跳到主要内容

SSL证书

功能介绍

SSL证书通常用于Web服务和Lucky后台的TLS(HTTPS)加密通信。这里保存了所有的证书,以便这些服务可以使用它们来确保数据的安全性和完整性。

提示

警告

不要使用Let's Encrypt测试证书
Let's Encrypt申请证书提示DNSKey Missing错误时,请参考下面的ZeroSSL证书申请教程使用ZeroSSL证书。 当在ddns或者acme使用特殊的二级或者多级后缀的域名时,先务必在 ddns模块的设置页面 中的自定义多级域名后缀列表添加你的域名后缀。
当你申请Let's Encrypt或ZeroSSL证书遇到各种问题无法解决时,建议直接使用freessl.cn进行证书申请。

说明

提示

SSL证书可以通过手动上传(crt/pem和key文件)、指定路径或使用ACME自动申请三种方式获取。
其中,路径和ACME方式每天凌晨五点零六分零六秒会自动检测。
ACME类型证书会在到期前约36天自动续签。
在成功替换旧证书后,新证书会立即生效。如果浏览器在证书列表变更前已经打开,可能需要关闭并重新打开浏览器以使新证书生效。

freessl.cn 证书申请

提示
  1. 需要确保lucky版本不低于2.8.0
  2. https://freessl.cn/ 注册账号后,需要进行邮箱验证和手机验证。
  3. 登录注册的账号并访问 https://freessl.cn/acme/auth 页面,按提示添加需要申请证书的域名。
  4. 在添加域名时,选择记录类型为CNAME,并注意 *.a.com 和 a.com 对应的CNAME记录和记录值相同,因此只需填写a.com。
  5. 按照提示手动进入DNS托管商后台添加相应的CNAME记录(Cloudfare注意不要开启小云朵),然后回到freessl添加域名页面,点击配置完成。直到通过检测后才能继续下一步。
  6. 在lucky添加ACME证书时,需要填写a.com和*.a.com,二级域名和泛域名也是同样的填写方式。添加完CNAME记录后,需要保留该记录,因为证书续期时会继续使用。
  7. 在lucky 添加aceme类型证书时,选择证书颁发机构为自定义,并填入对应的freessl专属ACME地址(在https://freessl.cn/acme/client 页面查看)
  8. 验证方式随便填一个域名托管商,Token也是随便填就行,不会用上。
  9. 请注意,每个用户在freessl上的ACME地址每天只能使用5次,无论成功或失败。如果超过了使用限制,请等待24小时后再尝试。这意味着即使申请失败,也会计入每日的使用次数限制。因此,在使用freessl申请证书时,请确保谨慎操作,以充分利用每日的次数限制。如果超过限制次数,需要等待一天后才能继续尝试申请证书。

DNS别名模式 使用教程

提示

如果您的DNS提供商不支持API访问,或者出于安全考虑不想授予API访问权限,或者不支持DNSSEC可能导致申请失败,可以采用以下步骤:

  1. 比如a.com是你需要申请证书的域名,b.com 是 另一个易于申请证书且支持启用DNSSEC的DNS托管商的域名。
  2. 在a.com的托管商后台手动添加CNAME记录 _acme-challenge => _acme-challenge.b.com (对应的是申请a.com 和*.a.com证书)
    如果需要申请 123.456.a.com和*.123.456.a.com证书,则需要添加相应记录
    _acme-challenge.123.456 => _acme-challenge.123.456.b.com
  3. 在lucky里面ACME证书申请窗口选择的DNS托管商类型选择 填写b.com域名的相应认证信息,但域名列表添加a.com相关的。
  4. 通过这种方式,您可以利用DNS别名模式来申请SSL证书,即使您的DNS提供商不支持某些功能也可以顺利完成证书申请过程。

ZeroSSL 使用教程

提示
  1. 注册(https://app.zerossl.com/signup) / 登陆(https://app.zerossl.com/login)ZeroSSL 网站
  2. 访问 https://app.zerossl.com/developer ,点击右下方 EAB Credentials for ACME Clients 区域的 Generate按钮 记下 EAB KID EAB HMAC Key 信息
  3. 回到Lucky添加ACME证书页面,证书颁发机构选择 ZeroSSL ,填上步骤2中记录的Kid和Key.
  4. 2.8.1版本开始无须手动添加EAB信息。但当申请申请证书失败提示 error in ZeroSSL account EAB details response, success=false 时请手动申请填写上述信息。

使用注意

警告

如果在使用Let's Encrypt/ZeroSSL申请证书时遇到失败,请确保:

  1. 当前网络环境下没有使用翻墙软件和DNS加速去广告等软件。
  2. 在域名托管商后台启用DNSSEC功能。
  3. 如果域名托管商未提供免费的DNSSEC功能,可以通过CNAME方式指向另一个支持DNSSEC的DNS托管商进行申请。
  4. 如果以上方法仍无法申请成功,可以尝试使用ZeroSSL或者freessl.cn提供的接口进行申请(需要2.8.0或更新版本)。
  5. 如果遇到任何错误,请务必查看并翻译最后的日志错误提示。如果无法解决问题,请在相关的Q群或TG群中与其他网友讨论,寻求帮助和建议。除非遇到明显的bug,否则请不要私信开发者反馈证书申请失败的任何错误问题。通过群组讨论,您可能会得到其他用户的经验分享和解决方案,帮助您更快地解决问题并成功申请证书。
  6. 证书申请失败最后提示:net/http: TLS handshake timeout时,可尝试勾上使用IPv4通道申请证书再去申请,再不行可尝试设置一个代理服务器。
  7. 证书申请失败最后提示: time limit exceeded ,zeroSSL容易出现此情况,建议过一段时间再申请。

常见问题

自动申请的域名证书存储在哪个目录?每次自动续签证书后,如何实现自动复制到其他目录?

证书数据存储在lucky_ssl.lkcf配置文件中,无法直接访问。如果需要,可以修改证书配置,在底部启用映射功能,并设置需要将证书数据映射到的目录。