1. Als Enterprise Admin unter dem Menüpunkt Enterprise den Tab ACME auswählen

2. Dort den Button „Create +“ betätigen

3. Unbedingt einen Friendly Name vergeben

• Erforderlich zur späteren Identifikation des Accounts in der Übersichtsliste
• Kann nicht nachträglich eingefügt oder geändert werden

4. Auswahl von SSL OV oder SSL DV

• Eigenschaften SSL OV:
  • Zertifikate mit Organisationsinformationen (O=Hochschule Musterstadt)
  • Für Domains, die in dem Enterprise gelistet sind
  • Domains benötigen eine aktuelle Validierung. Bedeutet konkret: Im UI liegt das Datum in der Spalte „Validity“ in der Zukunft.
  • Keine ACME Challenge
• Eigenschaften SSL DV:
  • Zertifikate ohne Organisationsinformationen
  • Für Domains, die in dem Enterprise gelistet sind
  • ACME Challenge, wenn die Domain keine aktuelle Validierung hat

• Kann nicht nachträglich geändert werden

5. Nach Betätigung des Buttons „Create“ schließt sich der Dialog

6. Nun muss der neue Account in der Liste aufgesucht und geöffnet werden

7. Unter dem Tab „Domains“ müssen Regeln hinzugefügt werden, für welche Subdomains oder FQDN Zertifikate ausgestellt werden sollen. Für eine neue Regel klicken Sie auf das „+“ links neben einer Domain. Es können Deny oder Allow-Regeln konfiguriert werden, um komplexe Szenarien abbilden zu können.

Ohne explizit hinzugefügte Regeln können keine Zertifikate ausgestellt werden.

8. Nach dem Hinzufügen der Regeln können im Tab „Details“ die ACME EAB Parameter abgelesen werden.

Ein Aufruf eines ACME-Clients geschieht beispielsweise mit:

  certbot certonly --standalone --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>

Ob im Rahmen der Ausstellung eine ACME-Challenge durchgeführt wird, hängt vom Typ des Accounts (SSl OV oder DV) und dem Valdierungsstatus der Domain ab.

Beim Registrieren des Accounts mit dem ACME-Client muss eine Mailadresse muss angegeben werden. Andernfalls antwortet HARICA mit einem Fehler.