Google Public CA( Google Trust Services – GTS CA)使用教程

XINAC 2022-05-0210:23:21
评论
661 2441字

谷歌刚刚宣布了其免费的ACME服务器,它支持多个域和通配符域。证书的有效期也是90天。acme.sh 已支持使用 Google Public CA,操作过程有些复杂,本文详细说明申请过程。

 

一、GTS CA介绍

1、为什么想用GTS CA?其使用GlobalSign Root CA根证书签发,全球兼容性最好的CA,没有之一。证书效果

2、支持签发通配符域名证书,90天有效期,无限自动续签。

3、为什么一般都是90天有效期?时间越短意味着证书私钥泄漏或被攻击的风险越小,也更加安全。

二、必要的准备工作

1、确认以下网址可以访问,无法访问的请自行放弃。(大家都是聪明人,会有自己的办法解决的)

https://docs.google.com/

https://cloud.google.com/

https://console.cloud.google.com/

https://shell.cloud.google.com/

2、安装 acme.sh 的服务器需要能访问到以下网址,否则证书申请不到

https://dv.acme-v02.api.pki.goog/directory

3、证书申请参考文档:https://git.xinac.net/jinql/acme.sh/wiki/Google-Public-CA

三、证书申请流程

1、申请证书前需要先注册GTSACME账户,ACME账户只需要注册一次。而注册账户需要2个参数:

EAB key IDEAB HMAC

2、为了拿到EAB的2个参数,需要先登录到GCP(Google Cloud Platform),然后提交申请体验表单,从而开通 Public CA API 功能。

3、之后就可以使用gcloud工具生成EAB key IDHMAC

4、最后把拿到的参数放到 acme.sh 工具,即可签发证书

四、详细步骤

1、登录到GCP

登录到GCP(https://console.cloud.google.com/),以下内容都是在GCP中操作的,先登录,没有账号的先注册,有免费体验计划可以选择。

2、提交申请表单

现在还在测试阶段,要先申请体验测试表单。需要登录GCP账号。

网址:https://docs.google.com/forms/d/e/1FAIpQLSd8zUIww_ztyT9a56OPq9NXISiyw6Y9g8S7LBtRQjxPhsHz5A/viewform?ts=620a6854

电子邮件地址:必填,此处填写可以收到电子邮件的地址,不需要和gmail账号地址一致

Google Cloud Project ID:必填,用于开通Public CA API功能的Project ID,有以下方法可以获取

1。登录到GCP首页控制面板后,地址栏中有参数 ?project=braided-tracker-000001,?project= 之后的就是Project ID

2。登录到GCP首页控制面板后,可以看到 项目信息 -> 项目 ID,下边的内容就是Project ID

3。GCP控制面板:https://console.cloud.google.com/home/dashboard

其他内容随意选择填写,完成后提交即可。

3、接收邮件

申请审核后会收到邮件通知,在收到邮件的12小时后再进行以下操作。

或者打开网址:https://cloud.google.com/public-certificate-authority/docs/quickstart,能访问也可以,如果是404页面,还要再等等。

4、启用Public CA API

进入GCP控制台 -> API和服务 -> 库 -> 搜索”Public Certificate Authority API“ -> 点”启用“

5、打开Cloud Shell

有以下方式打开Cloud Shell

1。GCP控制台右上角 -> 激活Cloud Shell

2。https://console.cloud.google.com/home/dashboard?cloudshell=true

3。https://shell.cloud.google.com/

6、申请EAB key IDHMAC

Cloud Shell中执行以下命令:

# 1、给你的账号授权,替换自己的项目ID和GCP账号
gcloud projects add-iam-policy-binding 你的项目ID \
  --member=user:你的当前登录的GCP账号 \
  --role=roles/publicca.externalAccountKeyCreator

# 2、启用Public CA API
gcloud services enable publicca.googleapis.com

# 3、申请EAB key ID and HMAC
gcloud beta publicca external-account-keys create

在返回的信息中,有keyIdb64MacKey,就是要用到的EAB key IDEAB HMAC2个参数。

7、特别注意

官方的说明中有这么一段内容:

- Register an ACME account
You must use an EAB secret within 7 days of obtaining it. The EAB secret is invalidated if you don't use it within 7 days. The ACME account registered using an EAB secret has no expiration.

翻译过来就是:

您必须在获取 EAB 密钥后的 7 天内使用该密钥。如果您在 7 天内未使用 EAB 密钥,则该密钥将失效。使用 EAB 密钥注册的 ACME 帐户没有过期时间。

五、The End

最后就可以用acme.sh等工具申请SSL证书了,Good Luck.

 

weinxin
新逸IT技术
扫一扫关注微信公众号
XINAC
  • 本文由 发表于 2022-05-0210:23:21
  • 转载请注明:https://www.xinac.net/9269.html
使用acme.sh申请ZeroSSL通配符证书 软件程序

使用acme.sh申请ZeroSSL通配符证书

Letsencrypt免费证书极大的促进了互联网https的过程。但是,由于证书兼容性和OCSP被墙等原因,导致续签证书经常失败。 ZeroSSL提供免费https证书,使用ACME API申请时,还...
阿里云CDN免费SSL证书自动续期配置 软件程序

阿里云CDN免费SSL证书自动续期配置

阿里云的CDN服务可以配置SSL证书,也可以自动申请免费的SSL DV证书,按一定步骤操作还可以自动续签SSL证书。 1、添加CDN域名 进入阿里云CDN控制台,在域名管理处,添加域名。 2、添加域名...
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定