Certimate：开源 SSL 证书统一管理神器

在当今数字化时代，网站和服务的安全性至关重要，而 SSL 证书则是保障网络安全通信的基石。对于个人开发者和小型企业的运维人员而言，SSL 证书的管理却常常是一项繁琐且容易出错的任务。开源软件 Certimate（https://github.com/usual2970/certimate ）的出现，为这一难题提供了高效的解决方案。

一、需求痛点

1. 手动管理繁琐：申请和部署 SSL 证书的过程虽不复杂，但步骤较为繁琐。当需要管理多个域名时，重复操作会耗费大量时间和精力。比如，每次为新域名申请证书，都要经历填写各种信息、验证域名所有权等步骤，过程冗长且容易出错。
2. 证书续期易忘：目前免费证书的有效期通常只有 90 天，这就要求定期进行续期操作。频繁的续期任务不仅增加了工作量，还很容易被遗忘。一旦证书过期，网站将面临安全警告，用户访问时会出现风险提示，严重影响用户体验和网站的可信度，甚至可能导致业务中断。

二、解决方案

Certimate 作为一款开源的 SSL 证书管理工具，旨在简化 SSL 证书的申请、部署和续期流程，为用户提供安全、简便、无需人工干预的解决方案。

1. 自动化操作：Certimate 具备自动申请、部署 SSL 证书的功能，并且能在证书即将过期时自动续期。用户只需进行简单设置，就能确保 SSL 证书始终处于有效状态，大大减少了手动管理的负担。
2. 本地私有部署：支持在自己的服务器上进行本地私有部署，无需依赖外部云服务。这对于注重数据隐私的个人开发者和小型企业来说是一大优势，所有数据均存储在本地，确保证书和敏感信息不会泄露到外部服务器。
3. 多服务商支持：可与多种 DNS 服务商集成，如阿里云、腾讯云等，方便自动验证域名所有权。同时，能够将获得的证书自动部署到指定的服务上，如 Web 服务器或 CDN ，适应不同用户的使用场景。

三、如何部署

（一）Docker 安装

1. 首先，克隆 Certimate 的 GitHub 仓库：

git clone [email protected]:usual2970/certimate.git

1. 进入到 Docker 目录：

cd certimate/docker

1. 使用 Docker Compose 启动服务：

docker-compose up -d

执行完上述安装操作后，在浏览器中访问http://127.0.0.1:8090即可访问 Certimate 管理页面。

（二）二进制文件安装

1. 从 GitHub 下载 Certimate 的二进制文件，根据自己的操作系统选择对应的版本。
2. 将下载的二进制文件上传到服务器的指定目录。
3. 赋予二进制文件执行权限：

chmod +x certimate

1. 运行二进制文件，按照提示完成配置。

四、Nginx 反代配置

（一）安装 Nginx

如果你还没安装 Nginx，以 Ubuntu 系统为例，安装命令如下：

sudo apt updatesudo apt install nginx

（二）配置 Nginx 反代

1. 找到 Nginx 的配置文件，一般在/etc/nginx/nginx.conf或者/etc/nginx/sites-available/目录下，咱们可以在sites-available目录新建一个配置文件，比如certimate.conf：

sudo nano /etc/nginx/sites-available/certimate.conf

1. 在这个文件里写入以下配置内容，假设 Certimate 服务运行在本地 8090 端口，你得把your_domain.com换成你自己的域名：

server {    listen 80;    server_name your_domain.com;    location / {        proxy_pass http://127.0.0.1:8090;        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_set_header X-Forwarded-Proto $scheme;    }}

这里的配置就是让 Nginx 把对your_domain.com的请求转发到本地运行的 Certimate 服务上。

1. 保存并退出文件后，启用这个配置文件：

sudo ln -s /etc/nginx/sites-available/certimate.conf /etc/nginx/sites-enabled/

1. 检查 Nginx 配置语法是否正确：

sudo nginx -t

如果提示配置没问题，就可以重启 Nginx 服务，让配置生效啦：

sudo systemctl restart nginx

这样，通过你配置的域名就能访问 Certimate 服务了，还隐藏了 Certimate 服务的真实端口和 IP，是不是超酷！

五、怎么使用

（一）登录 Certimate

1. 打开浏览器，输入你之前部署 Certimate 时设置的访问地址，要是没配置 Nginx 反代，就访问http://127.0.0.1:8090；要是配置了，就访问你设置的域名。
2. 输入默认账号密码登录，默认用户名是[email protected] ，密码是1234567890。第一次登录后，赶紧点击右上角头像，选择系统设置 - 密码，把这默认密码改掉，不然被别人知道可就麻烦啦！

（二）添加 DNS 商授权

1. 点击左侧菜单栏的 "新增 DNS 商授权"，Certimate 支持阿里云、腾讯云、华为云等 9 种常见的 DNS 服务商呢。
2. 这里以阿里云为例，你得登录阿里云控制台，点击头像，选择 "accesskey 控制台"，建议新建一个子 accesskey，这样更安全些，毕竟谁也不想因为 key 泄露导致账号出问题。注意哦，每一个子 acesskey 的密钥只会显示一次，所以生成后一定要及时下载密钥文档保存好。
3. 把阿里云提供的 accesskey 信息准确无误地填到 Certimate 对应的输入框里，填完点击保存，这样就完成阿里云的授权啦。其他服务商的授权方式也类似，按照各自的要求来就行。

