วิธีขอใบรับรอง SSL จาก Google Trust Services

ServBay ไม่ได้เป็นเพียงแค่สภาพแวดล้อมการพัฒนาเว็บในเครื่องที่ทรงพลังเท่านั้น แต่ยังมาพร้อมความสามารถในการรองรับโปรโตคอล ACME ในตัว ช่วยให้คุณสามารถขอและจัดการใบรับรอง SSL ที่น่าเชื่อถือสำหรับโดเมนท้องถิ่นหรือระยะไกลได้อย่างง่ายดาย การใช้ใบรับรอง SSL ที่เชื่อถือได้ (เช่น ที่ออกโดย Google Trust Services) จะช่วยให้คุณจำลองการเชื่อมต่อ HTTPS ในสภาพแวดล้อมการพัฒนาหรือทดสอบ เหมือนกับในโปรดักชันจริง มีประโยชน์มากสำหรับการดีบั๊กปัญหา warning แบบเนื้อหาผสม การตั้งค่าหัวข้อความปลอดภัย และทดสอบว่าแอปพลิเคชันของคุณทำงานได้ตามปกติบน HTTPS

บทความนี้จะสอนคุณอย่างละเอียดเกี่ยวกับวิธีการใช้บริการ CA สาธารณะของ Google Trust Services (GTS) ใน ServBay เพื่อขอใบรับรอง SSL สำหรับเว็บไซต์ของคุณผ่านโปรโตคอล ACME

ข้อกำหนดเบื้องต้น

ก่อนเริ่มต้น โปรดตรวจสอบว่าคุณเตรียมการดังนี้เรียบร้อยแล้ว:

1. เป็นเจ้าของโดเมนและควบคุม DNS ได้: คุณต้องมีโดเมนที่ถูกต้องและสามารถควบคุมระเบียน DNS ของโดเมนนั้น ๆ ได้อย่างสมบูรณ์ นี่เป็นพื้นฐานสำหรับการยืนยันความเป็นเจ้าของโดเมนแบบอัตโนมัติผ่าน DNS API
2. ได้รับคีย์ DNS API: ServBay จะใช้ DNS API เพื่อทำให้ขั้นตอนยืนยันความเป็นเจ้าของโดเมนเป็นอัตโนมัติ คุณต้องขอรับ API Credentials ที่เกี่ยวข้องจากผู้ให้บริการหรือผู้รับจดทะเบียนโดเมนของคุณ (วิธีการและชื่อพารามิเตอร์แต่ละผู้ให้บริการจะแตกต่างกัน โปรดดู acme.sh DNS API Wiki สำหรับรายละเอียดของผู้ให้บริการแต่ละรายและคีย์ที่ต้องใช้)
3. ได้รับกุญแจ EAB ของ Google Trust Services: บริการ ACME ของ Google Trust Services จำเป็นต้องใช้ External Account Binding (EAB) เพื่อผูกบัญชี ACME Client ของคุณ (ที่จัดการโดย ServBay) กับบัญชีของคุณบน Google Cloud สำหรับอนุมัติการออกใบรับรอง คุณต้องขอ EAB Key ID และ EAB HMAC Key จาก Google Cloud Console สามารถดูขั้นตอนโดยละเอียดได้ที่เอกสารทางการของ Google Cloud รับข้อมูล EAB จาก Google Cloud

ขั้นตอนการขอใบรับรอง

1. เปิดแผงควบคุม ServBay: เรียกใช้แอป ServBay และเข้าสู่แผงควบคุมแบบกราฟฟิค

2. ไปที่การจัดการใบรับรอง SSL: ในแถบด้านข้างหรือเมนูด้านบนของแผงควบคุม ServBay ให้เลือกตัวเลือก SSL 证书 (SSL Certificates) เพื่อเข้าสู่หน้าใบรับรอง

3. เริ่มต้นขอใบรับรองใหม่: คลิกปุ่ม “+” ที่มุมขวาบนของหน้าใบรับรองเพื่อเริ่มขั้นตอนขอใบรับรอง SSL ใหม่

