如何向 Google Trust Services 申請 SSL 憑證

ServBay 不單是一個強大的本地 Web 開發環境，還內建對 ACME 協議的支援，讓您可輕鬆為本地或遠端網域申請及管理受信任的 SSL 憑證。利用由 Google Trust Services 等受信任 CA 簽發的 SSL 憑證，您可以於本地開發或測試環境模擬生產環境下的 HTTPS 連線，這對於排查混合內容警告、測試安全標頭以及確保應用於 HTTPS 條件下順利運作至關重要。

本文將詳細說明如何於 ServBay 中，藉由 Google Trust Services (GTS) 公共 CA 服務，透過 ACME 協議為您的網站申請 SSL 憑證。

前置條件

在開始前，請確保您已完成下列準備：

1. 持有網域並可掌控 DNS： 您需要一組有效的網域名稱，且需能完全管控該網域的 DNS 記錄。這是以 DNS API 進行網域所有權驗證的前提。
2. 取得 DNS API 金鑰： ServBay 將以 DNS API 機制，自動化網域所有權驗證流程。您需自您的網域註冊商或 DNS 服務供應商取得對應的 API 憑證。不同供應商取得方式及參數名稱略有差異。請參閱 acme.sh DNS API Wiki 查找您的服務商所需資訊與金鑰資料。
3. 取得 Google Trust Services EAB 金鑰： Google Trust Services 的 ACME 服務要求使用 External Account Binding（外部帳號綁定，簡稱 EAB）。EAB 是一種將您的 ACME 用戶端帳號（由 ServBay 管理）與 Google Cloud 帳戶關聯的授權機制。您需自 Google Cloud 控制台獲取 EAB Key ID 及 EAB HMAC Key。操作詳情請參閱 Google Cloud 官方文件：如何自 Google Cloud 取得 EAB 資訊。

申請流程

1. 開啟 ServBay 控制面板： 啟動 ServBay 應用程式並進入圖形化管理介面。

2. 進入 SSL 憑證管理： 於 ServBay 控制面板側邊欄或頂部選單中，尋找並點擊 SSL 憑證 (SSL Certificates) 選項，進入憑證管理頁面。

3. 開始憑證申請流程： 於憑證列表頁右上方點選 “+” 按鈕，開始新增 SSL 憑證申請。

4. 設定憑證申請資訊： 在彈出的 “Request Certificate” 視窗中，依指示填妥下列資訊：

   • Common Name： 輸入此憑證申請的識別名稱，例如您的專案名稱或主網域。例如：servbay.demo Certificate。
   • Usage Purpose： 保持預設選項 TLS/SSL（用於加密 Web 伺服器連線）。
   • Request Method： 選擇 ACME，代表您將透過自動化憑證管理環境協議申請憑證。
   • Issuer： 從下拉選單中選擇 Google Trust Services 作為您的憑證簽發機構 (CA)。
   • DNS API Provider： 從列表中選擇您的 DNS 服務供應商（如 Cloudflare、GoDaddy、AliYun 等）。若找不到對應供應商，請查閱 ServBay 或 acme.sh 資訊確定是否能支援或另需設定。
   • Algorithm： 選擇憑證金鑰演算法。建議選用 ECC（橢圓曲線加密演算法），通常能提供較佳安全性且金鑰較短。選擇金鑰長度 384。
   • EAB Key ID： 輸入自 Google Cloud 取得的 EAB Key ID。
   • EAB HMAC Key： 輸入自 Google Cloud 取得的 EAB HMAC Key。
   • DNS API Tokens： 輸入您的 DNS API 金鑰與相關參數。【重要】 請參閱 DNS 供應商在 acme.sh DNS API Wiki 說明，輸入正確環境變數名稱及值。請勿於輸入框內包含 export 命令本身。 例如，Cloudflare 需填寫 CF_Key=YOUR_API_KEY 及 CF_Email=YOUR_EMAIL，一行一組參數。
   • Domain： 輸入您申請憑證用之一或多個網域。單一網域直接填寫（如：servbay.demo）；若申請多網域（SAN 憑證），請用英文逗號 , 分隔（如：servbay.demo, www.servbay.demo）。如需泛域名憑證，填寫 *.yourdomain.com 格式（如：*.servbay.demo），但請注意泛域名憑證通常僅支援 DNS 驗證。

   

5. 提交申請： 請確認以上所有資訊無誤後，點擊視窗下方 “Request” 按鈕。

6. 靜待申請完成： ServBay 將於背景自動執行 ACME 流程，包括聯繫 Google Trust Services、經 DNS API 進行網域所有權驗證，最後簽發憑證。此流程或需一段時間，取決於 DNS 記錄傳播及 ACME 伺服器反應速度。申請成功後，新憑證會顯示於 ServBay SSL 憑證列表中。

將憑證套用至網站

成功申請並於 ServBay SSL 憑證列表內看到憑證後，即可設定至您的網站。請進入 網站 (Websites) 設定頁，選擇需設定之網站。在 SSL 設定區，設定憑證類型為 ACME，並於對應下拉選單中挑選剛取得的 Google Trust Services 憑證。儲存網站設定後，您的網站將正式透過該憑證啟用 HTTPS 傳輸。

憑證自動續期

Google Trust Services 簽發之 ACME 憑證，通常有效期為 90 天。為確保憑證持續有效，ServBay 內建自動續期功能，可在憑證到期前自動執行續期，無需人工追蹤與干預。請確保 ServBay 定期運行，以便續期任務順利執行。

常見問題與疑難排解

• 憑證申請失敗，提示 DNS 驗證錯誤：
  • 請檢查填寫的 DNS API 金鑰及參數是否正確（環境變數名稱及數值）。
  • 確認 DNS 服務商支援 API 驗證，且您選擇正確的 DNS API Provider。
  • 可使用線上 DNS 查詢工具（如 dnschecker.org）檢查網域相關 DNS 記錄是否已傳播到位。DNS 設定異動通常需等待一段時間。
  • 檢查您的網絡或防火牆是否攔阻 ServBay 存取 ACME 伺服器及 DNS 供應商 API。
• 出現 EAB 相關錯誤提示：
  • 仔細比對來自 Google Cloud 的 EAB Key ID 與 EAB HMAC Key 是否填寫無誤。
  • 確認這些 EAB 憑證於 Google Cloud 端仍然有效、未遭撤銷或失效。
• 申請過程長時間無回應或停滯：
  • 檢查 ServBay 的日誌檔（通常於應用程式資料夾內的 logs 子資料夾），尋找具體錯誤資訊。
  • 暫時關閉防火牆或安全軟體，排查其是否干擾 ACME 通訊。
  • 請保證網絡連線穩定。

總結

結合 ServBay 的 ACME 支援與 Google Trust Services，獲取及管理受信任 SSL 憑證變得前所未有地簡單。這不僅大大簡化了本地開發環境的 HTTPS 配置並提升資安，更為生產環境模擬測試帶來便利。善用 ServBay 的自動化能力，讓您可以專注於開發工作，將憑證管理的繁雜事務交給工具處理，確保網站連線持續安全可靠。