Cara Memohon Sijil SSL dari Google Trust Services

ServBay bukan sahaja sebuah persekitaran pembangunan web tempatan yang hebat, ia juga dibina dengan sokongan protokol ACME. Ini membolehkan anda memohon dan mengurus sijil SSL yang dipercayai dengan mudah untuk domain tempatan atau jauh anda. Menggunakan sijil SSL yang dipercayai (seperti yang dikeluarkan oleh Google Trust Services) membolehkan anda mensimulasikan sambungan HTTPS persekitaran produksi di dalam pembangunan atau ujian tempatan — sesuatu yang sangat penting untuk nyahlnggu amaran kandungan bercampur, menguji header keselamatan, serta memastikan aplikasi anda berfungsi lancar dengan HTTPS.

Dokumen ini akan memberikan panduan terperinci bagaimana menggunakan perkhidmatan CA awam Google Trust Services (GTS) melalui protokol ACME untuk memohon sijil SSL buat laman web anda di dalam ServBay.

Prasyarat

Sebelum bermula, pastikan anda telah melengkapkan perkara-perkara berikut:

1. Memiliki dan Mengawal Domain Sendiri: Anda perlu memiliki domain yang sah dan mampu mengawal sepenuhnya rekod DNS untuk domain tersebut. Ini adalah asas untuk pengesahan pemilikan domain menerusi API DNS.
2. Mendapatkan Kunci API DNS: ServBay mengautomasikan proses pengesahan pemilikan domain menerusi API DNS. Anda perlu mendapatkan kelayakan API yang berkaitan daripada pendaftar domain atau pembekal perkhidmatan DNS anda. Setiap pembekal mempunyai cara serta nama parameter yang berbeza. Sila rujuk acme.sh DNS API Wiki untuk maklumat khusus pembekal serta kunci yang diperlukan.
3. Mendapatkan Kunci EAB Google Trust Services: Perkhidmatan ACME Google Trust Services memerlukan penggunaan External Account Binding (EAB). EAB ialah mekanisme untuk mengaitkan akaun klien ACME anda (diurus oleh ServBay) dengan akaun anda di Google Cloud, seterusnya membenarkan penandatanganan sijil. Anda perlu mendapatkan EAB Key ID serta EAB HMAC Key daripada Konsol Google Cloud. Ikuti arahan rasmi Google Cloud Dapatkan maklumat EAB dari Google Cloud untuk langkah terperinci.

Langkah Permohonan

1. Buka Panel Kawalan ServBay: Lancarkan aplikasi ServBay dan masuk ke panel pengurusan grafikanya.

2. Navigasi ke Pengurusan Sijil SSL: Dalam panel kawalan ServBay, cari dan pilih menu Sijil SSL (SSL Certificates) di bar sisi atau menu atas, untuk memasuki antaramuka pengurusan sijil.

3. Mulakan Proses Permohonan Sijil: Klik butang “+” di sudut kanan atas senarai sijil untuk memulakan permohonan sijil SSL baru.

4. Konfigurasikan Butiran Permohonan Sijil: Dalam tetingkap “Request Certificate” yang muncul, isikan maklumat berikut mengikut keperluan:

   • Common Name: Masukkan nama bagi mengenal pasti permohonan sijil ini, seperti nama projek atau domain utama anda. Contoh: servbay.demo Certificate.
   • Usage Purpose: Kekalkan pilihan lalai TLS/SSL yang menandakan sijil ini digunakan untuk menyulitkan sambungan pelayan web.
   • Request Method: Pilih ACME untuk menggunakan protokol Pengurusan Sijil Automatik.
   • Issuer: Pilih Google Trust Services daripada menu lungsur sebagai Pihak Berkuasa Pensijilan (CA) anda.
   • DNS API Provider: Pilih pembekal perkhidmatan DNS anda (seperti: Cloudflare, GoDaddy, AliYun dsb.) dari menu lungsur. Jika tiada dalam senarai, rujuk dokumentasi ServBay atau acme.sh untuk sokongan tambahan.
   • Algorithm: Pilih algoritma kunci untuk sijil. Adalah disyorkan menggunakan ECC (Elliptic Curve Cryptography) kerana ia menawarkan keselamatan tinggi dengan kunci lebih kecil. Pilih panjang kunci 384.
   • EAB Key ID: Masukkan EAB Key ID yang anda peroleh dari Google Cloud.
   • EAB HMAC Key: Masukkan EAB HMAC Key yang anda peroleh dari Google Cloud.
   • DNS API Tokens: Masukkan kunci API DNS anda beserta parameter berkaitan. 【Penting】 Sila rujuk penerangan pembekal DNS anda di halaman acme.sh DNS API Wiki dan pastikan nama serta nilai environment variables yang betul digunakan. Jangan masukkan arahan export dalam kotak input. Sebagai contoh, untuk Cloudflare, anda mungkin perlu memasukkan CF_Key=YOUR_API_KEY serta CF_Email=YOUR_EMAIL, satu baris untuk setiap parameter.
   • Domain: Isikan satu atau lebih domain yang anda hendak memohon sijil. Untuk domain tunggal, terus masukkan sahaja (cth: servbay.demo). Jika ingin memohon sijil tunggal untuk berbilang domain (Sijil SAN), gunakan koma (,) untuk memisahkan domain (cth: servbay.demo, www.servbay.demo). Untuk sijil wildcard, gunakan format *.yourdomain.com (contoh: *.servbay.demo). Sila ambil perhatian, sijil wildcard lazimnya memerlukan pengesahan DNS.

