Dla nowej pary kluczy
Za pomocą jednej komendy wygeneruj klucz prywatny w pliku: key.pem oraz żądanie CSR w pliku req.pem.
Dla certyfikatu DV jedynym polem w temacie certyfikatu jest CN. Ta sama wartość musi być również zawarta w rozszerzeniu subjectAltName.
openssl req -new -subj "/CN=domena-testowa.pl" -addext "subjectAltName = DNS:domena-testowa.pl" -newkey rsa:2048 -keyout key.pem -out req.pem –nodes
Dodatkowe domeny można określić w powyższej komendzie, zmieniając odpowiednio przełącznik -addext:
-addext "subjectAltName = DNS:domena-testowa.pl,DNS:subdomena1.domena-testowa.pl,DNS:subdomena2.domena-testowa.pl"
Dla istniejącej pary kluczy
openssl req -new -subj "/CN=domena-testowa.pl" -addext "subjectAltName = DNS:domena-testowa.pl" -key key.pem -out req.pem
Przekaż wcześniej przygotowane żądanie req.pem na serwer ACME.
sudo certbot certonly --manual -d domena-testowa.pl \
--server https://acme.elektronicznypodpis.pl/directory \
--eab-kid=IDENTYFIKATOR_KLUCZA
--eab-hmac-key=KLUCZ_HMAC
--csr req.pem
--preferred-challenges dns
W powyższej komendzie wskazano preferowaną metodę walidację poprzez DNS (--preferred-challenges dns). Alternatywnie można użyć http (--preferred-challenges http)