OHTTPS的免费版证书是由Let's Encrypt颁发,专业版证书是由Sectigo(原Comodo)颁发。
Let's Encrypt是通过ACME协议来自动化验证您对指定域名的控制权并向您颁发证书的。ACME协议需要您证明您对域名的控制权,一般有两种方式: 您手动添加指定的TXT解析记录至您的域名解析中,这种方式在每次更新时都需要手动操作,无法实现自动化更新和部署;或者使用自动化的方式,自动化方式需要您提供您的DNS域名解析服务商的API接口授权,这样可以实现自动化更新和部署,这也是Let's Encrypt组织提倡的方式。OHTTPS是为了实现证书更新和部署全面自动化为目标的,因此只提供了自动化的方式,但是提供了三种证明域名控制权的方式:
- DNS授权验证模式:需要用户提供DNS域名解析服务商的API接口授权
- 免DNS授权验证模式:无需用户提供DNS域名解析服务商的API接口授权,只需按照提示添加指定的CANME记录到域名解析中即可
- HTTP验证模式:无需用户提供DNS域名解析服务商的API接口授权,只需按照提示设置服务端配置即可
一、创建DNS授权(若使用免DNS授权模式,则可跳过该步骤)
目前我们已经支持API接口授权验证的的域名解析服务商包括:阿里云、AWS、GoDaddy、DnsPod.cn(腾讯云)、Cloudflare、华为云、百度智能云,如果您的域名解析服务商不在该列表中,建议您将您的域名解析服务迁移至其中之一。我们会不断努力以支持更多的DNS域名解析服务商,感谢您的支持。
在DNS域名解析服务商是上面所述之一后,需要您创建对应的API接口授权。关于如何在DNS域名解析服务商系统中创建API接口授权,可以查看以下文档:
- 帮助文档 - DNS授权 - 阿里云
- 帮助文档 - DNS授权 - AWS
- 帮助文档 - DNS授权 - GoDaddy
- 帮助文档 - DNS授权 - DnsPod.cn(腾讯云)
- 帮助文档 - DNS授权 - 华为云
- 帮助文档 - DNS授权 - 百度智能云
- 帮助文档 - DNS授权 - Cloudflare
- 帮助文档 - DNS授权 - DNS.LA
- 帮助文档 - DNS授权 - 西部数码
在DNS域名解析服务商中创建完成API接口授权后,回到OHTTPS中进行DNS授权添加。
- 点击左侧菜单 [DNS授权] ,打开DNS授权管理界面
- 点击DNS授权管理界面 [添加授权] 按钮,弹出添加授权界面
- 选择您的DNS域名解析服务商,填入您刚创建的API接口授权参数
- 点击 [添加授权] 按钮,完成DNS授权添加
创建的DNS授权会在下一步 [创建证书] 中使用。如果您有多个域名在同一个DNS域名解析服务商,那么只需要创建一个授权即可,无需重复创建。您还可以在OHTTPS的DNS授权管理界面对DNS授权进行命名、搜索、删除、修改等操作。
二、创建HTTPS证书
选择免DNS授权模式时创建证书步骤为:
- 点击左侧菜单 [证书] ,打开证书管理界面
- 点击证书管理界面 [创建证书] 按钮,弹出创建证书界面
- 选择 [免DNS授权模式]
- 选择想要创建的证书类型,证书类型分为:单域名、多域名和泛域名三种
- 在证书类型下方的域名输入框中,输入您想要颁发证书的域名
- 按照域名下方的提示,在您的域名解析记录中添加相关的CNAME解析记录
- 点击验证解析记录,通知Let's Encrypt对您输入的域名进行控制权验证。授权验证过程会需要1~2分钟,请耐心等待。
- 验证通过后,点击创建证书即可完成创建。证书创建过程会持续3~10分钟,请耐心等待。
选择DNS授权模式时创建证书步骤为:
- 点击左侧菜单 [证书] ,打开证书管理界面
- 点击证书管理界面 [创建证书] 按钮,弹出创建证书界面
- 选择 [DNS授权模式]
- 选择想要创建的证书类型,证书类型分为:单域名、多域名和泛域名三种
- 在证书类型下方的域名输入框中,输入您想要颁发证书的域名
- 选择DNS域名解析服务商,选择对应的DNS授权
- 点击授权验证,通知Let's Encrypt对您输入的域名进行控制权验证。授权验证过程会需要1~2分钟,请耐心等待。
- 验证通过后,点击创建证书即可完成创建。如果验证失败,可能是因为您的DNS授权参数输入错误,请重新输入后重试。证书创建过程会持续3~10分钟,请耐心等待。
