证书特性:

  1. 天数最长90
  2. 支持通配符,多域名
  3. 支持DNSHTTP验证,不支持邮箱验证
  4. CSRECC,则仅叶子(用户)证书为ECC,中间和CA证书依旧是RSACA证书交叉了Globalsign,兼容性较好

需要一个 GCP 账号,并填写表单 https://docs.google.com/forms/d/1Euhflb5CXpuLik8czElhyAloTZJZobar4086dmlPqXA 申请权限,大概半天能过。表单里的 Google Cloud Project ID,通过 https://console.cloud.google.com/apis/dashboard 得到,随便一个项目的ID都可以。

然后进入 https://console.cloud.google.com/apis/library/publicca.googleapis.com?project=ID名称,点击启用,然后转圈完成之后点右上角的激活Cloud Shell

gcloud beta publicca external-account-keys create

返回

Created an external account key
[b64MacKey: b64MacKey
keyId: keyId]

⚠️注意事项:

GCP的证书OCSP在国内可用,但ACME Endpoint是被墙的,国内申请证书不特殊方法无法申请。

~/.acme.sh/acme.sh  --register-account  -m  邮箱 --server google \
    --eab-kid keyId \
    --eab-hmac-key b64MacKey

~/.acme.sh/acme.sh --set-default-ca --server google

acme配置了dnspod,自动添加TXT记录,例:

~/.acme.sh/acme.sh --issue --dns dns_dp -d '*.elstec.cn' -d elstec.cn --days 90 -k ec-256

申请出来中间证书与Google官网的不同。

最后修改:2022 年 04 月 12 日 01 : 03 PM
© 允许规范转载
如果觉得我的文章对你有用,请随意赞赏