上个月 30 日,Google Cloud 在其博客发表文章 Automate Public Certificates Lifecycle Management via RFC 8555 (ACME),原文见 https://cloud.google.com/blog/products/identity-security/automate-public-certificate-lifecycle-management-via–acme-client-api
文章大意是:我们,Google Cloud 推出了自动化的公共 CA 管理程序(流程),大家可以通过 ACME 协议来申请 Google Trust Services 的证书了。这套系统实现了大规模的公共证书的部署云云。 简而言之,对诸位站长而言,“免费” SSL 证书多了一种选择。目前 GCP 公共证书和 Let’s Encrypt 一样,有效期最长 90 天。前者的其他特性列举如下: 1. 支持多域名及通配符;(与 Let’s Encrypt 相同) 欲使用此服务,需要一个 Google Cloud Platform 账号,并填写表单 https://docs.google.com/forms/d/1Euhflb5CXpuLik8czElhyAloTZJZobar4086dmlPqXA 以申请内测权限。 表单里有一项 Google Cloud Project ID,可以通过 https://console.cloud.google.com/apis/dashboard 得到 填写后大概半天内即可收到邮件,大概长这样: 内附一个指向 Confidential material 的链接,具体内容在此不表。 进入到 https://console.cloud.google.com/apis/library/publicca.googleapis.com?project=temporal-genius-1919810 (temporal-genius-1919810 为前文提到的 Project ID),单击“启用”,等他圈圈转完。 单击右上角的“激活 Cloud Shell”,打开 Google Cloud Shell 键入 gcloud beta publicca external-account-keys create 获取相关凭据 会返回如下内容:
复制代码 本地安装 Certbot,键入如下内容:
复制代码 其中,SERVER 为 https://dv.acme-v02.api.pki.goog/directory (用于生产)或 新账户会被 Certbot 录为 letsencrypt,请无视。 键入以下内容:
复制代码 dns-01 可为 tls-sni-01, http, dns 任一,iks.moe 替换为欲申请证书的域名,用西文逗号隔开两个 FQDN 按要求验证后即可得到证书。证书存储在 /etc/letsencrypt/live/域名/ 目录下,可以供各类软件使用。 ocsp.pki.goog 有国内节点,访客体验还是很不错的。 终。 |
1. 請LZ移除此內容,根據RFC8555標準,CA是可以針對同一個訂戶重簽FQDN進行 pre-validated的,如果你洩漏了你的Key,其他人可能有幾乎申請到你申請過的證書
复制代码 2. 由於pki.google網域無法備案,其數據中心位於美國,大陸網路是被阻斷的。GTS的ACME需要翻牆 |
感谢分享!绑定 |
和Google国官网一个根和path吗 |
收藏了,稍后试试 |