4. ตั้งค่าข้อมูลใบรับรอง: ในหน้าต่าง “Request Certificate” ที่แสดงขึ้นมา ให้กรอกข้อมูลดังต่อไปนี้:

   • Common Name: กรอกชื่อระบุใบรับรองนี้ เช่น ชื่อโปรเจกต์หรือโดเมนหลักของคุณ เช่น servbay.demo Certificate
   • Usage Purpose: ให้เลือกเป็น TLS/SSL ตามค่าเริ่มต้น เพื่อใช้สำหรับเข้ารหัสการเชื่อมต่อของ Web Server
   • Request Method: เลือก ACME หมายถึงเลือกใช้โปรโตคอลการจัดการใบรับรองอัตโนมัติ
   • Issuer: จากเมนูที่ปรากฏ ให้เลือก Google Trust Services เป็นผู้ออกใบรับรอง (CA)
   • DNS API Provider: เลือกผู้ให้บริการ DNS ของคุณ (เช่น Cloudflare, GoDaddy, AliYun เป็นต้น) หากไม่พบในรายการ อาจต้องอ้างอิงคู่มือของ ServBay หรือ acme.sh ว่าสามารถรองรับหรือว่าต้องตั้งค่าเพิ่มเติมหรือไม่
   • Algorithm: เลือกอัลกอริทึมสำหรับกุญแจใบรับรอง แนะนำให้เลือก ECC (Elliptic Curve Cryptography) เพราะปลอดภัยและใช้คีย์สั้นกว่า โดยเลือก key length 384
   • EAB Key ID: ป้อน EAB Key ID ที่ได้จาก Google Cloud
   • EAB HMAC Key: ป้อน EAB HMAC Key ที่ได้จาก Google Cloud
   • DNS API Tokens: ป้อนคีย์ DNS API และพารามิเตอร์ที่เกี่ยวข้อง 【สำคัญ】 โปรดตรวจสอบรายละเอียดและชื่อตัวแปรแวดล้อมสำหรับผู้ให้บริการของคุณใน acme.sh DNS API Wiki และอย่าเติมคำสั่ง export ลงไปในช่องนี้ ตัวอย่างเช่น Cloudflare ให้ใส่ CF_Key=YOUR_API_KEY และ CF_Email=YOUR_EMAIL โดยแต่ละพารามิเตอร์แยกบรรทัด
   • Domain: กรอกโดเมนที่ต้องการขอใบรับรอง ถ้ามีเพียงโดเมนเดียวให้กรอกชื่อโดเมนเช่น servbay.demo หากต้องการหลายโดเมนในใบเดียว (SAN Certificate) ให้ใช้เครื่องหมายจุลภาค , คั่นเช่น servbay.demo, www.servbay.demo หากต้องการใบรับรองแบบ wildcard ให้กรอกแบบ *.yourdomain.com เช่น *.servbay.demo (โปรดทราบว่า wildcard ต้องยืนยันผ่าน DNS)

   

5. ส่งคำขอ: ตรวจสอบข้อมูลทั้งหมดถูกต้องและคลิกปุ่ม “Request” ที่ด้านล่างของหน้าต่าง

6. รอการดำเนินการเสร็จสิ้น: ServBay จะทำงานอัตโนมัติในเบื้องหลัง โดยเริ่มตั้งแต่ติดต่อ Google Trust Services, ตรวจสอบความเป็นเจ้าของโดเมนผ่าน DNS API จนถึงการออกใบรับรอง ทั้งนี้อาจใช้เวลาขึ้นอยู่กับความเร็วของการเผยแพร่ DNS และการตอบสนองของ ACME Server เมื่อสำเร็จแล้ว ใบรับรองใหม่จะแสดงในรายการ SSL Certificate ของ ServBay

