近期建站,需要SSL,在朋友的推荐下,发现了HICA,于是写了这篇文章记录。🫡

什么是HICA?

HiCA 是由“公钥认证服务(重庆)有限公司”运营的数字证书品牌项目,HiCA 诞生于 2022 年 7 月。

HiCA 专注于提供 “Browserless TLS distribution” 方案研究 + 推广(所以我们用户协议禁止任何机构未经授权基于 HiCA 开发申请证书的 Web UI、桌面程序以及 APP 或小程序)。

什么是ACME?

既然说到 HICA,那就必须说说 ACME 了,毕竟 HICA 是需要 ACME 才能使用。

ACME (rfc8555) 是由 ISRG 起草的 PKIX 证书自动化管理的标准,其定义了一套完整的证书验证、签发、续期更新、吊销等协议,用于管理证书的生命周期。 其特点是减少人工干预,提高安全性,提高系统的可靠性。

简单来说,ACME 就是帮助你申请证书的一个东西。

教程开始

安装ACME

如果是Linux,可以切换到 root 模式执行,可以减少一些问题。

sudo su //切换到root
curl https://get.acme.sh -s | sh -s //安装ACME,这里请使用真实邮箱!

然后断开 SSH,重新链接。

acme.sh --version //然后输入这个

如果提示下面这种信息,那么就安装成功了!😊

~ acme.sh --version
https://github.com/acmesh-official/acme.sh
v3.0.5

更新ACME

输入下面指令即可。

acme.sh --upgrade

如果你不想手动更新,也可以开启自动更新。

acme.sh  --upgrade  --auto-upgrade //开启自动更新
acme.sh --upgrade  --auto-upgrade  0 //关闭自动更新
acme.sh -v //查看ACME版本

注册ACME

这里请填写真实邮箱

acme.sh --register-account --accountemail \
    [email protected] \
    --server http://acme.hi.cn/directory

如果提示

[[email protected] ~]# acme.sh --register-account --accountemail \
> [email protected] \
> --server http://acme.hi.cn/directory
[Sun Nov 27 19:39:45 CST 2022] Create account key ok.
[Sun Nov 27 19:39:45 CST 2022] Registering account: http://acme.hi.cn/directory
[Sun Nov 27 19:39:50 CST 2022] Registered
[Sun Nov 27 19:39:50 CST 2022] ACCOUNT_THUMBPRINT='*******************'

就代表注册成功👌!

申请证书

HICA 支持多种验证方式,这里就只写 DNS 验证,因为这种方式我认为是比较方便的一种🎉。

更多方式可以前往www1.hi.cn查看。

首先输入

export DP_Id="DNSPOD API TOKEN ID" //填写你的DNSPOD的ID
export DP_Key="DNSPOD API TOKEN KEY" //填写你的DNSPOD的TOKEN

之后再输入

acme.sh --issue \
    --dns dns_dp \
    -d \*.<域名1.com> \ 
    -d <域名1.com> \
    -d \*.<域名2.com> \
    -d <域名2.com> \
    --days 150 \
    --server https://acme.hi.cn/directory
    //这里如果只申请一个域名的SSL,那么就不需要再输入 域名2 了,直接从 --days 150 \ 开始输入即可。

申请 DNSPOD API

在账户登陆完毕后,我们进入控制台。

依次按下图点击即可!

之后复制 ID 和 Token,填入即可。

申请成功🎉

执行完上边的操作后,等待一会,证书就申请成功了。

证书位于~/.acme.sh/your.domain

如果提示 acme.sh 命令不存在,直接 cd 到 /home/.acme.sh目录下执行即可。

成功后的相关操作

证书续期

在前面,我们已经将自动续期配置完毕,就是申请证书时的--days参数。

如果证书时间为 180 天,你要求 30天前续期,那么就输入--days 150即可。

这里需要确保cronjob正确安装,正常情况下是这样的:

[[email protected] ~]# crontab  -l
44 0 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null

吊销证书

HICA 不支持吊销证书!

教程结束🥳

写到这里教程也就结束了🥱,大家如果想深入了解 HICA 可以前往官网文档查看。

HICA 目前看来,确实是一个很好的选择。180 天的证书有效期,比大部分通过 ACME 申请的证书都要长,还支持 IP 证书。不仅如此,HICA 还是国内 OCSP,这一点在免费证书中也是比较少见的。