V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ZeroClover
V2EX  ›  SSL

Google 提供公共证书服务了

  •  4
     
  •   ZeroClover · 93 天前 · 5368 次点击
    这是一个创建于 93 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前还在内测阶段

    https://cloud.google.com/blog/products/identity-security/automate-public-certificate-lifecycle-management-via--acme-client-api

    要点:
    1. 免费,且仅支持 ACME 协议进行申请
    2. 和 Let's Encrypt 一样支持多域名和泛域名
    3. 支持 IP 证书,但是目前仅限 IP Block 的所有者进行验证
    4. 目前不提供完整 ECDSA 链,只有叶证书是 ECDSA 的
    5. 目前不支持 Punycode 域名
    6. 证书有效期在 1 - 90 天内可选,但是目前 ACME 客户端似乎都还不支持设置证书有效期

    第 1 条附言  ·  93 天前
    关于 OCSP

    OCSP 地址是 ocsp.pki.goog ,这个域名是由国内的谷翔负责,有国内服务器。而 Google 的证书服务已经提供了很长一段时间了,之前只能在 Google LB 这类的 Google Cloud 服务上使用,私钥由 Google Cloud 管理,而这个公共证书服务用户可以拿到私钥并且部署到任何平台上。

    OCSP 测速



    国内解析出来都是北京和上海的 Google 服务器

    但是,虽然 OCSP 在国内可用,ACME Endpoint 却是被墙的,因此在不使用其他手段的情况下无法在国内签发该证书。
    28 条回复    2022-04-08 20:44:18 +08:00
    JensenQian
        1
    JensenQian  
       93 天前 via Android
    好东西
    xServ
        2
    xServ  
       93 天前 via Android
    关注一下
    ab
        3
    ab  
       93 天前 via iPhone
    关注一下
    laozhoubuluo
        4
    laozhoubuluo  
       93 天前
    好诶,做免费 CA 的厂家越多越好
    Tink
        5
    Tink  
       93 天前 via Android
    时间要能再长一点就好了
    mywaiting
        6
    mywaiting  
       93 天前
    强烈希望能出个一签一年的 wildcart 免费证书!
    moxuanyuan
        7
    moxuanyuan  
       93 天前
    为什么最长都是 90 天?
    ylx
        8
    ylx  
       93 天前
    意思是还没开放?
    XiLingHost
        9
    XiLingHost  
       93 天前
    @mywaiting 然后浏览器不信任?
    coolcoffee
        10
    coolcoffee  
       93 天前
    我更关心的是 Google SSL OCSP 服务会不会被墙
    Showfom
        11
    Showfom  
       93 天前
    @coolcoffee # 10 暂时没发现问题,我们是 Google Cloud CDN 客户,已经用 Google 的证书用了好几个月了
    Showfom
        12
    Showfom  
       93 天前
    @coolcoffee #10

    OCSP 地址

    http://ocsp.pki.goog/
    shiganwuguo
        13
    shiganwuguo  
       93 天前 via Android
    好东西
    Showfom
        14
    Showfom  
       93 天前
    倒是按照他的教程,死活都错误

    ERROR: (gcloud.alpha.publicca.external-account-keys.create) NOT_FOUND: Method not found.
    ruixue
        15
    ruixue  
       93 天前
    需要绑卡,申请门槛比 let's encrypt 高
    mschultz
        16
    mschultz  
       93 天前 via iPhone
    @Showfom 内测,好想要填一个调查表申请开通。要多久能开通就不知道了
    ZeroClover
        17
    ZeroClover  
    OP
       93 天前
    @coolcoffee 其实,如果可以自定义证书有效期,你可以签发证书有效期小于 10 天的证书,FF 和 Safari 都不检查有效期小于 10 天的证书的 OCSP 状态。而 Chrome 根本不检查 OCSP
    benjix
        18
    benjix  
       92 天前
    @mschultz 昨天填的表,今天收到邮件已经开通了
    Showfom
        19
    Showfom  
       92 天前
    @benjix # 18 昨天申请的,今天已经通过了
    Showfom
        20
    Showfom  
       92 天前
    测试了下,国内的服务器除非那啥,不然访问不了 Google CA 的 acme server 的

    https://dv.acme-v02.api.pki.goog/directory
    buxiaozisun
        21
    buxiaozisun  
       92 天前 via Android
    已经设置好了 成功签发😆
    learningman
        22
    learningman  
       92 天前 via Android
    有效期调长点呗。。。
    orangejx
        23
    orangejx  
       91 天前
    针不戳啊
    doruison
        24
    doruison  
       91 天前
    坐等 caddy 更新
    Silently
        25
    Silently  
       90 天前
    不知道哪里参数错了 提示错误参数
    ![]( https://s3.bmp.ovh/imgs/2022/04/04/b94af4c1c44a48ee.png)
    Showfom
        26
    Showfom  
       87 天前
    @Silently # 25 换 acme.sh

    acme.sh --set-default-ca --server google

    acme.sh --register-account --server google \
    --eab-kid 你的 kid key \
    --eab-hmac-key 你的 hmac key \
    --accountemail 邮箱
    Silently
        27
    Silently  
       86 天前 via iPhone
    @Showfom 啊 忘回复了,前两天就用上这个了、
    2444989
        28
    2444989  
       86 天前 via Android
    已经用上 比 lets 兼容性好
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1278 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:13 · PVG 02:13 · LAX 11:13 · JFK 14:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.