说起给IP地址申请SSL证书还是ZeroSSL上申请到的,目前已经快到期了,明月悲催的发现ZeroSSL的Web端续期根本就不支持免费续期,只有在控制台终端API接口申请才支持(不包括IP地址SSL证书,无语了),这个ZeroSSL真的实在是太恶心了,算上这次已经是被坑第二次了,这次在【青山小站】上看到有在推荐介绍一个叫HiCA的国产SSL证书品牌,国内首家支持IPv4、IPv6的免费SSL证书,就忍不住立马申请了一个,体验非常的好,特别是完美的支持acme协议和控制台终端直接申请和自动续期真心太赞了!

QQ截图20220726111148.png

HiCA证书的介绍和优势

1、ACME 公益服务: https://acme.hi.cn/directory

  • 全球首家支持IPv4的ACME CA。
  • 全球首家支持IPv6的ACME CA。
  • 全球第二家非魔改版提供大陆OCSP的 ACME CA。

2、TLS 商业证书 ACME 零售、批发。

  • 全球首家公开表示不提供且禁止代理商提供任何形式 Web UI、 桌面 UI 等形式申请界面,还能卖得出去、收得回钱的 CA。
  • 全球第三、全国第一家支持 ACME 形式代理、贴牌商业证书的 CA。

3、物联网安全解决方案。

HiCA证书acme.sh申请命令行实例

IPv6证书申请

acme.sh --issue -d 2402:4e00:1a10:1500:0:9557:d561:34ed --webroot /home/wwwroot/ --server https://acme.hi.cn/directory

IPv4证书申请

acme.sh --issue -d 1.2.3.4 --webroot /home/wwwroot/ --server https://acme.hi.cn/directory

2023-03-06更新

acme.sh 在 1 月的更新之后默认签发的都是 ecc 证书,HiCA免费的仅有 RSA 证书,所以需要加一条 -k 2048 来签发免费的 RSA2048 证书,否则会显示需要付费的。

acme.sh --issue -d 1.2.3.4 --webroot /home/wwwroot/ -k 2048 --server https://acme.hi.cn/directory

泛域名证书申请

acme.sh --issue -d \*.example.com -d example.com --dns dns_dp --server https://acme.hi.cn/directory

明月在申请IP地址SSL证书的时候就犯了一个错误,那就是在给根目录加了用户认证后申请证书就会出现如下错误:

Sign error, wrong status
{"type":"urn:ietf:params:acme:error:unauthorized","detail":"Some domain's challenge failed"}

这会造成目录验证无法通过的,所以一般在申请证书时那个webroot最好是一个没有任何访问限制的目录。

对了,最后强调一下,这个国产HiCA证书域名证书有效期可以长达半年时间哦!

最后修改:2023 年 03 月 06 日
如果觉得我的文章对你有用,请随意赞赏