程序员防秃指南：不用买商业 CA，不用写脚本，Certimate 让证书管理比点外卖还简单

🚩 简介

做个人产品或者在中小企业里负责运维的同学，会遇到要管理多个域名的情况，需要给域名申请证书。但是手动申请证书有以下缺点：

• 😱 麻烦：申请证书并部署到服务的流程虽不复杂，但也挺麻烦的，犹其是你有多个域名需要维护的时候。
• 😭 易忘：另外当前免费证书的有效期只有 90 天，这就要求你定期的操作，增加了工作量的同时，你也很容易忘掉续期，从而导致网站访问不了。

Certimate 就是为了解决上述问题而产生的，它具有以下优势：

• 本地部署一键安装，只需要下载二进制文件，然后直接运行即可。同时也支持 Docker 部署、源代码部署等方式。
• 数据安全由于是私有部署，所有数据均存储在自己的服务器上，不会经过第三方，确保数据的隐私和安全。
• 操作简单简单配置即可轻松申请 SSL 证书并部署到指定的目标上，在证书即将过期前自动续期，从申请证书到使用证书完全自动化，无需人工操作。

Certimate 旨在为用户提供一个安全、简便的 SSL 证书管理解决方案。

💡 功能特性

• 灵活的工作流编排方式，证书从申请到部署完全自动化；
• 支持单域名、多域名、泛域名证书，可选 RSA、ECC 签名算法；
• 支持 DNS-01（即基于域名解析验证）、HTTP-01（即基于文件验证）两种质询方式；
• 支持 PEM、PFX、JKS 等多种格式输出证书；
• 支持 40+ 域名托管商（如阿里云、腾讯云、Cloudflare 等）；
• 支持 100+ 部署目标（如 Kubernetes、CDN、WAF、负载均衡等）；
• 支持邮件、钉钉、飞书、企业微信、Webhook 等多种通知渠道；
• 支持 Let's Encrypt、Actalis、Google Trust Services、SSL.com、ZeroSSL 等多种 ACME 证书颁发机构；
• 更多特性等待探索~

跟着小帅来实践一下吧

实践说明

小帅的服务器为腾讯云轻量服务器

Certimate、Nginx均部署在Docker容器中

Certimate 版本为 V0.3.27

域名、域名备案、DNS解析均使用的腾讯云

Certimate安装就不在文章体现，可以查阅官方文档即可

https://docs.certimate.me/docs/getting-started/installation/docker

01

优先配置授权管理(提供商、通知渠道)

提供商、通知渠道

1. 提供商-配置SSH主机信息，自行填写服务器相关内容即可
2. 提供商-配置腾讯云信息，秘钥可访问https://cloud.tencent.com/document/product/598/40488 查看获取
3. 通知渠道-配置自己方便接收通知的渠道

02

工作流

新建工作流-标准模板

建议选择标准模板即可、方便快速

开始-节点

可以选择自动、手动执行证书的申请颁发、根据自己的实际使用场景、情况来选择即可~ 作者使用自动触发来执行证书颁发、免费证书为90天。故此定时任务配置为每90天后早晨7点执行~

申请-节点

输入自己要申请SSL证书的域名，选择DNS提供商、开始配置的腾讯云，那这里选择腾讯云即可

注意:设置「DNS 递归服务器」为公共 DNS（如 8.8.8.8 或 1.1.1.1），同时设置一个较大的「DNS 传播检查超时时间」值（如 600 秒）后续自动触发不会失败~

部署-节点

确保文件格式、证书文件上传路径、证书私钥文件上传路径输入正确，后置命令 按自己的需求来填写，作者是Docker部署的Nginx，故重启Docker中Nginx的容器的命令输入即可~ 只需要替换证书，无其他额外操作。如果有CDN等相关操作，仍需要额外增加节点进行添加部署哦~

通知-节点

无论部署是否成功、都进行通知~ 作者使用的的是企业微信机器人进行通知的哦~

大功告成~

执行历史

可以看到两次执行都为成功、间隔了90天~ 第二次手动执行是因为作者未配置DNS 递归服务器导致自动执行失败、所以大家一定要配置一下哦~

后续自己的域名SSL再也不用自己手动申请部署了~ 非常方便、无需担心证书过期~线上应用再也不会提示安全问题了~ 9月份就验证了该工具、一直在工作，忘记写总结。正好证书3个月过期了。也验证了一下自动触发的功能。终于把使用步骤文章给写完了~

END