一、前言
Actalis是意大利的一家CA机构,也是在欧洲地区可信度非常高的一个CA机构。证书使用者通常是一些大型企业之类的。包括华为当前的官网也是使用的Actalis家的证书。
证书的信任也是广泛受信的,除了一些老旧的设备不支持外。大家也可以通过myssl.com查看->SSL www.actalis.com
但是,有一些缺点就是这个对个人用户不是很友好,他们提工单咨询只能是付费版用户才能提工单,而且只能是通过电子邮件。
之前Actalis需要订阅才能不限制签发90天单域名DV SSL证书,但是最近已经完全开放了,免费订阅也可以不限制通过ACME签发SSL证书。
二、踩坑记录
小周看见不限制通过ACME签发90天DV证书后,就想着试试,刚好AllinSSL和Certimate都支持自定义ACME节点,然后Actalis又提供了ACME相关的账户信息和请求地址信息。
然后,就想着通过AllinSSL或者Certimate来签发,但是想象很美好,显示很骨感,不出意外地出意外报错了。
AllinSSL和Certimate的报错都是一样的。
acme: could not decode hmac key: illegal base64 data at input byte 43
我又反反复复检查了我的配置是不是正确的,发现又都是按照提供的信息配置的,尝试重新生成ACME信息,错误还是依旧。
最终,最终,我花了8.5欧元,开通了青铜计划,(因为免费计划不提供票证-工单支持),然后一来二去,对面还是叫我使用,Certbot签发,在此之前,我也尝试了使用lego通过命令签发,问题是一摸一样的。
果然,通过Certbot签发就可以正常签发了。
三、解决方案
暂时不建议各位通过ACME的方式签发Actalis的SSL证书,因为还没有成熟的方案能够通过一次申请部署到各个节点,当前AllinSSL、Certimate通过自定义ACME节点都会出现这一个报错,如果通过手动申请然后部署,时间成本过高,还不如直接使用Let's\Zero\Google\SSL.COM来得快。
小周也在AllinSSL的群内建议了群主可以适配一下这个证书,在Certimate的Github Issue中建议了版主适配一下这个证书,但是还没有收到回复。
当前只能通过Certbot进行签发,有兴趣的老铁们可以试试,这里我也贴一下Actalis官方的ACME解决方案:How to enable ACME
评论区