   

5. Hantar Permohonan: Selepas semua maklumat diisi dengan betul, klik butang “Request” di bahagian bawah tetingkap.

6. Tunggu sehingga Permohonan Siap: ServBay akan melaksanakan aliran ACME secara automatik di latar belakang, termasuk menghubungi Google Trust Services, mengesahkan pemilikan domain melalui API DNS, dan akhirnya menandatangan sijil. Proses ini boleh mengambil sedikit masa, bergantung pada kadar propagasi DNS dan respons pelayan ACME. Selepas berjaya, sijil baharu anda akan tersenarai dalam senarai sijil SSL ServBay anda.

Menggunakan Sijil pada Laman Web

Selepas sijil berjaya dipohon dan dipaparkan dalam senarai sijil SSL ServBay, anda boleh mengaitkannya pada laman web anda. Navigasi ke antaramuka konfigurasi Laman Web (Websites), pilih laman yang ingin dikonfigurasi. Di bahagian tetapan SSL, tetapkan jenis sijil sebagai ACME, kemudian pilih sijil Google Trust Services yang baru dipohon dari menu berkaitan. Simpan perubahan pada konfigurasi laman web, dan laman anda kini akan mengaktifkan HTTPS menggunakan sijil tersebut.

Pembaharuan Sijil Secara Automatik

Sijil ACME yang dikeluarkan oleh Google Trust Services biasanya sah selama 90 hari. Untuk pastikan sijil anda sentiasa sah, ServBay telah menyediakan fungsi pembaharuan automatik terbina dalam. Sistem ini akan cuba memperbaharui sijil secara automatik sebelum tamat tempoh, tanpa memerlukan tindakan manual. Pastikan aplikasi ServBay sentiasa berjalan secara berkala supaya tugas pembaharuan auto dapat berfungsi dengan lancar.

Soalan Lazim & Penyelesaian Masalah

• Permohonan sijil gagal, mesej ralat pengesahan DNS:
  • Sahkan kunci dan parameter API DNS yang dimasukkan adalah betul, termasuk nama dan nilai environment variables.
  • Pastikan pembekal perkhidmatan DNS anda menyokong pengesahan domain melalui API, serta pemilihan DNS API Provider adalah tepat.
  • Periksa propagasi rekod DNS domain anda menggunakan alat semakan DNS dalam talian (cth: dnschecker.org). Propagasi perubahan DNS mungkin mengambil sedikit masa.
  • Semak persekitaran rangkaian atau tetapan firewall anda supaya ServBay boleh mengakses pelayan ACME dan API DNS anda dengan lancar.
• Mesej ralat berkaitan EAB:
  • Periksa semula sama ada EAB Key ID dan EAB HMAC Key yang diperoleh dari Google Cloud diisi dengan betul dalam ServBay.
  • Pastikan kredensial EAB masih aktif di bahagian Google Cloud anda dan tidak dibatalkan atau tamat tempoh.
• Permohonan tergantung atau masa menunggu terlalu lama:
  • Semak log ServBay (kebiasaannya terletak di folder logs dalam direktori aplikasi ServBay) untuk butiran ralat lanjut.
  • Cuba matikan firewall atau perisian sekuriti buat sementara waktu bagi memastikan ia tidak menghalang komunikasi ACME.
  • Pastikan sambungan rangkaian anda stabil.

Rumusan

Dengan integrasi fungsi ACME dalam ServBay serta sokongan Google Trust Services, pemohonan dan pengurusan sijil SSL yang dipercayai menjadi sangat mudah dan pantas. Ini bukan sahaja memudahkan konfigurasi HTTPS untuk pembangunan tempatan, malah meningkatkan keselamatan serta membantu anda mensimulasikan suasana produksi dengan lebih baik. Manfaatkan automasi yang disediakan oleh ServBay agar anda boleh fokus pada pembangunan, sementara kerumitan pengurusan sijil diuruskan oleh alat — memastikan sambungan laman web anda sentiasa selamat dan dipercayai.