利用HICA申请180天泛解析证书及IP证书

2022 年 7 月 22 日,国产数字证书品牌 HiCA 正式上线,提供免费的半年 IP 或者通配符域名 SSL 证书,非常实用。官网文档已上线,移步 https://www1.hi.cn/docs/intro 获得更多教程

安装

curl https://get.acme.sh -s | sh -s

鉴于国内的网络环境,如果上面官方下载地址失败 或者 太慢,可以选用国内的备用地址:

curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false -s | sh -s

使acme.sh命令生效:

. .bashrc

注册

您需要修改my@example.com为您的真实邮箱:

acme.sh --register-account --accountemail \
    my@example.com \
    --server http://acme.hi.cn/directory

签发:

具体请参阅此文章进行签发:

https://www1.hi.cn/docs/category/dns-%E9%AA%8C%E8%AF%81

我们以cloudflare举例进行签发:

执行以下变量,执行后会自动写入~/.acme.sh/account.conf

export CF_Email="Cloudflare_Account_Email" //此处填写你注册Cloudflare使用的邮箱账号
export CF_Key="Cloudflare_Global_API_Key" //此处替换成你自己的Key

然后执行签发:

acme.sh --issue \
  --dns dns_cf \
  -d <域名> \
  -d <额外的域名> \
  --days 150 \
  --server https://acme.hi.cn/directory

为了让 acme.sh 在到期前30天尝试续期,建议您在申请证书时候,根据我们说明的实际期限,设置 --days 参数。例如 180 天到证书设置 --days 150,90 天到证书设置 --days 60。

注意:官网提供的脚本执行后会提示需要付费,这个特别需要注意,原因如下:

由于 ACME.sh 的更新,默认 ECC 密钥会触发收费流程。如需白嫖请自行指定 RSA 密钥。

解决办法:

手动指定证书模式为rsa模式:

acme.sh --issue \
  --dns dns_cf \
  -d <域名> \
  -d <额外的域名> \
  --days 150 \
   -k 2048 \
  --server https://acme.hi.cn/directory

这样就能完成签发。

快速安装证书到宝塔:

参考以下脚本运行,替换宝塔的证书:

acme.sh --install-cert cikeblog.com --key-file      /www/server/panel/vhost/cert/cikeblog.com/privkey.pem  --fullchain-file /www/server/panel/vhost/cert/cikeblog.com/fullchain.pem --reloadcmd     "service nginx restart"
» 本文链接:利用HICA申请180天泛解析证书及IP证书
» 转载请注明来源:刺客博客
» 如果文章失效或者安装失败,请留言进行反馈。