Как получить SSL-сертификат от Google Trust Services

ServBay — это не только мощная локальная среда для веб-разработки, но и инструмент с встроенной поддержкой протокола ACME, который позволяет удобно запрашивать и управлять доверенными SSL-сертификатами как для локальных, так и для удалённых доменов. Использование доверенного SSL-сертификата (например, от Google Trust Services) помогает воссоздать HTTPS-окружение производственного сервера в локальной или тестовой среде, что критически важно для отладки предупреждений о смешанном содержимом, тестирования защищённых заголовков и уверенности в корректной работе приложения через HTTPS.

В этом материале вы найдёте пошаговую инструкцию по использованию публичного CA-сервиса Google Trust Services (GTS) через протокол ACME для получения SSL-сертификата в ServBay.

Необходимые условия

Перед тем как приступить, убедитесь, что выполнены следующие шаги:

1. Домены и управление DNS: У вас должен быть действующий домен с полным доступом к управлению его DNS-записями, поскольку для проверки права собственности будет использоваться DNS API.
2. API-ключи для DNS: ServBay автоматизирует процесс проверки владения доменом через DNS API. Получите необходимые API-данные у вашего регистратора или DNS-провайдера. Способы получения и имена параметров отличаются у разных поставщиков. Подробности — в документации по DNS API acme.sh.
3. Получение EAB-ключа Google Trust Services: Для работы с ACME-сервисом GTS требуется привязка внешнего аккаунта (External Account Binding, EAB). Механизм EAB связывает ваш ACME-клиент (под управлением ServBay) с аккаунтом Google Cloud для авторизации выпуска сертификата. Необходимо получить EAB Key ID и EAB HMAC Key в консоли Google Cloud. Ознакомьтесь с официальной инструкцией Google Cloud: Получение EAB от Google Cloud.

Пошаговая инструкция по получению

1. Откройте панель управления ServBay: Запустите приложение и перейдите в графическую административную панель.

2. Перейдите к управлению SSL-сертификатами: В боковом меню или верхней панели выберите пункт SSL Certificates, чтобы открыть интерфейс управления сертификатами.

3. Запустите процесс запроса сертификата: В правом верхнем углу списка сертификатов нажмите кнопку “+” для создания нового SSL-сертификата.

4. Заполните данные для запроса: В появившемся окне “Request Certificate” укажите:

   • Common Name: Впишите название для идентификации запроса сертификата, например имя проекта или основной домен. Пример: servbay.demo Certificate.
   • Usage Purpose: Оставьте вариант по умолчанию TLS/SSL — сертификат будет использоваться для шифрования соединений веб-сервера.
   • Request Method: Выберите ACME для запроса по протоколу автоматического управления сертификатами.
   • Issuer: В выпадающем списке выберите Google Trust Services как центр сертификации (CA).
   • DNS API Provider: Укажите вашего DNS-провайдера (например Cloudflare, GoDaddy, AliYun и др.). Если его нет в списке, проверьте поддержку и дополнительную настройку в документации ServBay или acme.sh.
   • Algorithm: Выберите алгоритм для ключа сертификата. Рекомендуем ECC (эллиптическая криптография) с длиной ключа 384 — это современно, безопасно и экономит ресурсы.
   • EAB Key ID: Впишите полученный в Google Cloud идентификатор EAB Key ID.
   • EAB HMAC Key: Введите свой EAB HMAC Key, полученный с Google Cloud.
   • DNS API Tokens: Добавьте ваши API-ключи и параметры DNS. 【Важно】 Следуйте инструкциям вашего DNS-провайдера в разделе acme.sh DNS API Wiki: вписывайте только имена переменных и их значения, без самой команды export. Например для Cloudflare: CF_Key=YOUR_API_KEY и CF_Email=YOUR_EMAIL (каждая переменная с новой строки).
   • Domain: Введите один или несколько доменов для сертификата: для одного достаточно просто доменного имени (servbay.demo), для мультидоменного (SAN) сертификата разделяйте запятыми (servbay.demo, www.servbay.demo). При необходимости wildcard-сертификата используйте вид *.yourdomain.com (например *.servbay.demo). Обратите внимание — для wildcard обычно необходима верификация через DNS.

   

5. Отправьте запрос: Проверьте корректность информации и нажмите “Request” в нижней части окна.

6. Дождитесь завершения процедуры: ServBay автоматически выполнит процесс ACME: обратится в Google Trust Services, проведёт DNS-верификацию через API, после чего сертификат будет выпущен. Обычно процесс занимает несколько минут, время зависит от обновления DNS и работы ACME-сервера. При успехе сертификат появится в списке SSL-сертификатов ServBay.

Применение сертификата к вашему сайту

После успешного получения сертификата и появления его в списке, вы можете назначить его на свой веб-сайт. Откройте раздел Websites и выберите нужный сайт. В настройках SSL выберите тип сертификата ACME, а далее — нужный сертификат Google Trust Services из выпадающего списка. Сохраните настройки сайта — теперь ваш сайт будет работать по HTTPS через этот сертификат.

Автоматическое продление сертификата

Срок действия ACME-сертификатов от Google Trust Services составляет обычно 90 дней. В ServBay реализована автоматическая система продления сертификатов: ближе к дате истечения программа попытается сама обновить сертификат, ручное вмешательство не требуется. Убедитесь, что ServBay регулярно запущен, чтобы функция автообновления работала без перебоев.

Часто задаваемые вопросы и устранение неисправностей

• Ошибка запроса сертификата, проблема с DNS-подтверждением:
  • Проверьте корректность введённых API-ключей и параметров DNS (имена переменных и их значения).
  • Убедитесь, что ваш DNS-провайдер поддерживает автоматическую проверку через API и вы выбрали правильный DNS API Provider.
  • Используйте онлайн-сервисы, например dnschecker.org, чтобы проверить обновление DNS-записей домена. Имейте в виду, что их распространение может занять некоторое время.
  • Проверьте настройки вашей сети или файрвола — ServBay должен иметь доступ к серверу ACME и API вашего DNS-провайдера.
• Ошибка EAB:
  • Внимательно перепроверьте, верно ли введены EAB Key ID и EAB HMAC Key из Google Cloud.
  • Удостоверьтесь, что эти ключи EAB ещё действительны и не были отозваны или просрочены в вашей учётной записи Google Cloud.
• Долгая реакция или зависание процесса:
  • Просмотрите лог-файлы ServBay (обычно они находятся в папке logs внутри каталога приложения) — это поможет выяснить причину.
  • Временно отключите файрвол или антивирус, чтобы исключить их влияние на связь с ACME.
  • Проверьте стабильность интернет-соединения.

Итоги

С интегрированным ACME и поддержкой Google Trust Services платформа ServBay делает работу с доверенными SSL-сертификатами максимально простой и автоматизированной. Это позволяет быстро и безопасно разворачивать HTTPS даже в локальной среде, выгодно приближая её к промышленным стандартам, а также сосредоточиться на разработке, не теряя время на рутинное управление сертификатами. Благодаря автоматизации ServBay ваши сайты всегда будут работать по защищённому соединению, а сертификаты — обновляться вовремя.