Как получить SSL-сертификат от Google Trust Services
ServBay — это не только мощная локальная среда для веб-разработки, но и инструмент с встроенной поддержкой протокола ACME, который позволяет удобно запрашивать и управлять доверенными SSL-сертификатами как для локальных, так и для удалённых доменов. Использование доверенного SSL-сертификата (например, от Google Trust Services) помогает воссоздать HTTPS-окружение производственного сервера в локальной или тестовой среде, что критически важно для отладки предупреждений о смешанном содержимом, тестирования защищённых заголовков и уверенности в корректной работе приложения через HTTPS.
В этом материале вы найдёте пошаговую инструкцию по использованию публичного CA-сервиса Google Trust Services (GTS) через протокол ACME для получения SSL-сертификата в ServBay.
Необходимые условия
Перед тем как приступить, убедитесь, что выполнены следующие шаги:
- Домены и управление DNS: У вас должен быть действующий домен с полным доступом к управлению его DNS-записями, поскольку для проверки права собственности будет использоваться DNS API.
- API-ключи для DNS: ServBay автоматизирует процесс проверки владения доменом через DNS API. Получите необходимые API-данные у вашего регистратора или DNS-провайдера. Способы получения и имена параметров отличаются у разных поставщиков. Подробности — в документации по DNS API acme.sh.
- Получение EAB-ключа Google Trust Services: Для работы с ACME-сервисом GTS требуется привязка внешнего аккаунта (External Account Binding, EAB). Механизм EAB связывает ваш ACME-клиент (под управлением ServBay) с аккаунтом Google Cloud для авторизации выпуска сертификата. Необходимо получить EAB Key ID и EAB HMAC Key в консоли Google Cloud. Ознакомьтесь с официальной инструкцией Google Cloud: Получение EAB от Google Cloud.
Пошаговая инструкция по получению
Откройте панель управления ServBay: Запустите приложение и перейдите в графическую административную панель.
Перейдите к управлению SSL-сертификатами: В боковом меню или верхней панели выберите пункт
SSL Certificates
, чтобы открыть интерфейс управления сертификатами.Запустите процесс запроса сертификата: В правом верхнем углу списка сертификатов нажмите кнопку “+” для создания нового SSL-сертификата.
Заполните данные для запроса: В появившемся окне “Request Certificate” укажите:
- Common Name: Впишите название для идентификации запроса сертификата, например имя проекта или основной домен. Пример:
servbay.demo Certificate
. - Usage Purpose: Оставьте вариант по умолчанию
TLS/SSL
— сертификат будет использоваться для шифрования соединений веб-сервера. - Request Method: Выберите
ACME
для запроса по протоколу автоматического управления сертификатами. - Issuer: В выпадающем списке выберите
Google Trust Services
как центр сертификации (CA). - DNS API Provider: Укажите вашего DNS-провайдера (например Cloudflare, GoDaddy, AliYun и др.). Если его нет в списке, проверьте поддержку и дополнительную настройку в документации ServBay или acme.sh.
- Algorithm: Выберите алгоритм для ключа сертификата. Рекомендуем
ECC
(эллиптическая криптография) с длиной ключа 384 — это современно, безопасно и экономит ресурсы. - EAB Key ID: Впишите полученный в Google Cloud идентификатор EAB Key ID.
- EAB HMAC Key: Введите свой EAB HMAC Key, полученный с Google Cloud.
- DNS API Tokens: Добавьте ваши API-ключи и параметры DNS. 【Важно】 Следуйте инструкциям вашего DNS-провайдера в разделе acme.sh DNS API Wiki: вписывайте только имена переменных и их значения, без самой команды
export
. Например для Cloudflare:CF_Key=YOUR_API_KEY
иCF_Email=YOUR_EMAIL
(каждая переменная с новой строки). - Domain: Введите один или несколько доменов для сертификата: для одного достаточно просто доменного имени (
servbay.demo
), для мультидоменного (SAN) сертификата разделяйте запятыми (servbay.demo, www.servbay.demo
). При необходимости wildcard-сертификата используйте вид*.yourdomain.com
(например*.servbay.demo
). Обратите внимание — для wildcard обычно необходима верификация через DNS.
- Common Name: Впишите название для идентификации запроса сертификата, например имя проекта или основной домен. Пример:
Отправьте запрос: Проверьте корректность информации и нажмите “Request” в нижней части окна.
Дождитесь завершения процедуры: ServBay автоматически выполнит процесс ACME: обратится в Google Trust Services, проведёт DNS-верификацию через API, после чего сертификат будет выпущен. Обычно процесс занимает несколько минут, время зависит от обновления DNS и работы ACME-сервера. При успехе сертификат появится в списке SSL-сертификатов ServBay.
Применение сертификата к вашему сайту
После успешного получения сертификата и появления его в списке, вы можете назначить его на свой веб-сайт. Откройте раздел Websites
и выберите нужный сайт. В настройках SSL выберите тип сертификата ACME
, а далее — нужный сертификат Google Trust Services из выпадающего списка. Сохраните настройки сайта — теперь ваш сайт будет работать по HTTPS через этот сертификат.
Автоматическое продление сертификата
Срок действия ACME-сертификатов от Google Trust Services составляет обычно 90 дней. В ServBay реализована автоматическая система продления сертификатов: ближе к дате истечения программа попытается сама обновить сертификат, ручное вмешательство не требуется. Убедитесь, что ServBay регулярно запущен, чтобы функция автообновления работала без перебоев.
Часто задаваемые вопросы и устранение неисправностей
- Ошибка запроса сертификата, проблема с DNS-подтверждением:
- Проверьте корректность введённых API-ключей и параметров DNS (имена переменных и их значения).
- Убедитесь, что ваш DNS-провайдер поддерживает автоматическую проверку через API и вы выбрали правильный
DNS API Provider
. - Используйте онлайн-сервисы, например
dnschecker.org
, чтобы проверить обновление DNS-записей домена. Имейте в виду, что их распространение может занять некоторое время. - Проверьте настройки вашей сети или файрвола — ServBay должен иметь доступ к серверу ACME и API вашего DNS-провайдера.
- Ошибка EAB:
- Внимательно перепроверьте, верно ли введены EAB Key ID и EAB HMAC Key из Google Cloud.
- Удостоверьтесь, что эти ключи EAB ещё действительны и не были отозваны или просрочены в вашей учётной записи Google Cloud.
- Долгая реакция или зависание процесса:
- Просмотрите лог-файлы ServBay (обычно они находятся в папке
logs
внутри каталога приложения) — это поможет выяснить причину. - Временно отключите файрвол или антивирус, чтобы исключить их влияние на связь с ACME.
- Проверьте стабильность интернет-соединения.
- Просмотрите лог-файлы ServBay (обычно они находятся в папке
Итоги
С интегрированным ACME и поддержкой Google Trust Services платформа ServBay делает работу с доверенными SSL-сертификатами максимально простой и автоматизированной. Это позволяет быстро и безопасно разворачивать HTTPS даже в локальной среде, выгодно приближая её к промышленным стандартам, а также сосредоточиться на разработке, не теряя время на рутинное управление сертификатами. Благодаря автоматизации ServBay ваши сайты всегда будут работать по защищённому соединению, а сертификаты — обновляться вовремя.