approvazione deve essere bypassata. Ciò può avvenire in uno di questi due modi:

  • Approva automaticamente le richieste di certificato: Gli ordini passano ancora per il processo di richiesta e sono visualizzati nel tuo elenco richieste.
  • Salta la fase di approvazione: Gli ordini saltano completamente la fase di approvazione e non vengono visualizzati nell’elenco richieste.

Poiché le modifiche di configurazione sopra indicate sono reciprocamente esclusive, dovrai decidere quale vuoi fare in base alle tue esigenze organizzative e di integrazione specifiche.

Entrambe le configurazioni consentono agli Amministratori e ai Manager di bypassare la fase di approvazione per le richieste di certificato OV. Tuttavia, per bypassare la fase di approvazione del certificato EV, l’utente collegato alla chiave API usata deve essere designato anche come approvatore EV.

Configura impostazioni

  1. Nel tuo account, nel menu della barra laterale, fai clic su Impostazioni > Preferenze.

  2. Nella pagina Preferenze divisioni, scorri verso il basso e fai clic su + Impostazioni avanzate.

  3. Sotto Richieste certificati, trova le opzioni Passaggi per l'approvazione.

  4. Per bypassare la fase di approvazione, scegli una di queste opzioni della fasi di approvazione:

    • Seleziona Passaggio uno: le richieste di certificato devono essere approvate, quindi seleziona Approva automaticamente le richieste di certificati quando il richiedente è anche un approvatore.
    • Seleziona Salta il passaggio per l'approvazione: rimuovi il passaggio per l'approvazione dai processi di ordine dei certificati.

  5. Al termine, fai clic su Salva Impostazioni.

Con la funzione Approva automaticamente richiesta abilitata, la fase successiva è pre-convalidare l’organizzazione e i domini sul certificato.

Se la tua organizzazione o i tuoi domini sono già stati pre-convalidati, puoi passare a Invia ordine certificato.

Pre-convalida organizzazione e domini

Aggiungi organizzazione

Prima di poter inviare un’organizzazione per la convalida, devi aggiungerne una al tuo account CertCentral. Tale operazione viene eseguita usando l’endpoint Crea organizzazione.

Questo esempio di corpo della richiesta aggiunge l’organizzazione al tuo account usando l’endpoint Crea organizzazione.

Request body 
{
    "name": "DigiCert, Inc.",
    "assumed_name": "DigiCert",
    "country": "us",
    "address": "2801 North Thanksgiving Way",
    "address2": "Suite 500",
    "city": "Lehi",
    "state": "ut",
    "zip": "84043",
    "telephone": "801-701-9600",
    "container": {
        "id": 123456
    },
    "organization_contact": {
        "first_name": "John",
        "last_name": "Smith",
        "job_title": "IT Admin",
        "email": "john.smith@digicert.com",
        "telephone": "801-701-9600"
    }
}
201 Created 
{
  "id": 112236
}

Il parametro id nel corpo della risposta contiene l’ID dell’organizzazione appena aggiunta. Userai questo numero nella fase successiva quando invii l’organizzazione per la convalida.

Convalida un’organizzazione

Con l’organizzazione aggiunta, sei pronto per inviarla per la convalida usando l’endpoint Organizzazione – Invio per la convalida.

Sostituisci il segnaposto {{organization_id}} all’URL endpoint con l’ID che è stato indicato nel corpo della risposta quando hai aggiunto l’organizzazione.

Questo esempio di coro della richiesta invia l’organizzazione per la convalida del certificato OV ed EV.

Request body 
{
  "validations": [
    {
      "type": "ov"
    },
    {
      "type": "ev",
      "verified_users": [
        {
          "id": 112233
        }
      ]
    }
  ]
}
204 No Content 
// empty

Aggiungi e convalida un dominio

Ripeti questa fase per ciascun dominio da proteggere con il certificato.

Ora sei pronto per aggiungere il tuo dominio e inviarlo per la convalida. Per pre-convalidare un dominio, usa l’endpoint Aggiungi dominio.

Questo esempio di corpo della richiesta aggiunge un dominio, lo assegna ad un’organizzazione e lo invia per la convalida di certificato OV ed EV. Inoltre, specifica il metodo DCV che vuoi usare per dimostrare il controllo sul dominio.

Request body 
{
    "name": "example.com",
    "organization": {
        "id": 112233
    },
    "validations": [
        {
            "type": "ov"
        },
        {
            "type": "ev"
        }
    ],
    "dcv_method": "email"
}
201 Created 
{
    "id": 123356,
    "validation_emails": {
        "name_scope": "example.com",
        "base_emails": [
            "postmaster@example.com",
            "administrator@example.com",
            "hostmaster@example.com",
            "admin@example.com",
            "webmaster@example.com"
        ],
        "whois_emails": [
            "domain-management@example.com"
        ]
    }
}

Dopo aver inviato il tuo dominio per la convalida, dovrai completare la DCV del dominio prima di poter eseguire l’emissione immediata.

Invia ordine di certificato

Tutti gli endpoint di invio ordine supportano l’emissione immediata del certificato (Ordina EV/OV SSL, Ordina Secure Site SSL, Ordina DV SSL).

Questo esempio di corpo della richiesta invia una richiesta di certificato usando l’endpoint Ordina EV/OV SSL. Poiché tutti i requisiti di emissione immediata sono stati soddisfatti, nel corpo della risposta viene fornita la catena dei certificati completa.

Quando si usa l’impostazione Salta la fase di approvazione, accertati di includere il skip_approval parametro con un valore di true. Consulta Best practice – Includi sempre parametro skip_approval per ulteriori informazioni.

Se manca uno qualsiasi dei prerequisiti, non sarà possibile effettuare l’emissione immediata. Anziché ricevere la catena dei certificati completa, riceverai il corpo di risposta invio ordine standard.

Request body 
{
  "certificate": {
    "common_name": "example.com",
    "dns_names": [
      "sub.example.com",
      "app.example.com"
    ],
    "csr": "<csr>",
    "server_platform": {
      "id": 45
    },
    "signature_hash": "sha256",
    "organization_units": [
      "Accounting department"
    ]
  },
  "validity_years": 2,
  "comments": "Message for the approver",
  "disable_renewal_notifications": true,
  "dcv_method": "email",
  "locale": "en",
  "payment_method": "balance",
  "skip_approval": true,
  "organization": {
    "id": 112233
  },
  "custom_fields": [
    {
      "metadata_id": 11,
      "value": "Invoice #00001"
    }
  ]
}
201 Created 
{
  "id": 112339,
  "certificate_id": 132345,
  "certificate_chain": [
    {
      "subject_common_name": "example.com",
      "pem": "<pem_certificate>"
    },
    {
      "subject_common_name": "DigiCert SHA2 Secure Server CA",
      "pem": "<pem_certificate>"
    },
    {
      "subject_common_name": "DigiCert Global Root CA",
      "pem": "<pem_certificate>"
    }
  ]
}

Informazioni

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.