跳到主要内容

OHTTPS的证书是由Let's Encrypt颁发,而Let's Encrypt是通过ACME协议来自动化验证您对指定域名的控制权并向您颁发证书的。ACME协议需要您证明您对域名的控制权,一般有两种方式: 您手动添加指定的TXT解析记录至您的域名解析中,这种方式在每次更新时都需要手动操作,无法实现自动化更新和部署;或者使用自动化的方式,自动化方式需要您提供您的DNS域名解析服务商的API接口授权,这样可以实现自动化更新和部署,这也是Let's Encrypt组织提倡的方式。OHTTPS是为了实现证书更新和部署全面自动化为目标的,因此只提供了自动化的方式,但是提供了两种证明域名控制权的方式:

  • DNS授权模式:需要用户提供DNS域名解析服务商的API接口授权
  • 免DNS授权模式:无需用户提供DNS域名解析服务商的API接口授权,只需按照提示添加指定的CANME记录到域名解析中即可

我们提倡用户使用免DNS授权模式,这样对用户来说更放心,更安全,同时即使您的域名解析服务商没有API自动化接口,也可以通过免DNS授权模式实现证书自动化更新和部署。

一、创建DNS授权(若使用免DNS授权模式,则可跳过该步骤)

目前我们已经支持API接口授权验证的的域名解析服务商包括:阿里云AWSGoDaddyDnsPod.cn(腾讯云)Cloudflare,如果您的域名解析服务商不在该列表中,建议您将您的域名解析服务迁移至其中之一。我们会不断努力以支持更多的DNS域名解析服务商,感谢您的支持。

在DNS域名解析服务商是上面所述之一后,需要您创建对应的API接口授权。关于如何在DNS域名解析服务商系统中创建API接口授权,可以查看以下文档:

在DNS域名解析服务商中创建完成API接口授权后,回到OHTTPS中进行DNS授权添加。

  1. 点击左侧菜单 [DNS授权] ,打开DNS授权管理界面
  2. 点击DNS授权管理界面 [添加授权] 按钮,弹出添加授权界面
  3. 选择您的DNS域名解析服务商,填入您刚创建的API接口授权参数
  4. 点击 [添加授权] 按钮,完成DNS授权添加

创建的DNS授权会在下一步 [创建证书] 中使用。如果您有多个域名在同一个DNS域名解析服务商,那么只需要创建一个授权即可,无需重复创建。您还可以在OHTTPS的DNS授权管理界面对DNS授权进行命名、搜索、删除、修改等操作。

二、创建HTTPS证书

选择免DNS授权模式时创建证书步骤为:

  1. 点击左侧菜单 [证书] ,打开证书管理界面
  2. 点击证书管理界面 [创建证书] 按钮,弹出创建证书界面
  3. 选择 [免DNS授权模式]
  4. 选择想要创建的证书类型,证书类型分为:单域名、多域名和泛域名三种
  5. 在证书类型下方的域名输入框中,输入您想要颁发证书的域名
  6. 按照域名下方的提示,在您的域名解析记录中添加相关的CNAME解析记录
  7. 点击验证解析记录,通知Let's Encrypt对您输入的域名进行控制权验证。授权验证过程会需要1~2分钟,请耐心等待。
  8. 验证通过后,点击创建证书即可完成创建。证书创建过程会持续3~10分钟,请耐心等待。

选择DNS授权模式时创建证书步骤为:

  1. 点击左侧菜单 [证书] ,打开证书管理界面
  2. 点击证书管理界面 [创建证书] 按钮,弹出创建证书界面
  3. 选择 [DNS授权模式]
  4. 选择想要创建的证书类型,证书类型分为:单域名、多域名和泛域名三种
  5. 在证书类型下方的域名输入框中,输入您想要颁发证书的域名
  6. 选择DNS域名解析服务商,选择对应的DNS授权
  7. 点击授权验证,通知Let's Encrypt对您输入的域名进行控制权验证。授权验证过程会需要1~2分钟,请耐心等待。
  8. 验证通过后,点击创建证书即可完成创建。如果验证失败,可能是因为您的DNS授权参数输入错误,请重新输入后重试。证书创建过程会持续3~10分钟,请耐心等待。

证书创建完成后,可点击证书查看详情。证书详情页显示了证书的更新版本记录和部署记录。证书一旦创建完成,会生成第一版更新记录,点击对应的更新记录,即可查看证书详细内容,包括:cert.key(PEM格式)、cert.cer(PEM格式)、fullchain.cer(PEM格式)。您还可以在证书管理界面,对证书进行命名、搜索、删除、配置等操作。

