谷歌刚刚宣布了其免费的ACME服务器,它支持多个域和通配符域。证书的有效期也是90天。acme.sh 已支持使用 Google Public CA,操作过程有些复杂,本文详细说明申请过程。
文章源自新逸网络-https://www.xinac.net/9269.html
一、GTS CA介绍
1、为什么想用GTS CA?其使用GlobalSign Root CA根证书签发,全球兼容性最好的CA,没有之一。证书效果文章源自新逸网络-https://www.xinac.net/9269.html
2、支持签发通配符域名证书,90天有效期,无限自动续签。文章源自新逸网络-https://www.xinac.net/9269.html
3、为什么一般都是90天有效期?时间越短意味着证书私钥泄漏或被攻击的风险越小,也更加安全。文章源自新逸网络-https://www.xinac.net/9269.html
二、必要的准备工作
1、确认以下网址可以访问,无法访问的请自行放弃。(大家都是聪明人,会有自己的办法解决的)文章源自新逸网络-https://www.xinac.net/9269.html
https://docs.google.com/文章源自新逸网络-https://www.xinac.net/9269.html
https://cloud.google.com/文章源自新逸网络-https://www.xinac.net/9269.html
https://console.cloud.google.com/文章源自新逸网络-https://www.xinac.net/9269.html
https://shell.cloud.google.com/文章源自新逸网络-https://www.xinac.net/9269.html
2、安装 acme.sh 的服务器需要能访问到以下网址,否则证书申请不到文章源自新逸网络-https://www.xinac.net/9269.html
https://dv.acme-v02.api.pki.goog/directory文章源自新逸网络-https://www.xinac.net/9269.html
3、证书申请参考文档:https://git.xinac.net/jinql/acme.sh/wiki/Google-Public-CA文章源自新逸网络-https://www.xinac.net/9269.html
三、证书申请流程
1、申请证书前需要先注册GTS的ACME账户,ACME账户只需要注册一次。而注册账户需要2个参数:文章源自新逸网络-https://www.xinac.net/9269.html
EAB key ID和EAB HMAC文章源自新逸网络-https://www.xinac.net/9269.html
2、为了拿到EAB的2个参数,需要先登录到GCP(Google Cloud Platform),然后提交申请体验表单,从而开通 Public CA API 功能。文章源自新逸网络-https://www.xinac.net/9269.html
3、之后就可以使用gcloud工具生成EAB key ID和HMAC了文章源自新逸网络-https://www.xinac.net/9269.html
4、最后把拿到的参数放到 acme.sh 工具,即可签发证书文章源自新逸网络-https://www.xinac.net/9269.html
四、详细步骤
1、登录到GCP
登录到GCP(https://console.cloud.google.com/),以下内容都是在GCP中操作的,先登录,没有账号的先注册,有免费体验计划可以选择。文章源自新逸网络-https://www.xinac.net/9269.html
2、提交申请表单
现在还在测试阶段,要先申请体验测试表单。需要登录GCP账号。
网址:https://docs.google.com/forms/d/e/1FAIpQLSd8zUIww_ztyT9a56OPq9NXISiyw6Y9g8S7LBtRQjxPhsHz5A/viewform?ts=620a6854
电子邮件地址:必填,此处填写可以收到电子邮件的地址,不需要和gmail账号地址一致
Google Cloud Project ID:必填,用于开通Public CA API功能的Project ID,有以下方法可以获取
1。登录到GCP首页控制面板后,地址栏中有参数 ?project=braided-tracker-000001,?project= 之后的就是Project ID
2。登录到GCP首页控制面板后,可以看到 项目信息 -> 项目 ID,下边的内容就是Project ID
3。GCP控制面板:https://console.cloud.google.com/home/dashboard
其他内容随意选择填写,完成后提交即可。
3、接收邮件
申请审核后会收到邮件通知,在收到邮件的12小时后再进行以下操作。
或者打开网址:https://cloud.google.com/public-certificate-authority/docs/quickstart,能访问也可以,如果是404页面,还要再等等。
4、启用Public CA API
进入GCP控制台 -> API和服务 -> 库 -> 搜索”Public Certificate Authority API“ -> 点”启用“
5、打开Cloud Shell
有以下方式打开Cloud Shell:
1。GCP控制台右上角 -> 激活Cloud Shell
2。https://console.cloud.google.com/home/dashboard?cloudshell=true
3。https://shell.cloud.google.com/
6、申请EAB key ID和HMAC
在Cloud Shell中执行以下命令:
# 1、给你的账号授权,替换自己的项目ID和GCP账号 gcloud projects add-iam-policy-binding 你的项目ID \ --member=user:你的当前登录的GCP账号 \ --role=roles/publicca.externalAccountKeyCreator # 2、启用Public CA API gcloud services enable publicca.googleapis.com # 3、申请EAB key ID and HMAC gcloud beta publicca external-account-keys create
在返回的信息中,有keyId和b64MacKey,就是要用到的EAB key ID和EAB HMAC2个参数。
7、特别注意
官方的说明中有这么一段内容:
- Register an ACME account
You must use an EAB secret within 7 days of obtaining it. The EAB secret is invalidated if you don't use it within 7 days. The ACME account registered using an EAB secret has no expiration.
翻译过来就是:
您必须在获取 EAB 密钥后的 7 天内使用该密钥。如果您在 7 天内未使用 EAB 密钥,则该密钥将失效。使用 EAB 密钥注册的 ACME 帐户没有过期时间。
五、The End
最后就可以用acme.sh等工具申请SSL证书了,Good Luck.
评论