OV/EV 中间证书颁发

该工作流程指南仅适用于 OV/EV 证书订单。要为 DV 订单使用直接颁发证书,请参阅直接颁发 DV 证书。

使用 API 订购证书时,经常需要花费许多时间等待颁发证书。按照此工作流指南中的步骤,您可以使用我们的直接颁发证书功能立即获取颁发的证书,并将您的 API 调用次数减少最多 70%。

概览

要使用直接颁发证书功能,必须满足以下先决条件:

  • 您的帐户已配置为自动批准请求或跳过请求流程。
  • 与证书相关的组织经过预验证。
  • 要使用证书进行保护的所有域经过预验证。
  • 用于提交订单的 API 密钥拥有批准证书请求的权限。

如果满足所有先决条件,将在响应主体中返回已颁发给您的证书。如果不满足任一先决条件,则不会立即颁发证书。

审批步骤设置

默认情况下,您的 CertCentral 帐户配置为一步证书请求审批。要使用立即颁发证书功能,需要绕过审批步骤。可以通过以下其中一种方式完成:

  • 自动批准证书请求:订单仍然执行请求流程并显示在您的请求列表中。
  • 跳过审批步骤:订单完全跳过审批步骤,并且不显示在请求列表中。

由于以上配置更改只能任选其一,因此您需根据您的特定集成和组织需要,决定选择哪一种方式。

两种配置都允许管理员和管理绕过 OV 证书请求的审批步骤。但是,要绕过 EV 证书审批步骤,与所使用的 API 密钥关联的用户也必须指定为 EV 审批者。

配置设置

  1. 在您的帐户的侧栏菜单中,单击设置 > 首选项

  2. 分区首选项页面,向下滚动并单击 +高级设置

  3. 证书请求下,找到审批步骤选项。

  4. 要绕过审批步骤,请选择以下其中一个审批步骤选项:

    • 选择一个步骤:必须对证书请求进行审批,然后选中当请求者也是审批者时自动批准证书请求
    • 选择跳过审批步骤:移除证书订购流程中的审批步骤
  5. 完成后,单击保存设置

启用自动批准请求功能后,下一步是预填充证书上的组织和域。

如果已经预填充您的组织和域,可以调至提交证书订单

预填充组织和域

添加组织

提交组织进行验证之前,您需向您的 CertCentral 帐户添加一个组织。可以通过使用创建组织端点完成。

该示例请求主体使用“创建组织”端点向您的帐户添加组织。

Request body
{
    "name": "DigiCert, Inc.",
    "assumed_name": "DigiCert",
    "country": "us",
    "address": "2801 North Thanksgiving Way",
    "address2": "Suite 500",
    "city": "Lehi",
    "state": "ut",
    "zip": "84043",
    "telephone": "801-701-9600",
    "container": {
        "id": 123456
    },
    "organization_contact": {
        "first_name": "John",
        "last_name": "Smith",
        "job_title": "IT Admin",
        "email": "john.smith@digicert.com",
        "telephone": "801-701-9600"
    }
}
201 Created
{
  "id": 112236
}

响应主体中的 id 参数包含新添加组织的 ID。当您在下一步提交组织进行验证时,将使用此编号。

验证组织

添加组织后,您可以准备使用组织 - 提交以进行验证端点提交组织进行验证。

将端点 URL 中的 {{organization_id}} 占位符替换为当您添加组织时在响应主体中返回的 ID。

该示例请求主体提交组织进行 OV 和 EV 证书认证。

Request body
{
  "validations": [
    {
      "type": "ov"
    },
    {
      "type": "ev",
      "verified_users": [
        {
          "id": 112233
        }
      ]
    }
  ]
}
204 No Content
// empty

添加并验证域

为每个需要证书保护的域重复此步骤。

您现在可以准备添加域并提交以进行验证。要预填充域,请使用添加域端点。

该示例请求主体添加域、将域分配给组织并提交以进行 OV 和 EV 证书验证。它还指定您要用于证明对域的控制权的 DCV 方法。

Request body
{
    "name": "example.com",
    "organization": {
        "id": 112233
    },
    "validations": [
        {
            "type": "ov"
        },
        {
            "type": "ev"
        }
    ],
    "dcv_method": "email"
}
201 Created
{
    "id": 123356,
    "validation_emails": {
        "name_scope": "example.com",
        "base_emails": [
            "postmaster@example.com",
            "administrator@example.com",
            "hostmaster@example.com",
            "admin@example.com",
            "webmaster@example.com"
        ],
        "whois_emails": [
            "domain-management@example.com"
        ]
    }
}

提交域以进行验证后,您需完成域的 DCV 后才能立即颁发证书。

提交证书订单

所有提交订单端点均支持立即颁发证书(订购 EV/OV SSL,订购 Secure Site SSL,订购 DV SSL)。

该示例请求主体使用订购 EV/OV SSL 端点发送证书请求。由于满足所有立即颁发证书要求,在响应主体中将返回完整证书链。

使用跳过审批步骤设置时,请确保包括 skip_approval 参数,值为 true。请参阅最佳实践 - 始终包括 skip_approval 参数了解更多信息。

如果不满足任一先决条件,则不会立即颁发证书。您不会收到完整证书链,而是收到标准提交订单响应主体

Request body
{
  "certificate": {
    "common_name": "example.com",
    "dns_names": [
      "sub.example.com",
      "app.example.com"
    ],
    "csr": "<csr>",
    "server_platform": {
      "id": 45
    },
    "signature_hash": "sha256",
    "organization_units": [
      "Accounting department"
    ]
  },
  "validity_years": 2,
  "comments": "Message for the approver",
  "disable_renewal_notifications": true,
  "dcv_method": "email",
  "locale": "en",
  "payment_method": "balance",
  "skip_approval": true,
  "organization": {
    "id": 112233
  },
  "custom_fields": [
    {
      "metadata_id": 11,
      "value": "Invoice #00001"
    }
  ]
}
201 Created
{
  "id": 112339,
  "certificate_id": 132345,
  "certificate_chain": [
    {
      "subject_common_name": "example.com",
      "pem": "<pem_certificate>"
    },
    {
      "subject_common_name": "DigiCert SHA2 Secure Server CA",
      "pem": "<pem_certificate>"
    },
    {
      "subject_common_name": "DigiCert Global Root CA",
      "pem": "<pem_certificate>"
    }
  ]
}