三、创建部署节点

如果您需要将证书部署至阿里云、腾讯云、七牛云、多吉云、宝塔面板的负载均衡、证书列表或者CDN中,或者NGINX、HTTPD、OPENRESTY容器中,以及Webhook等,需要在部署节点管理界面添加部署节点。
在添加非容器类部署节点前,需要先在云服务商中创建对应的API接口授权。关于如何在云服务商中创建对应的API接口授权,可以查看以下文档:

  1. 帮助文档 - 部署节点 - 阿里云 - SSL
  2. 帮助文档 - 部署节点 - 阿里云 - ALB
  3. 帮助文档 - 部署节点 - 阿里云 - SLB
  4. 帮助文档 - 部署节点 - 阿里云 - CDN
  5. 帮助文档 - 部署节点 - 腾讯云 - SSL
  6. 帮助文档 - 部署节点 - 腾讯云 - CLB
  7. 帮助文档 - 部署节点 - 腾讯云 - CDN
  8. 帮助文档 - 部署节点 - 七牛云 - SSL
  9. 帮助文档 - 部署节点 - 七牛云 - CDN
  10. 帮助文档 - 部署节点 - 宝塔面板 - SSL
  11. 帮助文档 - 部署节点 - 百度云加速 - CDN
  12. 帮助文档 - 部署节点 - SSH - SSH
  13. 帮助文档 - 部署节点 - Webhook - WEBHOOK
  14. 帮助文档 - 部署节点 - API - API
  15. 帮助文档 - 部署节点 - 多吉云 - CDN

在云服务商中创建完成API接口授权后,回到OHTTPS中进行部署节点添加。

  1. 点击左侧菜单 [部署节点],打开部署节点管理界面
  2. 点击部署节点管理界面 [添加节点] 按钮,弹出添加节点界面
  3. 选择您要部署的云服务商:阿里云、腾讯云、七牛云、宝塔面板
  4. 选择您要将证书部署至云服务商的具体位置:负载均衡(阿里云SLB和ALB、腾讯云CLB)、CDN、SSL
  5. 填入您在云服务商中创建完成的API接口授权参数
  6. 点击 [下一步] 按钮,进入关联证书界面,可选择需要部署至该节点的证书
  7. 点击 [创建部署节点] 按钮,完成部署节点的创建

对于部署位置为SSL的部署节点,多个证书可同时部署至该类型节点,证书之间不会被覆盖;对于部署位置为负载均衡或CDN的部署节点,只能部署单个证书至该类型节点,如果配置多个证书,会导致证书互相覆盖。

如果您需要部署证书至Docker容器中,则无需创建API接口授权,直接添加即可。

  1. 点击左侧菜单 [部署节点] ,打开部署节点管理界面
  2. 点击部署节点管理界面 [添加节点] 按钮,弹出添加节点界面
  3. 选择您要部署的类型:Docker
  4. 选择您要证书部署至的容器类型:NGINX、HTTPD、OPENRESTY
  5. 点击 [点击生成] 令牌按钮,生成令牌
  6. 点击 [下一步] 按钮,进入关联证书界面,可选择需要部署至该节点的证书
  7. 点击 [创建部署节点] 按钮,完成部署节点的创建

目前Docker容器类型支持NGINX、HTTPD和OPENRESTY,如果您有部署至其他容器类型的需要,请通过邮件联系我们。我们会不断努力,支持更多容器类型,感谢您的支持。如果你的证书需要部署至容器中,并且同一镜像启动了多个容器,也只需创建一个部署节点即可。在一个容器中,可同时使用多个证书。由于容器启动前,会拉取关联的证书的最新版,所以在容器启动前,请先完成证书创建和证书部署节点配置操作。具体如何使用Docker类型部署节点,请看以下文档:

  1. 帮助文档 - 部署节点 - Docker - NGINX
  2. 帮助文档 - 部署节点 - Docker - HTTPD
  3. 帮助文档 - 部署节点 - Docker - OPENRESTY
四、对证书进行配置

在证书管理界面,点击 [配置] 按钮,可对证书进行配置。可对是否到期前自动通知、到期前自动更新、更新后自动部署、部署节点等内容那个进行配置。

五、对证书进行监控

证书监控服务用于监控域名站点所使用HTTPS证书的有效期,即使证书不是从OHTTPS申请的也可以监控。证书监控服务会在证书到期前,提前20天向您发送证书即将到期提醒邮件,提醒您及时更新站点所使用的HTTPS证书。