Version: 2.8.1
ACME
用途說明#
自動提供從 Let's Encrypt 或是其它 ACMEv2 服務發佈之憑證。
欄位配置說明#
| 變數 | 類型 | 預設值 | 說明 | 必填 |
|---|---|---|---|---|
| account_email | string | 識別帳戶用,可在其它插件實例中重覆使用。 | V | |
| api_uri | string | https://acme-v02.api.letsencrypt.org/directory | ACMEv2 API 端點。 可使用 Let's Encrypt staging environment 做測試。(註一) | |
| cert_type | string | rsa | 憑證的型態,如使用 RSA 憑證則選擇 rsa 或是使用 EC 憑證則選擇 ecc 。此欄位接受輸入的值為以下其一: rsa、ecc。 | |
| domains | array of string | 創造憑證的域名列表。 如要符合 example.com 底下的子域名則可寫成 *.example.com。不支援正規表示式。(註二) | ||
| renew_threshold_days | number | 14 | 更新憑證的時間(單位為天)。 | |
| storage | string | shm | 使用的後端儲存型態。 此欄位接受輸入的值為以下其一: kong 、 shm 、 redis 、 consul 或是 vault。 | |
| storage_config | record | 後端儲存相關設定。 | ||
| rsa_key_size | number | 4096 | 憑證的 RSA 私鑰大小。 此欄位接受輸入的值為以下其一: 2048、3072、4096。 | |
| tos_accepted | boolean | false | 如果使用 Let's Encrypt,必須把這項欄位設定為 true,代表同意 Terms of Service | |
| fail_backoff_minutes | number | 5 | 等待每個域名無法創建憑證的分鐘數。這適用於新憑證和更新憑證。 | |
| eab_kid | string | 外部帳戶綁定 (EAB) 密鑰 ID。除非 CA 明確要求,否則您通常不需要設置此項。 | ||
| eab_hmac_key | string | HMAC 密鑰的外部帳戶綁定 (EAB) base64 編碼 URL 字符串。除非 CA 明確要求,否則您通常不需要設置此項。 | ||
| preferred_chain | string | 如果 CA 提供多個憑證鏈,則首選具有與此使用者公用名匹配的頒發者的鏈,如果不匹配,將使用默認提供的鏈。 |
note
註一:如果要直接做為產品推出,並且使用了同樣的域名,需要在測試完後手動把測試資料刪除。
註二:此欄位僅能填入域名,不代表公用名稱(Common Name) 或是主題備用名稱(Subject Alternative Name)。每個域名擁有自己的憑證。
用法示例#
在全局啟用插件#
- 從網站左邊 Menu 中
外掛插件頁面中,點選右上角的新增外掛插件:
- 點選後,選擇
安全頁籤,並啟用 ACME,填寫內容參考欄位配置說明,設定成功後,任何請求(不分服務、路由、用戶)皆需經過驗證才能通過。