想用谷歌的Public CA免费申请SSL证书,尤其是支持泛域名的?这篇文章将一步步教你如何搞定,从获取密钥、启用API,到最终生成证书并验证成功,通俗易懂,实操性强。文末还会告诉你怎么续期。废话不多说,开干!
第一步:准备一个 Google Cloud 账号
首先,你得有个谷歌云(Google Cloud)账号。如果还没有,赶紧注册一个,完全免费(注册时可能需要绑定信用卡,但一般不会扣费)。
第二步:启用必要的API服务
登录你的 Google Cloud 控制台后,打开以下两个 API 页面,点击“启用”:
启用完这俩API后,我们就可以去创建EAB密钥了。
第三步:获取 EAB(External Account Binding)密钥
打开 Cloud Shell(点击控制台右上角的“终端”图标),输入下面的命令:
gcloud beta publicca external-account-keys create
几秒钟后,会输出类似这样的结果:
记下这两个值,后面配置 certbot 的时候要用到。
第四步:在 VPS 上安装 Certbot 并注册账户
这里以 AlmaLinux 为例,如果你是其他系统(比如 Ubuntu),命令略有不同。
先安装 certbot:
然后使用以下命令注册一个账号(别忘了把邮箱和密钥替换成自己的):
certbot register \
--email "[email protected]" \
--no-eff-email \
--server "https://dv.acme-v02.api.pki.goog/directory" \
--eab-kid "你的keyId" \
--eab-hmac-key "你的b64MacKey"
注册成功后,我们就可以正式申请证书了!
第五步:申请 Google 的泛域名 SSL 证书
现在你可以执行申请证书的命令了,下面是完整的格式:
系统会提示你添加一个TXT记录到你的域名解析中,用来验证你对域名的所有权。打开你的域名服务商(比如阿里云、Cloudflare)的解析面板,把提示的TXT记录填进去。
**注意:**添加完 TXT 记录后,稍等几分钟等解析生效,再回到终端继续执行。
第六步:查看你的 SSL 证书
验证通过之后,终端会显示成功的信息,类似这样:
也就是说,你的证书和私钥已经生成好,路径如下:
-
证书文件:
/etc/letsencrypt/live/你的域名/fullchain.pem -
私钥文件:
/etc/letsencrypt/live/你的域名/privkey.pem
温馨提示:证书不会自动续期!
由于你使用的是 --manual 方式来申请的证书,certbot 默认是不会自动续期的。续期的话,你得手动再执行一次这个命令,并重新验证 DNS。
如果你觉得这样太麻烦,可以考虑换成 Let's Encrypt 普通版,支持自动续期脚本。
可选:自动续期的命令参考
如果你想用 Let's Encrypt 的证书并自动续期,可以用这个命令:
当然这就不走 Google Public CA 的流程了,纯属备选方案。
总结:Google SSL 泛域名证书适合你吗?
如果你:
-
需要免费泛域名证书
-
希望用 Google 品牌背书
-
可以接受手动续期
那么这个教程就是为你量身定做的!
不过如果你更在意自动化,还是建议选 Let's Encrypt,配合 acme.sh 或 certbot 的自动脚本,用得更省心。
文章评论