使用 GCP 公共 CA 签发证书初体验-iks

上个月 30 日，Google Cloud 在其博客发表文章 Automate Public Certificates Lifecycle Management via RFC 8555 (ACME)，原文见 https://cloud.google.com/blog/products/identity-security/automate-public-certificate-lifecycle-management-via--acme-client-api

文章大意是：我们，Google Cloud 推出了自动化的公共 CA 管理程序（流程），大家可以通过 ACME 协议来申请 Google Trust Services 的证书了。这套系统实现了大规模的公共证书的部署云云。

简而言之，对诸位站长而言，“免费” SSL 证书多了一种选择。目前 GCP 公共证书和 Let's Encrypt 一样，有效期最长 90 天。前者的其他特性列举如下：

1. 支持多域名及通配符；（与 Let's Encrypt 相同）
2. 仅支持 DNS 验证和文件验证，不支持邮件验证；（与 Let's Encrypt 相同）
3. 支持 IP 地址，但是仅允许该 IP 地址块的所有者进行验证；（Let's Encrypt 暂不支持）
4. 不支持 IDN (International Domain Name, 国际化域名，使用 Punycode 进行编码，形如 xn--1.xn--2).（Let's Encrypt 已经支持）
5. 若 CSR 为 ECC，则仅叶子证书（最终用户证书）为 ECC.（Let's Encrypt 已经支持全链 ECC）

欲使用此服务，需要一个 Google Cloud Platform 账号，并填写表单 https://docs.google.com/forms/d/1Euhflb5CXpuLik8czElhyAloTZJZobar4086dmlPqXA 以申请内测权限。

表单里有一项 Google Cloud Project ID，可以通过 https://console.cloud.google.com/apis/dashboard 得到

填写后大概半天内即可收到邮件，大概长这样：

内附一个指向 Confidential material 的链接，具体内容在此不表。

进入到 https://console.cloud.google.com/apis/library/publicca.googleapis.com?project=temporal-genius-1919810 （temporal-genius-1919810 为前文提到的 Project ID），单击“启用”，等他圈圈转完。

单击右上角的“激活 Cloud Shell”，打开 Google Cloud Shell

键入 gcloud beta publicca external-account-keys create 获取相关凭据

会返回如下内容：

Created an external account key
[b64MacKey: sWxMMqW5DAa4Cxkm7EXKr6l1HpzGi2B2Kw7qxRHyAOII1LsnsVpWkKuSKcPOhmKZ
keyId: 1dde669efbd34e10b71297227b18ac28]

本地安装 Certbot，键入如下内容：

certbot register \
--email "EMAIL_ADDRESS" \
--no-eff-email \
--server "SERVER" \
--eab-kid "EAB_KID" \
--eab-hmac-key "EAB_HMAC_KEY"

其中，SERVER 为 https://dv.acme-v02.api.pki.goog/directory （用于生产）或
https://dv.acme-v02.test-api.pki.goog/directory （用于测试）
EAB_KID 为 keyId，EAB_HMAC_KEY 为 b64MacKey。如图：

新账户会被 Certbot 录为 letsencrypt，请无视。

键入以下内容：

certbot certonly \
--manual \
--preferred-challenges "dns-01" \
--server "https://dv.acme-v02.api.pki.goog/directory" \
--domains "iks.moe"

dns-01 可为 tls-sni-01, http, dns 任一，iks.moe 替换为欲申请证书的域名，用西文逗号隔开两个 FQDN

按要求验证后即可得到证书。证书存储在 /etc/letsencrypt/live/域名/ 目录下，可以供各类软件使用。

ocsp.pki.goog 有国内节点，访客体验还是很不错的。

终。

热议
来自 18#楼 iks 2022-4-2 10:23:59

目前有 DNSSEC CAA 问题，在 DNSPod 添加了 DNSSEC 的用户请暂缓申请

推荐楼 帝玺SSL

2. 由於pki.google網域無法備案，其數據中心位於美國，大陸網路是被阻斷的。GTS的ACME需要翻牆

推荐楼 看我签名. 2022-4-2 09:30:37

破论坛 技术帖都没人顶了

推荐楼 abbyu 2022-4-2 11:03:57

三个月的。。还是用TrustAsia的一年好了，cloudflare的还有十五年。。

推荐楼 iks 2022-4-3 16:27:28

1：我知道啊，不然我说block
2：我以为是和cloudflare一样用的自家sni

1. SNI 由客户端发送，即：
访问 www.example.com 时，浏览器会向服务器发送 SNI: www.example.com，服务器根据 SNI 发送证书公钥；
2. Cloudflare Inc CA 的证书 commonName 中的 sni.cloudflaressl.com 并非 SNI，根据上条概念。
3. 综上所述，部分地区出现的 Cloudflare 证书阻断并非「SNI 阻断」，因为阻断并未发生在传递 SNI 时，而是发生在传递 SNI 后；
4. 通过 ACME 协议请求的证书需要验证每一个 DNSAltName 的所有权，且 CA 不得变更除顺序外的内容，因此 commonName 和 DNSAltName 中不会有 Google 字样再次出现。

推荐楼 Binance.com 2022-4-3 11:25:05

看不懂，等一个一键脚本集成

推荐楼 iks 2022-4-3 01:09:13

提示错误 certbot: error: unrecognized arguments: --eab-kid 12xxxxxxxxxxxxxxxx38 --eab-hmac-key jBbxx ...