证书创建完成后,可点击证书查看详情。证书详情页显示了证书的更新版本记录和部署记录。证书一旦创建完成,会生成第一版更新记录,点击对应的更新记录,即可查看证书详细内容,包括:cert.key(PEM格式)、cert.cer(PEM格式)、fullchain.cer(PEM格式)。您还可以在证书管理界面,对证书进行命名、搜索、删除、配置等操作。
三、创建部署节点
如果您需要将证书部署至阿里云、腾讯云、七牛云、多吉云、宝塔面板的负载均衡、证书列表或者CDN中,或者NGINX、HTTPD、OPENRESTY容器中,以及Webhook、SSH、API等,需要在部署节点管理界面添加部署节点。
在添加非容器类部署节点前,需要先在云服务商中创建对应的API接口授权。关于如何在云服务商中创建对应的API接口授权,可以查看以下文档:
- 帮助文档 - 部署节点 - 阿里云 - SSL
- 帮助文档 - 部署节点 - 阿里云 - ALB
- 帮助文档 - 部署节点 - 阿里云 - SLB
- 帮助文档 - 部署节点 - 阿里云 - CDN
- 帮助文档 - 部署节点 - 腾讯云 - SSL
- 帮助文档 - 部署节点 - 腾讯云 - CLB
- 帮助文档 - 部署节点 - 腾讯云 - CDN
- 帮助文档 - 部署节点 - 七牛云 - SSL
- 帮助文档 - 部署节点 - 七牛云 - CDN
- 帮助文档 - 部署节点 - 宝塔面板 - SSL
- 帮助文档 - 部署节点 - 百度智能云 - CDN
- 帮助文档 - 部署节点 - 百度云加速 - CDN
- 帮助文档 - 部署节点 - SSH - SSH
- 帮助文档 - 部署节点 - Webhook - WEBHOOK
- 帮助文档 - 部署节点 - API - API
- 帮助文档 - 部署节点 - 多吉云 - CDN
在云服务商中创建完成API接口授权后,回到OHTTPS中进行部署节点添加。
- 点击左侧菜单 [部署节点],打开部署节点管理界面
- 点击部署节点管理界面 [添加节点] 按钮,弹出添加节点界面
- 选择您要部署的云服务商:阿里云、腾讯云、七牛云、宝塔面板
- 选择您要将证书部署至云服务商的具体位置:负载均衡(阿里云SLB和ALB、腾讯云CLB)、CDN、SSL
- 填入您在云服务商中创建完成的API接口授权参数
- 点击 [下一步] 按钮,进入关联证书界面,可选择需要部署至该节点的证书
- 点击 [创建部署节点] 按钮,完成部署节点的创建
对于部署位置为SSL的部署节点,多个证书可同时部署至该类型节点,证书之间不会被覆盖;对于部署位置为负载均衡或CDN的部署节点,只能部署单个证书至该类型节点,如果配置多个证书,会导致证书互相覆盖。
如果您需要部署证书至Docker容器中,则无需创建API接口授权,直接添加即可。
- 点击左侧菜单 [部署节点] ,打开部署节点管理界面
- 点击部署节点管理界面 [添加节点] 按钮,弹出添加节点界面
- 选择您要部署的类型:Docker
- 选择您要证书部署至的容器类型:NGINX、HTTPD、OPENRESTY
- 点击 [点击生成] 令牌按钮,生成令牌
- 点击 [下一步] 按钮,进入关联证书界面,可选择需要部署至该节点的证书
- 点击 [创建部署节点] 按钮,完成部署节点的创建
目前Docker容器类型支持NGINX、HTTPD、OPENRESTY和自定义,如果您有部署至其他容器类型的需要,请通过邮件联系我们。我们会不断努力,支持更多容器类型,感谢您的支持。如果你的证书需要部署至容器中,并且同一镜像启动了多个容器,也只需创建一个部署节点即可。在一个容器中,可同时使用多个证书。由于容器启动前,会拉取关联的证书的最新版,所以在容器启动前,请先完成证书创建和证书部署节点配置操作。具体如何使用Docker类型部署节点,请看以下文档:
- 帮助文档 - 部署节点 - Docker - NGINX
- 帮助文档 - 部署节点 - Docker - HTTPD
- 帮助文档 - 部署节点 - Docker - OPENRESTY
- 帮助文档 - 部署节点 - Docker - 自定义
四、对证书进行配置
在证书管理界面,点击 [配置] 按钮,可对证书进行配置。可对是否到期前自动通知、到期前自动更新、更新后自动部署、部署节点等内容那个进行配置。
五、对证书进行监控
证书监控服务用于监控域名站点所使用HTTPS证书的有效期,即使证书不是从OHTTPS申请的也可以监控。证书监控服务会在证书到期前,提前20天向您发送证书即将到期提醒邮件,提醒您及时更新站点所使用的HTTPS证书。