SSL证书
功能介绍
SSL证书通常用于Web服务和Lucky后台的TLS(HTTPS)加密通信。这里保存了所有的证书,以便这些服务可以使用它们来确保数据的安全性和完整性。
提示
警告
不要使用Let's Encrypt测试证书
Let's Encrypt申请证书提示DNSKey Missing错误时,请参考下面的ZeroSSL证书申请教程使用ZeroSSL证书。
当在ddns或者acme使用特殊的二级或者多级后缀的域名时,先务必在 ddns模块的设置页面 中的自定义多级域名后缀列表添加你的域名后缀。
当你申请Let's Encrypt或ZeroSSL证书遇到各种问题无法解决时,建议直接使用freessl.cn进行证书申请。
说明
提示
SSL证书可以通过手动上传(crt/pem和key文件)、指定路径或使用ACME自动申请三种方式获取。
其中,路径和ACME方式每天凌晨五点零六分零六秒会自动检测。
ACME类型证书会在到期前约36天自动续签。
在成功替换旧证书后,新证书会立即生效。如果浏览器在证书列表变更前已经打开,可能需要关闭并重新打开浏览器以使新证书生效。
freessl.cn 证书申请
提示
- 新版 FreeSSL 证书申请需确保 Lucky 版本不低于 2.13.8。
- 在 https://freessl.cn/ 注册账号后,请完成邮箱验证和手机验证。
- 登录注册的账号,访问 https://freessl.cn/automation/acme#settings 页面,记录所需的 EAB KID 和 EAB HMAC Key。设置页面的白名单中添加您要申请证书的域名,例如填写 a.com 和 *.a.com,以申请主域名和泛域名证书。IP 白名单可留空。
4.在 Lucky 中添加 ACME 证书时,选择证书颁发机构为 FreeSSL,启用 EAB 认证,并填写上一步记录的 ID 和 Key(请勿混淆两者)。证书需填写 a.com 和 *.a.com。
DNS别名模式 使用教程
提示
如果您的DNS提供商不支持API访问,或者出于安全考虑不想授予API访问权限,或者不支持DNSSEC可能导致申请失败,可以采用以下步骤:
- 比如a.com是你需要申请证书的域名,b.com 是 另一个易于申请证书且支持启用DNSSEC的DNS托管商的域名。
- 在a.com的托管商后台手动添加CNAME记录
_acme-challenge => _acme-challenge.b.com (对应的是申请a.com 和*.a.com证书)
如果需要申请 123.456.a.com和*.123.456.a.com证书,则需要添加相应记录
_acme-challenge.123.456 => _acme-challenge.123.456.b.com - 在lucky里面ACME证书申请窗口选择的DNS托管商类型选择 填写b.com域名的相应认证信息,但域名列表添加a.com相关的。
- 通过这种方式,您可以利用DNS别名模式来申请SSL证书,即使您的DNS提供商不支持某些功能也可以顺利完成证书申请过程。
ZeroSSL 使用教程
提示
- 注册(https://app.zerossl.com/signup) / 登陆(https://app.zerossl.com/login)ZeroSSL 网站
- 访问 https://app.zerossl.com/developer ,点击右下方 *** EAB Credentials for ACME Clients *** 区域的 Generate按钮 记下 EAB KID 和 *** EAB HMAC Key*** 信息
- 回到Lucky添加ACME证书页面,证书颁发机构选择 ZeroSSL ,填上步骤2中记录的Kid和Key.
- 2.8.1版本开始无须手动添加EAB信息。但当申请申请证书失败提示 *** error in ZeroSSL account EAB details response, success=false ***时请手动申请填写上述信息。
使用注意
警告
如果在使用Let's Encrypt/ZeroSSL申请证书时遇到失败,请确保:
- 当 前网络环境下没有使用翻墙软件和DNS加速去广告等软件。
- 在域名托管商后台启用DNSSEC功能。
- 如果域名托管商未提供免费的DNSSEC功能,可以通过CNAME方式指向另一个支持DNSSEC的DNS托管商进行申请。
- 如果以上方法仍无法申请成功,可以尝试使用ZeroSSL或者freessl.cn提供的接口进行申请(需要2.8.0或更新版本)。
- 如果遇到任何错误,请务必查看并翻译最后的日志错误提示。如果无法解决问题,请在相关的Q群或TG群中与其他网友讨论,寻求帮助和建议。除非遇到明显的bug,否则请不要私信开发者反馈证书申请失败的任何错误问题。通过群组讨论,您可能会得到其他用户的经验分享和解决方案,帮助您更快地解决问题并成功申请证书。
- 证书申请失败最后提示:net/http: TLS handshake timeout时,可尝试勾上使用IPv4通道申请证书再去申请,再不行可尝试设置一个代理服务器。
- 证书申请失败最后提示: time limit exceeded ,zeroSSL容易出现此情况,建议过一段时间再申请。
常见问题
自动申请的域名证书存储在哪个目录?每次自动续签证书后,如何实现自动复制到其他目录?
证书数据存储在lucky_ssl.lkcf配置文件中,无法直接访问。如果需要,可以修改证书配置,在底部启用映射功能,并设置需要将证书数据映射到的目录。