（三）添加域名及配置

1. 点击左侧的 "域名列表"，再点击 "新增域名"。
2. 在弹出的页面，填写你的域名信息，还有一些基础配置，比如证书有效期快到多少天的时候自动续期这些。下方还有个高级设置，这里面的内容就有点像神秘小盒子，如果你对 SSL 证书和相关技术很了解，看得懂里面的参数，就可以根据需求修改；要是不太懂，可千万别乱改，不然可能出问题，保持默认就行。

（四）部署证书

1. 第一步：选择域名：在域名列表中，已经完成添加和配置的域名会显示在列表里。找到你想要部署证书的域名，勾选其前面的复选框，这就相当于你选中了要操作的目标域名。只有先明确了要为哪个域名部署证书，后续的操作才有针对性嘛。
2. 第二步：选择证书存放位置及方式：

• 本地路径部署：如果你选择将证书存放在本地路径，在部署配置页面，选择 "本地部署" 选项。然后，在对应的输入框中填写本地服务器上需要存放证书和密钥的路径。比如，你可以填写/etc/nginx/ssl/ ，前提是这个路径在你的服务器上已经创建且有相应的读写权限。Certimate 会将申请到的 SSL 证书和密钥文件保存到你指定的本地路径下，方便本地的 Web 服务器（如 Nginx、Apache 等）调用，实现本地服务的安全加密。
• CDN 部署：以阿里云 CDN 为例，在部署配置页面选择 "阿里云 CDN 部署"。首先确保你已经在 Certimate 中完成了阿里云的授权。然后，在相关输入框中填写阿里云 CDN 的域名等必要信息。这些信息可以在阿里云 CDN 控制台中获取。比如，你需要填写你在阿里云 CDN 上配置的加速域名。确认无误后保存，Certimate 会将证书部署到指定的阿里云 CDN 上，使通过该 CDN 访问的内容都能得到 SSL 证书的安全保障。对于腾讯云 CDN 等其他 CDN 服务，操作方式类似，只是需要根据各自平台的要求填写对应的 CDN 相关信息。
• 对象存储部署：假设你使用的是腾讯云对象存储（COS），在部署配置页面选择 "腾讯云对象存储部署"。同样要先完成腾讯云的授权。接着，填写腾讯云 COS 的存储桶名称、地域等信息。这些信息可以在腾讯云 COS 控制台中找到。比如，你要明确存储桶所在的地域，如 "ap-guangzhou" 。填写完成保存后，Certimate 会将证书上传并配置到腾讯云对象存储中，确保存储在其中的内容在通过网络访问时的安全性。对于其他对象存储服务，如阿里云 OSS 等，也是按照类似的流程，根据各平台的特定信息进行填写和配置。
• SSL 远程部署：当选择 SSL 远程部署时，首先要确定远程服务器的类型和相关信息。比如，如果是远程的 Linux 服务器，需要填写服务器的 IP 地址、SSH 端口（默认为 22）、用户名以及对应的密码或私钥路径（如果使用密钥认证）。在部署配置页面的相应位置准确填写这些信息。例如，在 "服务器 IP" 输入框中填写远程服务器的公网 IP，在 "用户名" 输入框中填写你在远程服务器上的登录用户名。确认信息无误后保存，Certimate 会通过 SSH 连接到远程服务器，将 SSL 证书部署到指定的位置，完成远程服务器的 SSL 证书配置，实现远程服务的安全加密访问。

完成上述两步操作后，回到域名列表，在已选择的域名旁边勾选 "是否启动"，然后点击 "立即部署"。Certimate 会根据你选择的证书存放位置及方式，将申请到的 SSL 证书进行部署。部署完成后，可以在左侧的 "部署历史" 里查看是否部署成功，要是部署失败了，点击日志就能查看错误原因，对症下药解决问题。

六、可能碰到的问题

1. 授权信息配置错误：在填写 DNS 服务商和部署服务商的授权信息时，如果信息填写错误，可能导致域名验证失败或证书部署失败。解决方法是仔细核对授权信息，确保其准确性，必要时可以重新生成授权密钥。
2. 网络问题：在申请证书和与服务商 API 通信的过程中，可能会遇到网络不稳定或超时的情况。此时，可以检查网络连接，确保服务器能够正常访问外部网络。如果问题仍然存在，可以尝试更换网络环境或联系网络管理员解决。
3. 证书兼容性问题：某些特殊的服务器环境或应用程序可能对 SSL 证书有特定的要求，可能会出现证书兼容性问题。在这种情况下，需要查阅相关文档，了解服务器或应用程序对证书的具体要求，并根据要求进行调整。

Certimate 为 SSL 证书管理带来了极大的便利，通过自动化的操作和本地私有部署，解决了个人开发者和小型企业在证书管理方面的痛点。无论是从简化工作流程，还是保障数据安全的角度来看，Certimate 都是一款值得尝试的开源软件。

本文由 admin 创作，采用 知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外，均为本站原创或翻译，转载前请务必署名。