De meeste functies van Sectigo Certificate Manager (SCM) kunnen ook via een REST API worden gebruikt.

De documentatie hiervoor vind je op de Sectigo Knowledge Base onder Sectigo® Certificate Manager (SCM) REST API. Dit is een HTML file met een beschrijving van alle interfaces.

Om gebuik te maken van de API maak je in SCM een RAO account aan met als type 'API'. Je kan voor de contactgegevens van dit account gewoon je eigen naam invullen. Een 'standard' account is ook om te zetten naar een API account door deze te selecteren en op 'Change Account Type' te klikken.

HTTP headers

De gebruikersnaam en wachtwoord voor de API moeten via custom HTTP headers worden verstuurd (via de headers login respectievelijk password), evenals de SCM account URI (via de customerUri header). Voor de SURF instance is die laatste altijd dezelfde: surfnet.

Een voorbeeld HTTP header file:

Accept: application/json;charset=utf-8
Content-Type: application/json;charset=utf-8
customerUri: surfnet
login: <your API user login>
password: <your API user password>

Let op: header files zijn door curl ondersteund vanaf versie 7.55.0 (check met curl -V).

SSL Certificaat aanvragen voorbeeld

Hieronder volgt een voorbeeld voor het aanvragen van een SSL certificaat. Meer voorbeelden zijn te vinden in de Sectigo REST API documentatie.

De organisatie en domeinnamen moeten vooraf gevalideerd zijn. De aanvraag wordt in JSON formaat verstuurd en bevat minimaal

De orgID is op te zoeken via SCM, of via de organization API.

Voorbeeld (met curl als HTTP client, waarbij de HTTP headers uit de file headers worden gelezen):

$ curl -H @headers https://cert-manager.com/api/organization/v1
[
  {
    "id": 12345,
    "name": “Example Org",
    "certTypes": [
      "SMIME",
      "SSL"
    ],
    "departments": []
  }
]

Het orgID is in dit voorbeeld dus 12345.

De identifiers voor de verschillende types certificaten kunnen worden opgevraagd via de types API:

$ curl -s https://cert-manager.com/api/ssl/v1/types -H @headers | jq -r 'map( [.id, .name, (.terms | join(","))]) | .[]  | @tsv'
425	GÉANT Unified Communications Certificate	365,730
426	GÉANT OV Multi-Domain	365,730
427	GÉANT EV SSL	365,730
428	GÉANT EV Multi-Domain	365,730
429	GÉANT IGTF Multi Domain	365,395
424	GÉANT Wildcard SSL	365,730
423	GÉANT OV SSL	365,730

Een request voor een SSL certificaat ziet er bijvoorbeeld als volgt uit:

{
  "orgId": 12345,
  "csr": "-----BEGIN CERTIFICATE REQUEST——\nMII.. .”,
  "certType": 423,
  "term": 365
}

Een voorbeeld van het gebruik van de enroll en collect APIs:

$ cat enroll.json 
{
  "orgId": 12345,
  "externalRequester": "you@example.edu",
  "csr": "-----BEGIN CERTIFICATE REQUEST-----\nMIICaDCCAVACAQAwIzEhMB8GA1UEAwwYdGVzdC5z ... 6rDasA=\n-----END CERTIFICATE REQUEST-----\n",
  "certType": 423,
  "comments": "enroll via API",
  "term": 365
}

$ curl -sH @headers https://cert-manager.com/api/ssl/v1/enroll -X POST -d @enroll.json
{"renewId":"AQIDBAUGBwgJCgsMDQ4P","sslId":1230789}

$ curl -sH @headers https://cert-manager.com/api/ssl/v1/collect/1230789/pem
-----BEGIN CERTIFICATE-----
MIIENjCCAx6gAwIBAgIBATANBgkqhkiG9w0BAQUFADBvMQswCQYDVQQGEwJTRTEUMBIGA1UEChML
...
LsRwKb+Zf9rO7f967R+iOnkmNlTUjdxMDRs=
-----END CERTIFICATE-----

Opmerkingen:

Libraries

Foutmeldingen

{"code":-1021,"description":"This operation cannot be performed for Organization 'Example Og'."}

Controleer of je de API enabled hebt middels het aanvinken van "Web API" in de organisation settings.

{"code":-23,"description":"The certificate hasn't been approved yet!"}

Wacht tot een RAO de aanvraag heeft goedgekeurd, of zorg dat dit automatisch gebeurt door de Privileges van het API account uit te breiden met Allow SSL auto approve.

{"code":-16,"description":"Unknown user"}

Onjuiste login of password

{"code":-16,"description":"Invalid auth data"}

Probleem met authenticatie (anders dan login/password) - check HTTP headers (zie ook opmerking hierboven over curl versie).