建议使用引号，并检查其它参数是否正确

推荐楼 flyqie 2022-4-2 19:39:21

这个最近才出，一直用acme.sh的zerossl或者let's,全自动的
最近怎么了，怎么个家都在出免费的域名证书 ...

ssl付费证书的时代已经快过去了。。

大家都在忙着留客户。

let's 和各大浏览器厂商(尤其是google) 在逐步革它们的命。

当时估计没有人想过，let's会引发这样的状况。。。

推荐楼 iks 2022-4-2 11:42:29

看个人需求吧，单域名够我用了。
既然都用了cloudflare的证书，肯定是搭配cloudflare使用，目前没有发现 ...

既然搭配 Cloudflare 使用，则最终用户证书是 Cloudflare Inc CA 颁发的，自然受信任，而 Cloudflare 15 年证书为源服务器证书，本不用于与最终用户通信，无论如何是不能跟公共证书比较的

推荐楼 iks 2022-4-2 08:42:29

1. 請LZ移除此內容，根據RFC8555標準，CA是可以針對同一個訂戶重簽FQDN進行 pre-validated的，如果你洩漏了 ...

凭据是我重新随机生成的

2楼 breakmyheart 2022-4-2 03:47:25

感谢分享！绑定

4楼 kvm.net 2022-4-2 04:29:46

和Google国官网一个根和path吗

5楼 xhemj 2022-4-2 06:37:02

收藏了，稍后试试

7楼 iks 2022-4-2 08:48:23

1. 請LZ移除此內容，根據RFC8555標準，CA是可以針對同一個訂戶重簽FQDN進行 pre-validated的，如果你洩漏了 ...

提到过，api, crls 和顶域都是被墙的，但是 ocsp.pki.goog 在大陆提供服务

8楼 abmfdtn 2022-4-2 09:01:54

感谢分享

9楼 diu! 2022-4-2 09:15:29

感谢分享，大佬牛

10楼 iks 2022-4-2 09:26:59

和Google国官网一个根和path吗

根相同，但 Google 网站的中间证书和这个不同

12楼 xayle 2022-4-2 09:43:41

已申请, acme.sh 添加了google acme 支持

13楼 花落无声 2022-4-2 09:46:03

感谢分享，收藏。。。

14楼 自来光 2022-4-2 10:01:58

开干 已经申请内测

15楼 nerlnsqy 2022-4-2 10:04:49

mark 帮顶 感谢分享

16楼 Ticifer 2022-4-2 10:20:55

这么快都用上了

17楼 walx1589 2022-4-2 10:21:33

技术贴顶

18楼 iks 2022-4-2 10:23:59

目前有 DNSSEC CAA 问题，在 DNSPod 添加了 DNSSEC 的用户请暂缓申请

19楼 小沨 2022-4-2 10:58:47

厉害的大佬

20楼 abbyu 2022-4-2 11:03:57

三个月的。。还是用TrustAsia的一年好了，cloudflare的还有十五年。。

22楼 iks 2022-4-2 11:13:17

三个月的。。还是用TrustAsia的一年好了，cloudflare的还有十五年。。

1. TrustAsia 只免费单域名，且不支持 ACME 自动化；
2. 再强调一遍，Cloudflare 15 年的不受信任，，，

23楼 laoxong 2022-4-2 11:14:20

感谢分享~

24楼 adef_1 2022-4-2 11:14:52

学习一下先

25楼 肤白貌美天然呆 2022-4-2 11:23:47

多久才能申请通过啊

26楼 abbyu 2022-4-2 11:36:34

1. TrustAsia 只免费单域名，且不支持 ACME 自动化；
2. 再强调一遍，Cloudflare 15 年的不受信任，，， ...

看个人需求吧，单域名够我用了。
既然都用了cloudflare的证书，肯定是搭配cloudflare使用，目前没有发现哪个浏览器显示不受信任。

27楼 iks 2022-4-2 11:42:29

看个人需求吧，单域名够我用了。
既然都用了cloudflare的证书，肯定是搭配cloudflare使用，目前没有发现 ...

