1. Als Enterprise Admin unter dem Menüpunkt Enterprise den Tab ACME auswählen

2. Dort den Button „Create +“ betätigen

3. Unbedingt einen Friendly Name vergeben

• Erforderlich zur späteren Identifikation des Accounts in der Übersichtsliste
• Kann nicht nachträglich eingefügt oder geändert werden

4. Auswahl von SSL DV oder SSL OV

• Eigenschaften siehe oben
• Kann nicht nachträglich geändert werden

5. Nach Betätigung des Buttons „Create“ schließt sich der Dialog

6. Nun muss der neue Account in der Liste aufgesucht und geöffnet werden

7. Unter dem Tab „Domains“ müssen Regeln hinzugefügt werden, für welche Subdomains oder FQDN Zertifikate ausgestellt werden sollen. Für eine neue Regel klicken Sie auf das „+“ links neben einer Domain. Es können Deny oder Allow-Regeln konfiguriert werden, um komplexe Szenarien abbilden zu können.

Ohne explizit hinzugefügte Regeln können keine Zertifikate ausgestellt werden.

8. Nach dem Hinzufügen der Regeln können im Tab „Details“ die ACME EAB Parameter abgelesen werden.

Ein Aufruf eines ACME-Clients geschieht beispielsweise mit:

  certbot certonly --standalone --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>

Im Rahmen der Ausstellung muss keine ACME-Challenge beantwortet werden. Es ist keine Änderung am DNS und kein Kontakt per HTTP zwischen CA und Webserver notwendig.

Beim Registrieren des Accounts mit dem ACME-Client muss eine Mailadresse muss angegeben werden. Andernfalls antwortet HARICA mit einem Fehler.