Як отримати SSL-сертифікат від Google Trust Services

ServBay — це не лише потужне локальне середовище розробки для вебу; воно також має вбудовану підтримку протоколу ACME, що дозволяє вам легко отримувати та керувати довіреними SSL-сертифікатами для локальних або віддалених доменів. Використання довірених SSL-сертифікатів (наприклад, виданих Google Trust Services) дає змогу імітувати захищене HTTPS-з'єднання у ваших локальних чи тестових середовищах, що особливо важливо для відлагодження попереджень про змішаний контент, тестування безпечних заголовків і впевненості, що ваш застосунок правильно працює через HTTPS.

У цьому матеріалі ви знайдете покрокову інструкцію, як за допомогою сервісу публічної CA від Google Trust Services (GTS) та протоколу ACME отримати SSL-сертифікат для свого сайту у ServBay.

Передумови

Перш ніж розпочати, переконайтеся, що у вас виконані такі умови:

1. Володієте доменом та контролюєте DNS: У вас повинен бути чинний домен та повний контроль над його DNS-записами. Це необхідно для автентифікації власності домену через DNS API.
2. Отримали ключ API для DNS: ServBay використовує DNS API для автоматизації перевірки доменної власності. Необхідно отримати відповідні API-дані у вашого реєстратора домену або DNS-провайдера. Кожний провайдер має власний спосіб отримання й назви параметрів. Перегляньте acme.sh DNS API Wiki, щоб дізнатися як отримати необхідні ключі саме для вашого провайдера.
3. Отримали EAB-ключ Google Trust Services: Сервіс ACME від Google Trust Services вимагає використання EAB (External Account Binding) — механізму, що дозволяє зв'язати обліковий запис ACME-клієнта (керується ServBay) із вашим акаунтом у Google Cloud для авторизації випуску сертифіката. Вам потрібно отримати EAB Key ID і EAB HMAC Key у консольній панелі Google Cloud. Детальні інструкції — в офіційній документації Google Cloud: Як отримати EAB-дані з Google Cloud.

Покрокова інструкція

1. Відкрийте панель керування ServBay: Запустіть застосунок ServBay і відкрийте графічну панель керування.

2. Перейдіть до керування SSL-сертифікатами: У лівому меню або у верхньому навігаційному меню знайдіть і виберіть розділ SSL сертифікати (SSL Certificates), щоб перейти до управління сертифікатами.

3. Запустіть процес подачі заявки на сертифікат: У правому верхньому куті списку сертифікатів натисніть кнопку “+”, щоб подати заявку на новий SSL-сертифікат.

4. Заповніть дані для заявки на сертифікат: У діалоговому вікні “Request Certificate” вкажіть такі дані:

   • Common Name: Введіть ім'я для ідентифікації даної заявки, наприклад назва проекту чи основний домен. Наприклад: servbay.demo Certificate.
   • Usage Purpose: Залиште значення за замовчуванням — TLS/SSL, це означає, що сертифікат використовуватиметься для шифрування з'єднання із веб-сервером.
   • Request Method: Оберіть ACME для використання автоматизованого протоколу керування сертифікатами.
   • Issuer: У випадаючому списку виберіть Google Trust Services як центр сертифікації (CA).
   • DNS API Provider: Вкажіть вашого провайдера DNS (наприклад, Cloudflare, GoDaddy, AliYun та інші). Якщо вашого провайдера немає у списку, ознайомтеся із документацією ServBay чи acme.sh щодо підтримки або додаткової конфігурації.
   • Algorithm: Вкажіть алгоритм створення ключа. Рекомендується ECC (еліптична криптографія), що забезпечує кращу безпеку при меншій довжині ключа. Оберіть довжину ключа 384.
   • EAB Key ID: Введіть EAB Key ID, який ви отримали у Google Cloud.
   • EAB HMAC Key: Введіть EAB HMAC Key, отриманий у Google Cloud.
   • DNS API Tokens: Введіть ваші ключі API DNS і відповідні параметри. [Важливо] Детальніше про варіанти і назви змінних для вашого провайдера шукайте на сторінці acme.sh DNS API Wiki. УВАГА! Не вписуйте команду export у поле вводу. Наприклад, для Cloudflare потрібно вказати CF_Key=YOUR_API_KEY та CF_Email=YOUR_EMAIL, кожен параметр — на окремому рядку.
   • Domain: Введіть один або кілька доменів, для яких потрібен сертифікат. Для одного домену просто впишіть його (наприклад: servbay.demo). Для сертифіката із декількома доменами (SAN сертифікат) розділяйте домени комами (наприклад: servbay.demo, www.servbay.demo). Для wildcard-сертифіката використовуйте формат *.yourdomain.com (наприклад: *.servbay.demo), але зверніть увагу, що wildcard-сертифікати зазвичай вимагають DNS-підтвердження.