既然搭配 Cloudflare 使用，则最终用户证书是 Cloudflare Inc CA 颁发的，自然受信任，而 Cloudflare 15 年证书为源服务器证书，本不用于与最终用户通信，无论如何是不能跟公共证书比较的

28楼 rem 2022-4-2 11:51:01

虽然看不太懂，还是要给大佬点赞

29楼 iks 2022-4-2 12:15:15

多久才能申请通过啊

半天 (等美国上班

30楼 肤白貌美天然呆 2022-4-2 17:53:36

半天 (等美国上班

感谢大佬分享 顺利签下来了

32楼 iks 2022-4-2 19:30:33

trust asia也支持acme和三个月泛域名了，不过得自己cname过去
https://blog.freessl.cn/acme-quick-start ...

我孤陋寡闻了，不过这个还要在后台手动加白，算是半自动化吧

33楼 DogeLee2 2022-4-2 19:34:41

我孤陋寡闻了，不过这个还要在后台手动加白，算是半自动化吧

这个最近才出，一直用acme.sh的zerossl或者let's,全自动的
最近怎么了，怎么个家都在出免费的域名证书

34楼 flyqie 2022-4-2 19:39:21

这个最近才出，一直用acme.sh的zerossl或者let's,全自动的
最近怎么了，怎么个家都在出免费的域名证书 ...

ssl付费证书的时代已经快过去了。。

大家都在忙着留客户。

let's 和各大浏览器厂商(尤其是google) 在逐步革它们的命。

当时估计没有人想过，let's会引发这样的状况。。。

35楼 DogeLee2 2022-4-2 19:42:56

ssl付费证书的时代已经快过去了。。

大家都在忙着留客户。

最近的trust asia和谷歌的真的香，国内ocsp加上比let's兼容性好，真的太香了

36楼 flyqie 2022-4-2 19:48:14

最近的trust asia和谷歌的真的香，国内ocsp加上比let's兼容性好，真的太香了 ...

let's 的目标其实已经快达到了，它就是个带头的。

当目标达到的时候，它怎么样其实就不是太重要了。

总会有新的、更有优势的商家试图取代它的市场份额，很正常，这是个好事。

37楼 DogeLee2 2022-4-2 19:51:10

let's 的目标其实已经快达到了，它就是个带头的。

当目标达到的时候，它怎么样其实就不是太重要了。

是的，期待更多免费的

38楼 御坂 2022-4-2 20:22:46

帝玺SSL 发表于 2022-4-2 04:05
1. 請LZ移除此內容，根據RFC8555標準，CA是可以針對同一個訂戶重簽FQDN進行 pre-validated的，如果你洩漏了 ...

是的，但是ocsp.pki.goog是直通Google中国（谷翔）的，Google中国数据中心没有北岸审查设备，未北岸的dl.Google.com，ocsp.pki.goog，没记错的话，是直接ok的

39楼 丶Silently 2022-4-3 01:05:42

提示错误 certbot: error: unrecognized arguments: --eab-kid 12xxxxxxxxxxxxxxxx38 --eab-hmac-key jBbxxxxxxxxxxxxL

40楼 iks 2022-4-3 01:09:13

提示错误 certbot: error: unrecognized arguments: --eab-kid 12xxxxxxxxxxxxxxxx38 --eab-hmac-key jBbxx ...

建议使用引号，并检查其它参数是否正确

42楼 御坂 2022-4-3 10:41:38

1. 請LZ移除此內容，根據RFC8555標準，CA是可以針對同一個訂戶重簽FQDN進行 pre-validated的，如果你洩漏了 ...

给开的后门吧，毕竟这些内容是可被接受的。原则上的确违法了，机房的运营许可也会受到牵连。

43楼 flyqie 2022-4-3 11:11:58

给开的后门吧，毕竟这些内容是可被接受的。原则上的确违法了，机房的运营许可也会受到牵连。 ...

谈原则确实没啥用。。不靠原则的事情多了去了。

这个其实理论上来说没人会管，它不属于面向普通人直接公开提供服务的类型。

这么说好像也不对，dl.google是个例外，因为他还承担了chrome的下载。

44楼 Binance.com 2022-4-3 11:25:05

看不懂，等一个一键脚本集成

45楼 iks 2022-4-3 11:58:50

看不懂，等一个一键脚本集成

已经是一键脚本了

46楼 御坂 2022-4-3 15:51:11

谈原则确实没啥用。。不靠原则的事情多了去了。

这个其实理论上来说没人会管，它不属于面向普通人直接公 ...

对，chrome下载就在这。但是很好奇，为什么下载，翻译都可以在国内，云同步却不行

47楼 flyqie 2022-4-3 16:08:21

对，chrome下载就在这。但是很好奇，为什么下载，翻译都可以在国内，云同步却不行 ...

