参考:
https://github.com/acmesh-official/acme.sh
https://github.com/acmesh-official/acme.sh/wiki/Google-Trust-Services-CA
https://cloud.google.com/public-certificate-authority/docs/quickstart
1、申请Google的EAB key and EAB id:
登录云平台Shell Cloud Shell
请求 EAB 密钥 ID 和 HMAC,请运行以下命令:
gcloud publicca external-account-keys create此命令会返回在公共 CA 的生产环境中有效的 EAB 密钥。在响应正文中,keyId 字段包含 EAB 密钥 ID,b64MacKey 字段包含 EAB HMAC。
您必须在获取 EAB 密钥后的 7 天内使用它。如果您不在 7 天内使用 EAB 密钥,则该密钥会失效。使用 EAB Secret 注册的 ACME 帐号没有有效期。
2、安装acme.sh
curl https://get.acme.sh | sh -s email=my@example.com3、申请证书
acme.sh --register-account -m myemail@example.com --server google \
--eab-kid xxxxxxx \
--eab-hmac-key xxxxxxx
acme.sh --issue --server google \
-d example.com -d '*.example.com' --dns dns_googledomains \
--keylength ec-2564、安装证书到nginx
acme.sh --install-cert -d example.com \
--key-file /path/to/keyfile/in/nginx/key.pem \
--fullchain-file /path/to/fullchain/nginx/cert.pem \
--reloadcmd "service nginx force-reload"Windows下的 win-acme
使用阿里云DNS的API注册example.com和其泛域名证书,并把证书安装进IIS10的第二个站点,同时保存pem和pfx证书到D:\CentralSSL里
wacs.exe --source manual --host example.com,*.example.com --validation aliyun --aliyunserver dns.aliyuncs.com --aliyunapiid ******* --aliyunapisecret ******* --store certificatestore,pemfiles,pfxfile --certificatestore My --pemfilespath D:\CentralSSL --pfxfilepath D:\CentralSSL --pfxpassword ******* --installation iis --installationsiteid 2使用腾讯dns的API申请ecc证书并保存到D:\CentralSSL
wacs.exe --source manual --host example.com,*.example.com --validation tencent --tencentapiid ******* --tencentapikey ******* --csr ec --store pemfiles,pfxfile --pemfilespath D:\CentralSSL --pfxfilepath D:\CentralSSL --pfxpassword *******