1. 52VPS首页
  2. 干货分享

使用GCP公共CA 签发证书初体验

干货分享 阅读 63

3月30 日,Google Cloud 在其博客中发表文章”Automate Public Certificates Lifecycle Management via RFC 8555 (ACME)“,原文见 ”https://cloud.google.com/blog/products/identity-security/automate-public-certificate-lifecycle-management-via–acme-client-api“

文章大意是:我们,Google Cloud 推出了自动化的公共 CA 管理程序(流程),大家可以通过 ACME 协议来申请 Google Trust Services 的证书了。这套系统实现了大规模的公共证书的部署。。。。

简而言之,对诸多站长而言,“免费” SSL证书又多了一种选择。目前GCP公共证书和 Let’s Encrypt 一样,有效期最长 90 天。前者的其他特性列举如下:

1. 支持多域名及通配符;(与 Let’s Encrypt 相同)
2. 仅支持 DNS 验证和文件验证,不支持邮件验证;(与 Let’s Encrypt 相同)
3. 支持 IP 地址,但是仅允许该 IP 地址块的所有者进行验证;(Let’s Encrypt 暂不支持)
4. 不支持 IDN (International Domain Name, 国际化域名,使用 Punycode 进行编码,形如 xn--1.xn--2).(Let’s Encrypt 已经支持)
5. 若 CSR 为 ECC,则仅叶子证书(最终用户证书)为 ECC.(Let’s Encrypt 已经支持全链 ECC)

如何申请GCP公共CA签发证书

欲使用此服务,需要一个 Google Cloud Platform 账号,并填写表单 https://docs.google.com/forms/d/1Euhflb5CXpuLik8czElhyAloTZJZobar4086dmlPqXA 以申请内测权限。

表单里有一项 Google Cloud Project ID,可以通过 https://console.cloud.google.com/apis/dashboard 得到。

填写后大概4小时即可收到邮件,信件内容大概是这样:

使用GCP公共CA 签发证书初体验

内附一个指向 Confidential material 的链接,具体内容在此不表。

进入到 https://console.cloud.google.com/apis/library/publicca.googleapis.com?project=temporal-genius-1917810 (temporal-genius-1917810 为前文提到的 Project ID)。

使用GCP公共CA 签发证书初体验

单击“启用”,等他转圈圈完成。

单击右上角的“激活 Cloud Shell”,打开 Google Cloud Shell。

使用GCP公共CA 签发证书初体验

输入 gcloud beta publicca external-account-keys create 获取相关凭据。

使用GCP公共CA 签发证书初体验

然后会返回如下内容:

Created an external account key
[b64MacKey: sWxMMqW5DAa4Cxkm7EXKr6l1HpzGi2B2Kw7qxRHyAOII1LsnsVpWkKuSKcPOhmKZ
keyId: 1dde669efbd34e10b71297227b18ac28]

在VPS上安装Certbot后,输入如下内容:

certbot register \
    --email "EMAIL_ADDRESS" \
    --no-eff-email \
    --server "SERVER" \
    --eab-kid "EAB_KID" \
    --eab-hmac-key "EAB_HMAC_KEY"

其中,SERVER 为 https://dv.acme-v02.api.pki.goog/directory (用于生产)或
https://dv.acme-v02.test-api.pki.goog/directory (用于测试)
EAB_KID 为 keyId,EAB_HMAC_KEY 为 b64MacKey。如图:

使用GCP公共CA 签发证书初体验

新账户会被 Certbot 录为 letsencrypt,请无视。

键入以下内容:

certbot certonly \
    --manual \
    --preferred-challenges "dns-01" \
    --server "https://dv.acme-v02.api.pki.goog/directory" \
    --domains "tor.moe"

dns-01 可为 tls-sni-01, http, dns 任一,tor.moe 替换为欲申请证书的域名,用西文逗号隔开两个 FQDN

使用GCP公共CA 签发证书初体验

按要求验证后即可得到证书。证书存储在 “/etc/letsencrypt/live/域名/”目录下,可以供各类软件使用。

使用GCP公共CA 签发证书初体验

ocsp.pki.goog 有国内节点,访客体验还是很不错的。

使用GCP公共CA 签发证书初体验
使用GCP公共CA 签发证书初体验
使用GCP公共CA 签发证书初体验

至此免费的GCP SSL证书 申请完成。

网络信息,由52VPS整理收集,如若转载,请注明出处:https://www.52vps.com/1036.html

(0)
上一篇 2022-03-08 21:08
下一篇 2022-04-05 18:01

相关推荐