48楼 adrce 2022-4-3 16:11:05

google的ssl证书？sni握手的时候应该会被block吧

49楼 iks 2022-4-3 16:15:43

google的ssl证书？sni握手的时候应该会被block吧

请知悉以下信息：

1. SNI 由客户端发送；
2. SNI 是 TLS 握手过程其中之一环节的其中之一内容，并不是叫「sni握手」；
3. SNI 发送的是目标域名，和 Google 无关；
4. 并非所有 Google 域名均会被 SNI Reset；
5. ocsp.pki.goog 在大陆。

50楼 adrce 2022-4-3 16:19:18

请知悉以下信息：

1. SNI 由客户端发送；

1：我知道啊，不然我说block
2：我以为是和cloudflare一样用的自家sni

52楼 imzhifu 2022-4-3 16:28:08

谢谢大佬，已经报名占坑了。
有什么好的管理证书自动更新的方法吗，比如多台服务器，更新证书之后怎么同步呢

53楼 iks 2022-4-3 16:30:29

谢谢大佬，已经报名占坑了。
有什么好的管理证书自动更新的方法吗，比如多台服务器，更新证书之后怎么同步 ...

请参考 https://hostloc.com/thread-980579-1-1.html

54楼 adrce 2022-4-3 16:31:47

1. SNI 由客户端发送，即：
访问 www.example.com 时，浏览器会向服务器发送 SNI: www.example.com，服务 ...

你其实可以只回复“不会”就行了
总之先点个赞

55楼 大猫 2022-4-3 16:42:09

根证书交叉了globalsign吗

56楼 iks 2022-4-3 16:42:23

你其实可以只回复“不会”就行了
总之先点个赞

哈哈哈哈哈

57楼 iks 2022-4-3 16:45:32

根证书交叉了globalsign吗

交叉了
完整的链为：

GlobalSign Root CA - R1 1998-2028
GTS Root R1 2020-2028
GTS CA 1P5 2020-2027

58楼 大猫 2022-4-3 16:46:54

交叉了
完整的链为：

交叉了就兼容性还可以

59楼 kuso 2022-4-3 20:06:57

不錯用~
使用dehydrated這個acme clinet端也可以簽發證書

60楼 kalagxw 2022-4-6 22:27:32

#注册账户 需要先获批资格
acme.sh --register-account -m abuse@google.com --server google \
--eab-kid xxxxxx \
--eab-hmac-key xxxxxxxx

#设置默认CA
acme.sh --set-default-ca --server google

#签发证书
acme.sh --issue --dns dns_cf -d '*.moeking.me' -d moeking.me --days 60 -k ec-256

#-k表示指定密钥长度 --days表示有效期

62楼 wangjianjilei 2022-4-7 00:34:58

除了泛域名其他没什么太大意义，别的厂都有，只能说是大势所趋下的竞争者

63楼 耗子尾汁 2022-4-7 00:36:53

申请了好几天 都没短信

64楼 丶Silently 2022-4-7 09:07:20

Showfom 发表于 2022-4-6 22:48
Google CA 的我试过了，他的 key 只能一台机器用，第二台机器就会报错

所以得每个机器申请一个 key ...

不是。同一台机器我删除了acme和隐藏文件，用同一个id和key也是报错的

65楼 Showfom 2022-4-7 17:47:13

不是。同一台机器我删除了acme和隐藏文件，用同一个id和key也是报错的

那就是只能用一次，第二次就不行了

66楼 丶Silently 2022-4-7 18:55:07

那就是只能用一次，第二次就不行了

估计是这样，我后面重新用命令去生成才可以，还有一种可能不知道属不属实，每次我都是换邮箱绑定的，不知道是不是跟当时输入的注册邮箱走

67楼 丶Silently 2022-4-7 21:57:30

那就是只能用一次，第二次就不行了

官方文档说明了绑定邮箱的

您只能使用 EAB 密钥注册一个 ACME 帐户。使用 EAB 密钥注册 ACME 帐户后，EAB 密钥将变为无效，您无法重复使用它。如果要注册多个 ACME 帐户，则必须为每个帐户请求唯一的 EAB 密钥。

而且申请密钥后7天内没使用 会自动失效

您必须在获取 EAB 密钥后的 7 天内使用该密钥。如果您在 7 天内未使用 EAB 密钥，则该密钥将失效。使用 EAB 密钥注册的 ACME 帐户没有过期时间。

68楼 sunkeinfo 2022-4-7 22:47:44

AWS SSL manager 真诚邀请大佬研究一下！！

69楼 xiaoti 2022-4-7 23:25:57

好帖，绑定

70楼 iks 2022-4-7 23:28:54

AWS SSL manager 真诚邀请大佬研究一下！！

AWS Certificate Manager 不提供私钥提取功能，其证书只能在 AWS 服务中使用

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。