นำใบรับรองไปใช้กับเว็บไซต์

เมื่อขอใบรับรองสำเร็จและแสดงในรายการ SSL Certificate ของ ServBay คุณสามารถนำไปตั้งค่ากับเว็บไซต์ของคุณได้ โดยไปที่หน้ากำหนดค่า เว็บไซต์ (Websites) เลือกเว็บไซต์ที่ต้องการ ในส่วน SSL ให้เลือก ACME เป็นชนิดใบรับรอง และในเมนูที่เกี่ยวข้อง ให้เลือกใบรับรอง Google Trust Services ที่เพิ่งขอมา จากนั้นบันทึกการตั้งค่า เว็บไซต์ของคุณจะเปิดใช้ HTTPS ผ่านใบรับรองนี้ทันที

ใบรับรองต่ออายุอัตโนมัติ

ใบรับรอง ACME ที่ออกโดย Google Trust Services จะมีอายุ 90 วัน เพื่อความต่อเนื่องในการใช้งาน ServBay มีระบบต่ออายุใบรับรองให้โดยอัตโนมัติ จะดำเนินการต่ออายุให้ล่วงหน้าก่อนหมดอายุโดยไม่ต้องกังวลและไม่ต้องติดตามเอง เพียงตรวจสอบให้แน่ใจว่า ServBay เปิดทำงานตามปกติ เท่านี้ก็จะต่ออายุได้อัตโนมัติ

คำถามที่พบบ่อยและการแก้ปัญหา

• ใบรับรองสมัครไม่สำเร็จ แจ้งเตือนข้อผิดพลาดในการตรวจสอบ DNS:
  • ตรวจสอบว่าคุณป้อน DNS API Key และพารามิเตอร์ต่าง ๆ ถูกต้อง ทั้งชื่อแปรและค่า
  • ยืนยันว่าผู้ให้บริการ DNS รองรับ API สำหรับตรวจสอบโดเมน และคุณเลือก DNS API Provider ได้ถูกต้อง
  • ใช้เครื่องมือออนไลน์ (เช่น dnschecker.org) เพื่อตรวจสอบว่า DNS ของคุณเผยแพร่ถูกต้องแล้วหรือไม่ การเปลี่ยนแปลง DNS อาจใช้เวลาสักระยะ
  • ตรวจสอบเครือข่ายหรือ firewall ว่า ServBay เชื่อมต่อกับ ACME Server และ API ของผู้ให้บริการ DNS ได้ตามปกติ
• แจ้งข้อผิดพลาดเกี่ยวกับ EAB:
  • ตรวจดูให้แน่ใจว่า EAB Key ID และ EAB HMAC Key ที่ได้จาก Google Cloud ตรงกับที่ป้อนใน ServBay
  • ตรวจสอบว่าสิทธิ์ของ EAB Credentials เหล่านี้ยังคงใช้งานได้ปกติใน Google Cloud ไม่ถูกระงับหรือหมดอายุ
• ขั้นตอนขอใบรับรองค้างหรือไม่ตอบสนองเป็นเวลานาน:
  • ตรวจสอบ log ของ ServBay (ปกติจะอยู่ในโฟลเดอร์ logs ใต้ไดเรกทอรีแอป ServBay) เพื่อดูรายละเอียดข้อผิดพลาด
  • ปิด firewall หรือซอฟต์แวร์ป้องกันชั่วคราวเพื่อดูว่าส่งผลต่อการเชื่อมต่อ ACME หรือไม่
  • ตรวจสอบการเชื่อมต่อเน็ตเวิร์กให้เสถียร

สรุป

ด้วยระบบ ACME ที่ผสานอยู่ใน ServBay และการรองรับ Google Trust Services ทำให้การขอและจัดการใบรับรอง SSL ที่เชื่อถือได้กลายเป็นเรื่องง่ายสุด ๆ เพิ่มทั้งความปลอดภัยและความสะดวกสำหรับการตั้งค่า HTTPS ในเครื่องสำหรับนักพัฒนา รวมถึงการจำลองสภาพแวดล้อมขั้นโปรดักชัน ServBay จะดูแลเรื่องซับซ้อนของใบรับรองให้โดยอัตโนมัติ ทำให้นักพัฒนาสามารถทุ่มเทพัฒนาได้อย่างเต็มที่และมั่นใจได้ว่าเว็บไซต์ของคุณจะปลอดภัยตลอดเวลา