Wystawianie certyfikatu SSL w ServBay za pomocą ACME
ServBay umożliwia automatyczne uzyskiwanie certyfikatów SSL/TLS dla Twoich lokalnych stron developerskich z wykorzystaniem protokołu ACME (Automated Certificate Management Environment). ACME to otwarty standard pozwalający na automatyzację zarządzania cyklem życia certyfikatu (pozyskiwanie, odnawianie, unieważnianie). Dzięki panelowi zarządzania ACME w ServBay możesz łatwo i szybko skonfigurować zaufane certyfikaty SSL dla stron lokalnych, co jest szczególnie ważne przy symulacji środowiska produkcyjnego czy testowaniu funkcjonalności HTTPS.
Domyślnie ServBay używa ZeroSSL jako wystawcy certyfikatów, jednak możesz wybrać także Let's Encrypt, Google Trust Services lub inne urzędy certyfikacji (CA) zgodne z ACME.
TIP
Aby środowisko developerskie było jak najbardziej zbliżone do produkcyjnego, bardzo istotne jest używanie zaufanych certyfikatów SSL. ACME w ServBay sprawia, że proces ten jest wyjątkowo prosty.
Kluczowe pojęcia
Przed rozpoczęciem warto poznać kilka kluczowych terminów, które pomogą Ci lepiej korzystać z ACME w ServBay:
- Protokół ACME: Otwarty standard automatyzujący proces wydawania certyfikatów przez CA, a także ich odnowienia i zarządzania.
- Weryfikacja DNS-01 (tryb DNS API): ACME obsługuje różne metody weryfikacji własności domeny. SerwBay korzysta głównie z metody DNS-01, która wymaga dodania określonego rekordu TXT do DNS Twojej domeny. CA potwierdza Twoją kontrolę nad domeną poprzez sprawdzenie istnienia i poprawności tego wpisu. Zalety tej metody:
- Brak konieczności wystawiania środowiska developerskiego na publiczny internet.
- Możliwość przeprowadzenia weryfikacji nawet gdy porty 80/443 są zablokowane przez firewall lub dostawcę internetu.
- Zewnętrzne powiązanie konta (EAB - External Account Binding): Niektóre CA (np. Google Trust Services, ZeroSSL) wymagają przy pierwszej autoryzacji ACME powiązania Twojego klienta ACME (w ServBay: acme.sh) z kontem zarejestrowanym w danym CA. Najczęściej jest to para Key ID i HMAC Key.
- Certyfikat ECC a RSA:
- RSA: Tradycyjny algorytm kryptograficzny o szerokiej kompatybilności, wymagający dłuższych kluczy (2048/4096 bitów) dla zapewnienia bezpieczeństwa i generujący większe obciążenie obliczeniowe.
- ECC (krzywe eliptyczne): Nowocześniejszy algorytm, pozwalający na osiągnięcie tego samego poziomu bezpieczeństwa przy znacznie krótszych kluczach (256/384 bitów). Certyfikaty ECC są wydajniejsze, szybciej nawiązują połączenie oraz zapewniają lepszą poufność. ServBay zaleca domyślnie użycie certyfikatów ECC.
Wymagania wstępne
ServBay korzysta z DNS API do pozyskiwania certyfikatów przez ACME, dzięki czemu Twoja strona lokalna nie musi być obecna w Interncie. Przed rozpoczęciem procesu upewnij się, że:
- Masz własną domenę: Musisz posiadać zarejestrowaną domenę, nad którą masz kontrolę (możesz edytować jej rekordy DNS).
- Uzyskałeś API Key do DNS swojej domeny: W trakcie procesu wymagane będzie automatyczne dodawanie i usuwanie rekordów TXT poprzez DNS API. Potrzebny będzie API Key (lub inne dane autoryzacyjne) do dostawcy DNS obsługującego Twoją domenę (niekoniecznie rejestratora). Listę obsługiwanych dostawców DNS i instrukcje uzyskania API KEY znajdziesz w oficjalnym Wiki
acme.sh– sekcja DNS API (EN): How to use DNS API. Sprawdź instrukcje dla swojego dostawcy. - Masz dane EAB (jeśli to pierwsze zapytanie do Google Trust Services lub ZeroSSL): Jeśli wybierasz Google Trust Services jako CA, EAB pozyskasz w Google Cloud. Zobacz oficjalną dokumentację Google Cloud (EN): Obtaining EAB credentials from Google Cloud. W przypadku ZeroSSL również przy pierwszym wniosku czasem wymagane jest potwierdzenie mailowe lub API Key.
