HiCA:提供免费的IPv4 IPv6 通配符证书半年有效期

2022 年 7 月 24 日 星期日(已编辑)
/
100
摘要
2023 年 2 月 20 日 更新定价: 目前IP证书已不免费
这篇文章上次修改于 2023 年 6 月 9 日 星期五,可能部分内容已经不适用,如有疑问可询问作者。

阅读此文章之前,你可能需要首先阅读以下的文章才能更好的理解上下文。

HiCA:提供免费的IPv4 IPv6 通配符证书半年有效期

2023 年 6 月 9 日 更新:

有用户注意到 HiCA 的证书申请过程中有利用 acme.sh 的漏洞进行远程任意代码执行 (RCE) 的行为。虽然这些代码经过分析似乎无害,但此种行为也引起了对 HiCA 可信性的质疑。github issues

目前官网无法打开,无法正常签发

2023 年 2 月 20 日 更新定价:

目前 IP 证书已不免费

IP:¥ 200/年;

多域名:¥ 80/年;(不含 IPv4、IPv6 非通配符);

通配符:¥ 300/年;

ECC:¥ 80/年/条;

介绍

HiCA 是一家国产证书品牌

官网 https://www1.hi.cn

目前只提供 acme.sh 申请。

acme.sh 项目地址 https://github.com/acmesh-official/acme.sh

✔️ 支持的 DNS Name 类型: IPv4 IPv6 通配符域名 洋葱域名(.onion)

✔️ 有效期:IPv4、通配符证书有效期半年(180 天),IPv6、.onion 有效期 90 天;支持基于 acme 自动续签证书(需要手动替换新证书)。

✔️ 不支持 ECC 已支持 需要额外付费 ¥10/年/条;

✔️ 不支持 多个通配符 已支持 需要额外付费 ¥100/年/条; 来源:

❌ 不支持.ru、.by、.su域名

申请

打开 linux 终端

安装 acme.sh

curl  https://get.acme.sh | sh 
alias acme.sh=~/.acme.sh/acme.sh 
source ~/.bashrc

如果上面官方下载地址失败 或者 太慢,可以选用国内的备用地址 bash curl https://gitcode.net/cert/cn-acme.sh/-/raw/master/install.sh?inline=false | sh -s alias acme.sh=~/.acme.sh/acme.sh source ~/.bashrc 有报错忽略就行

IPv4 签发

如果有安装宝塔等 web 面板或者 http 服务器,需要新建一个虚拟主机 主机名填写需要签发的 DNS Name。

如果没有安装 web 服务器 请跳转到无 web 签发

acme.sh --issue -d [签发 IP] --webroot [你的网站目录] --server https://acme.hi.cn/directory

?栗子

acme.sh --issue -d 11.4.51.4 --webroot /www/wwwroot/11.4.51.4 --server https://acme.hi.cn/directory

提示如下内容即签发成功

20220724035234.png
20220724035234.png

进入/root/.acme.sh/[签发 IP] 取得秘钥和证书 证书一般只用到 fullchain.cer

无 web 签发

未测试

acme.sh --issue -d 11.4.51.4 --server https://acme.hi.cn/directory --standalone

小提示:需要 80 端口畅通 并且广域网可以访问 否则可能影响证书签发。

ipv4 证书信息

点击放大

IPv6 签发

acme.sh --issue -d [签发 IP] --webroot [你的网站目录] --server https://acme.hi.cn/directory

?栗子

acme.sh --issue -d 2603:c024:1:3900::8888 --webroot /www/wwwroot/sitepwd --server https://acme.hi.cn/directory

截稿测试时 似乎无法签发?待补充

2022 年 7 月 25 日 18:53:18 更新:官方答复“IPv6 合作 CA 的 API 签发故障”

通配符签发

通配符只支持 DNS 验证 其中 acme.sh 提供了多种 dns 解析方式。

DNS API 自动解析

使用

export DP_Id="Id"
export DP_Key="Key"

添加一个临时 DNSPOD api

其他 dns 服务商

#阿里云 dns_cf
export Ali_Key="LTqIA87hOKdjevsf5"
export Ali_Secret="0p5EYueFNq501xnCPzKNbx6K51qPH2"
#cloudflare dns_cf
export CF_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export CF_Email="xxxx@sss.com"
export CF_Token="xxxx"
export CF_Account_ID="xxxx"
export CF_Zone_ID="xxxx"
#华为云 dns_huaweicloud
export HUAWEICLOUD_Username=帐号名
export HUAWEICLOUD_Password=账号密码
export HUAWEICLOUD_ProjectID=项目ID

更多 dns 服务商 api 可以参考 dnsapi 目录下的文件

执行签发:

acme.sh --issue -d \*.zzz.moe -d zzz.moe --dns dns_dp --server https://acme.hi.cn/directory

dns_dp 需要修改成自己 dns 服务商的配置 具体可以参考 dnsapi 目录下的文件名

DNS 手动解析

已知 HiCA 不支持 dns-manual 方式 以下内容无效

  1. 运行

    acme.sh --issue -d *.example.com -d example.com --dns --server https://acme.hi.cn/directory --yes-I-know-dns-manual-mode-enough-go-ahead-please
  2. 在 dns 添加 txt 记录

  3. 使用重新运行

    acme.sh --renew -d *.example.com -d example.com --dns --server https://acme.hi.cn/directory --yes-I-know-dns-manual-mode-enough-go-ahead-please

--来源

通配符证书链

洋葱域名(.onion)签发

待补充

  • Loading...
  • Loading...
  • Loading...
  • Loading...
  • Loading...