V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ZeroClover
V2EX  ›  SSL

Google 提供公共证书服务了

  •  4
     
  •   ZeroClover · 2022-04-01 02:26:07 +08:00 · 8401 次点击
    这是一个创建于 962 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前还在内测阶段

    https://cloud.google.com/blog/products/identity-security/automate-public-certificate-lifecycle-management-via--acme-client-api

    要点:
    1. 免费,且仅支持 ACME 协议进行申请
    2. 和 Let's Encrypt 一样支持多域名和泛域名
    3. 支持 IP 证书,但是目前仅限 IP Block 的所有者进行验证
    4. 目前不提供完整 ECDSA 链,只有叶证书是 ECDSA 的
    5. 目前不支持 Punycode 域名
    6. 证书有效期在 1 - 90 天内可选,但是目前 ACME 客户端似乎都还不支持设置证书有效期

    第 1 条附言  ·  2022-04-01 17:49:47 +08:00
    关于 OCSP

    OCSP 地址是 ocsp.pki.goog ,这个域名是由国内的谷翔负责,有国内服务器。而 Google 的证书服务已经提供了很长一段时间了,之前只能在 Google LB 这类的 Google Cloud 服务上使用,私钥由 Google Cloud 管理,而这个公共证书服务用户可以拿到私钥并且部署到任何平台上。

    OCSP 测速



    国内解析出来都是北京和上海的 Google 服务器

    但是,虽然 OCSP 在国内可用,ACME Endpoint 却是被墙的,因此在不使用其他手段的情况下无法在国内签发该证书。
    28 条回复    2022-04-08 20:44:18 +08:00
    JensenQian
        1
    JensenQian  
       2022-04-01 02:53:59 +08:00 via Android
    好东西
    xServ
        2
    xServ  
       2022-04-01 06:16:58 +08:00 via Android
    关注一下
    ab
        3
    ab  
       2022-04-01 07:50:56 +08:00 via iPhone
    关注一下
    laozhoubuluo
        4
    laozhoubuluo  
       2022-04-01 08:01:09 +08:00
    好诶,做免费 CA 的厂家越多越好
    Tink
        5
    Tink  
       2022-04-01 08:10:30 +08:00 via Android
    时间要能再长一点就好了
    mywaiting
        6
    mywaiting  
       2022-04-01 11:12:44 +08:00
    强烈希望能出个一签一年的 wildcart 免费证书!
    moxuanyuan
        7
    moxuanyuan  
       2022-04-01 11:30:16 +08:00
    为什么最长都是 90 天?
    ylx
        8
    ylx  
       2022-04-01 15:12:12 +08:00
    意思是还没开放?
    XiLingHost
        9
    XiLingHost  
       2022-04-01 15:13:05 +08:00
    @mywaiting 然后浏览器不信任?
    coolcoffee
        10
    coolcoffee  
       2022-04-01 15:45:54 +08:00
    我更关心的是 Google SSL OCSP 服务会不会被墙
    Showfom
        11
    Showfom  
       2022-04-01 15:52:21 +08:00
    @coolcoffee # 10 暂时没发现问题,我们是 Google Cloud CDN 客户,已经用 Google 的证书用了好几个月了
    Showfom
        12
    Showfom  
       2022-04-01 15:56:28 +08:00
    @coolcoffee #10

    OCSP 地址

    http://ocsp.pki.goog/
    shiganwuguo
        13
    shiganwuguo  
       2022-04-01 16:13:18 +08:00 via Android
    好东西
    Showfom
        14
    Showfom  
       2022-04-01 16:20:35 +08:00
    倒是按照他的教程,死活都错误

    ERROR: (gcloud.alpha.publicca.external-account-keys.create) NOT_FOUND: Method not found.
    ruixue
        15
    ruixue  
       2022-04-01 17:07:42 +08:00
    需要绑卡,申请门槛比 let's encrypt 高
    mschultz
        16
    mschultz  
       2022-04-01 17:24:02 +08:00 via iPhone
    @Showfom 内测,好想要填一个调查表申请开通。要多久能开通就不知道了
    ZeroClover
        17
    ZeroClover  
    OP
       2022-04-01 17:38:56 +08:00
    @coolcoffee 其实,如果可以自定义证书有效期,你可以签发证书有效期小于 10 天的证书,FF 和 Safari 都不检查有效期小于 10 天的证书的 OCSP 状态。而 Chrome 根本不检查 OCSP
    benjix
        18
    benjix  
       2022-04-02 07:51:00 +08:00
    @mschultz 昨天填的表,今天收到邮件已经开通了
    Showfom
        19
    Showfom  
       2022-04-02 16:57:22 +08:00
    @benjix # 18 昨天申请的,今天已经通过了
    Showfom
        20
    Showfom  
       2022-04-02 17:01:46 +08:00
    测试了下,国内的服务器除非那啥,不然访问不了 Google CA 的 acme server 的

    https://dv.acme-v02.api.pki.goog/directory
    buxiaozisun
        21
    buxiaozisun  
       2022-04-02 17:48:12 +08:00 via Android
    已经设置好了 成功签发😆
    learningman
        22
    learningman  
       2022-04-03 00:28:04 +08:00 via Android
    有效期调长点呗。。。
    orangejx
        23
    orangejx  
       2022-04-03 05:43:31 +08:00
    针不戳啊
    doruison
        24
    doruison  
       2022-04-03 21:00:39 +08:00
    坐等 caddy 更新
    Silently
        25
    Silently  
       2022-04-04 23:31:29 +08:00
    不知道哪里参数错了 提示错误参数
    ![]( https://s3.bmp.ovh/imgs/2022/04/04/b94af4c1c44a48ee.png)
    Showfom
        26
    Showfom  
       2022-04-07 18:12:29 +08:00
    @Silently # 25 换 acme.sh

    acme.sh --set-default-ca --server google

    acme.sh --register-account --server google \
    --eab-kid 你的 kid key \
    --eab-hmac-key 你的 hmac key \
    --accountemail 邮箱
    Silently
        27
    Silently  
       2022-04-08 08:07:42 +08:00 via iPhone
    @Showfom 啊 忘回复了,前两天就用上这个了、
    2444989
        28
    2444989  
       2022-04-08 20:44:18 +08:00 via Android
    已经用上 比 lets 兼容性好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3569 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:45 · PVG 12:45 · LAX 20:45 · JFK 23:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.