Krok po kroku: Pozyskiwanie certyfikatu SSL przez ACME w ServBay
W celu automatycznego pozyskania certyfikatu SSL dla lokalnej strony developerskiej, wykonaj następujące kroki:
Otwórz panel administracyjny ServBay. Uruchom ServBay i przejdź do panelu przez ikonę w pasku systemowym lub Docku.
Przejdź do zarządzania certyfikatami SSL. W menu po lewej stronie wybierz „SSL certyfikaty”.
Rozpocznij pozyskiwanie nowego certyfikatu. Kliknij znak
+w prawym górnym rogu ekranu zarządzania certyfikatami i wybierz „Uzyskaj nowy certyfikat”.Wypełnij podstawowe dane certyfikatu.
- Nazwa certyfikatu: Np.
servbay-demo-ssl– łatwa do identyfikacji. - Zastosowanie: Wybierz
TLS/SSL. - Metoda żądania: Wybierz
ACME.
- Nazwa certyfikatu: Np.
Wybierz urząd certyfikacji (CA). W polu „Wystawca/Wydający” wybierz docelowy urząd certyfikacji – domyślnie to
ZeroSSL. Możesz zmienić naLet's EncryptlubGoogle Trust Services. W przykładzie używamy ZeroSSL.Wybierz dostawcę DNS API. Wybierz usługę DNS odpowiedzialną za obsługę rekordów Twojej domeny (np.
Cloudflare). Pamiętaj: liczy się platforma zarządzająca DNS, nie rejestrator domeny (jeśli to różne podmioty).Ustal algorytm i długość klucza certyfikatu.
- Algorytm: Zalecany jest
ECC– najlepszy kompromis między wydajnością i bezpieczeństwem. Dla bardzo starych urządzeń możesz wybraćRSA. - Długość klucza: ECC domyślnie
384bit – to wystarcza. RSA – wybierz 2048 lub 4096 bit.
- Algorytm: Zalecany jest
Podaj dane weryfikacyjne. Pojawią się odpowiednie pola w zależności od wyborów powyżej:
- ZeroSSL – często wymagany jest adres e-mail.
- Cloudflare DNS API – wymagany API Key lub inny klucz autoryzacyjny. Wypełnij zgodnie z wytycznymi z Wiki
acme.sh.
WARNING
Uwaga: Wklej tylko wartość klucza API lub hasła – nie wklejaj poleceń powłoki (
exportitd.)!Dodaj domenę. Wpisz domenę, dla której chcesz uzyskać certyfikat (np.
servbay.demolub*.servbay.demo). Dla certyfikatów typu wildcard (np.*.servbay.demo) upewnij się, że Twój operator DNS obsługuje automatyzację rekordów TXT dla wildcard.Rozpocznij proces żądania. Po sprawdzeniu danych, kliknij „Zażądaj”. ServBay, wykorzystując
acme.sh, automatycznie przeprowadzi weryfikację DNS i złoży wniosek o certyfikat w wybranym CA.

Proces może potrwać od kilku sekund do kilku minut – zależnie od propagacji wpisów DNS i czasu reakcji CA. Postęp sprawdzisz w logach ServBay lub na liście certyfikatów. Po uzyskaniu, nowy certyfikat pojawi się na liście „SSL certyfikaty”.
Przerywanie trwającego wniosku
W trakcie procesu wnioskowania przycisk „Zażądaj” zmienia się na „Zatrzymaj wniosek”. Jeśli proces trwa zbyt długo (np. propagacja DNS jest wolna lub musisz poprawić dane), kliknij „Zatrzymaj wniosek”, popraw dane i uruchom proces ponownie bez oczekiwania na timeout.
Opcje zaawansowane: Oczekiwanie na propagację DNS i pominięcie autoweryfikacji DNS
Domyślnie acme.sh po dodaniu rekordu TXT dla walidacji najpierw lokalnie sprawdza, czy rekord jest obecny, a dopiero potem informuje CA o gotowości. Jednak w niektórych środowiskach (np. przestawione/podmienione DNS, fake-ip, lokalne cache) ten test może się nie powieść lub zająć bardzo dużo czasu, nawet jeśli rekord „na świecie” jest już poprawny.
ServBay umożliwia więc skonfigurowanie dwóch parametrów:
- Czas oczekiwania (w sekundach): Ile czekać na propagację zapisu DNS (domyślnie 120 s). Po takiej przerwie ServBay wywołuje proces sprawdzania przez CA.
- Pomiń autoweryfikację DNS: Po aktywacji tego pola,
acme.shnie będzie lokalnie sprawdzał rekordu, a po upływie zadanego czasu poinformuje CA o gotowości do walidacji. Przydatne, gdy Twój lokalny DNS jest niewiarygodny (fake-ip itd.).