   

5. Подайте заявку: Переконайтеся, що всі поля заповнені правильно, та натисніть кнопку “Request” внизу діалогового вікна.

6. Дочекайтесь завершення процесу: ServBay автоматично виконає процес ACME у фоновому режимі: зв'яжеться із Google Trust Services, перевірить домен через API DNS і видасть сертифікат. Це може зайняти певний час залежно від поширення DNS-записів і швидкості відповіді ACME-сервера. Після успішної заявки новий сертифікат відобразиться у списку SSL-сертифікатів у ServBay.

Застосування сертифіката на сайті

Якщо сертифікат успішно з'явився у списку SSL-сертифікатів ServBay, ви можете закріпити його за своїм сайтом. Перейдіть до розділу налаштування Сайти (Websites), виберіть потрібний сайт, а у секції SSL налаштувань як тип сертифіката виберіть ACME та зі списку виберіть нещодавно отриманий сертифікат Google Trust Services. Збережіть налаштування — і ваш сайт почне працювати по захищеному протоколу HTTPS з цим сертифікатом.

Автоматичне продовження сертифіката

ACME-сертифікати від Google Trust Services зазвичай дійсні 90 днів. Щоб сертифікат залишався чинним, у ServBay передбачена функція автоматичного оновлення. Сервіс самостійно запускає процес продовження задовго до завершення терміну дії, і вам не потрібно слідкувати чи втручатися в процес поновлення вручну. Переконайтеся, що ServBay працює регулярно — це потрібно для виконання таких завдань.

Поширені питання та вирішення проблем

• Не вдалося отримати сертифікат, помилка перевірки DNS:
  • Перевірте правильність введених ключів та даних API DNS, особливо назви змінних і їх значення.
  • Переконайтеся, що ваш DNS-провайдер підтримує перевірку домену через API й у полі “DNS API Provider” обрано правильний варіант.
  • Із допомогою сервісу на кшталт dnschecker.org перевірте, чи зміни до ваших DNS-записів уже розповсюджені. DNS-оновлення іноді займають деякий час.
  • Перевірте, чи не блокує ваша мережа або брандмауер доступ ServBay до серверів ACME і API DNS-провайдера.
• Помилка EAB:
  • Ретельно перевірте, що вказані у ServBay EAB Key ID та EAB HMAC Key повністю збігаються з виданими Google Cloud.
  • Переконайтеся, що ці ключі дійсні й не відкликані чи не застаріли на стороні Google Cloud.
• Заявка зависає чи довго не реагує:
  • Перегляньте журнали ServBay (знаходяться у папці logs у каталозі додатку ServBay) для отримання детальніших повідомлень про помилки.
  • Тимчасово вимкніть брандмауер чи антивірус, щоб виключити їх втручання у з'єднання із сервісами ACME.
  • Переконайтеся у стабільності свого інтернет-з'єднання.

Підсумок

Завдяки інтеграції ACME у ServBay і підтримці Google Trust Services отримання та керування довіреними SSL-сертифікатами ще ніколи не було таким зручним. Ви значно спрощуєте налаштування HTTPS у локальному середовищі, підвищуєте безпеку та легко імітуєте релізне оточення. Використовуючи автоматичні можливості ServBay, ви можете зосередитись на розробці, а питання безпеки та оновлення сертифіката залишити інструменту, захищаючи підключення до вашого сайту надійно і безперервно.