Ob Personal EAB Accounts generell in einem Enterprise zur Verfügung stehen oder nicht, kann konfiguriert werden. Die Konfiguration gilt für das gesamte Enterprise, es gibt keine Steuerung für individuelle User.

Zur Konfiguration muss ein Enterprise Admin unter dem Menüpunkt „Enterprise→Admin“ die eigene Einrichtung aufrufen.

Anschließend oben rechts das „Etikett“-Symbol anklicken, und #ACME-Personal aktivieren.

Wenn die Freischaltung von Personal EAB Accounts rückgängig gemacht wird, gilt folgendes:

• Alle ausgestellten Zertifikaten in den bestehenden Personal EAB Accounts bleiben gültig
• Die User sehen in ihrem Dashboard den Eintrag ACME nicht mehr
• Beim Versuch, die Credentials zu verwenden, erhalten die User eine Fehlermeldung (dies gilt auch für automatische Zertifikatverlängerungen!)

An unexpected error occurred:

  ACME Personal not enabled for Organization

Wenn erst freigeschaltet, dann rückgängi gemacht, und dann wieder freigeschaltet wird, gilt:

• Alle Personal EAB Accounts, die in Schritt 1 angelegt wurden, sind wieder gültig und können für die Ausstellung von Zertifkaten verwendet werden.

Die Personal ACME Accounts können von jedem User im System über den Punkt „ACME“ im linken Seitenmenü verwaltet werden.

1. Der Button Create+ erzeugt einen Account.

2. Aufruf des neuen Accounts in der Liste klappt die Details auf. Dort können die Parameter Key ID, HMAC Key und Server URL abgelesen werden, die für die Verwendung mit einem ACME Client benötigt werden.

Ein Aufruf eines ACME-Clients geschieht beispielsweise mit (Beispiel mit HTTP-Validierung über einen bereits laufenden Webserver mit Dokumenten-Root in /var/www):

  certbot certonly --webroot --webroot-path /var/www --non-interactive --agree-tos --email <eigene Mailadresse> --eab-kid <Key ID> --eab-hmac-key <HMAC Key> --server <Server URL> --domain <FQDN des Zertifikats>

Zur Ausstellung des Zertifikats muss eine ACME-Challenge beantwortet werden, um die Berechtigung innerhalb des Enterprises nachzuweisen. Es ist daher ein Kontakt per HTTP zwischen CA und auf dem FQDN laufenden Webserver notwendig; alternativ eine DNS-basierte Methode.

Beim Registrieren des Accounts mit dem ACME-Client muss eine Mailadresse muss angegeben werden. Andernfalls antwortet HARICA mit einem Fehler.