TIP
Jeśli Twoja sieć/środowisko nie powoduje problemów z DNS, zwykle nie trzeba zmieniać tych ustawień. Rozważ zmianę dopiero jeśli pojawi się błąd „Rekord TXT widoczny globalnie, ale lokalna weryfikacja się nie powiodła”.
Użycie certyfikatu w konfiguracji strony w ServBay
Po pozytywnym uzyskaniu certyfikatu ACME możesz przypisać go do wybranej strony WWW w ServBay:
- Otwórz panel „Strony” po lewej w panelu ServBay.
- Wybierz stronę, dla której chcesz włączyć SSL, kliknij ikonę edycji (ołówek).
- W szczegółach strony znajdź opcję „Certyfikat SSL”.
- Z listy wybierz nowy certyfikat ACME.
- Upewnij się, że włączony jest przełącznik „Włącz SSL”.
- Zapisz konfigurację. Twoja strona powinna być od teraz dostępna po HTTPS.

Odnawianie certyfikatów ACME
Certyfikaty zwieńczone protokołem ACME (np. z Let's Encrypt czy ZeroSSL) mają z reguły ważność 90 dni. Aby działać w trybie ciągłym i zawsze korzystać z bezpiecznego HTTPS, certyfikaty muszą być odnawiane przed końcem ważności.
ServBay automatycznie monitoruje ważność certyfikatów pozyskanych przez ACME i w razie zbliżającej się daty wygaśnięcia ponownie korzysta z zapisanych danych DNS API by zainicjować odnowienie.
W standardowej sytuacji, jeśli klucz API do DNS jest ważny, a DNS stan domeny nie zmienił się, nie musisz odświeżać certyfikatu ręcznie – ServBay zrobi wszystko w tle.
Najczęstsze problemy (FAQ) i rozwiązywanie błędów
- Błąd wnioskowania, informacja o niepowodzeniu walidacji DNS?
- Upewnij się, że wpisany klucz/fraza API DNS są poprawne i że masz uprawnienia do modyfikacji rekordów TXT.
- Zweryfikuj, czy wybrany „Dostawca DNS API” zgadza się z faktyczną platformą zarządzającą Twoją domeną.
- Dodanie rekordu w DNS może propagować się kilka minut (lub dłużej) – czasem wystarczy poczekać i powtórzyć próbę.
- Zweryfikuj poprawność wpisanej domeny.
- Jeśli rekord TXT jest poprawnie widoczny globalnie, ale lokalna weryfikacja zawsze się nie powodzi (często na fake-ip lub przechwyconym DNS lokalnym), włącz opcję „Pomiń autoweryfikację DNS” i zwiększ czas oczekiwania – szczegóły jak wyżej.
- Wniosek nieudany, błąd EAB?
- Gdy używasz Google Trust Services lub ZeroSSL (pierwszy raz), sprawdź poprawność podanych danych EAB.
- Jeśli kiedyś się powiodło, a teraz nie, sprawdź czy EAB nadal jest ważny, w razie potrzeby pobierz nowy.
- Nieudana próba z powodu ograniczeń (Rate Limit)?
- CA nakładają limity na ilość możliwych certyfikatów dla domen/IP w danym czasie. Jeśli w krótkim okresie złożysz zbyt wiele wniosków, musisz poczekać (czasem kilka godzin/dni).
- Certyfikat pobrany, ale strona wciąż pokazuje „niezabezpieczona”?
- Zweryfikuj, czy w konfiguracji ServBay przypisałeś nowy certyfikat do danej strony i włączyłeś SSL.
- Wyczyść cache przeglądarki lub otwórz stronę w trybie incognito.
- Sprawdź, czy w pliku hosts lub w ustawieniach sieciowych poprawnie kierujesz ruch do ServBay.
- Kiedy ServBay automatycznie odnawia certyfikaty? SerwBay rozpoczyna odnowienie gdy zbliża się termin ważności (np. 30 dni przed końcem). Jeśli aplikacja działa, a połączenie z siecią jest aktywne – proces przebiega automatycznie w tle.
Podsumowanie
ServBay zapewnia elastyczną i wygodną funkcję ACME, pozwalającą developerom za pomocą DNS API łatwo pozyskiwać i zarządzać zaufanymi certyfikatami SSL/TLS dla środowiska lokalnego. Dzięki temu nie tylko upraszczasz sobie konfigurację certyfikatów, ale – co ważniejsze – tworzysz środowisko developerskie niezwykle zbliżone do produkcji, w pełni zgodne z HTTPS, co znacząco pomaga w pracy i testowaniu.
Mamy nadzieję, że ten przewodnik pomoże Ci sprawnie skonfigurować certyfikat przez ACME w ServBay i wynieść Twoje środowisko lokalne na wyższy poziom bezpieczeństwa i profesjonalizmu!
