跳到主要内容

教程介绍

全面了解 HiCA 以及 ACME 只需要 15 分钟

如果您第一次使用,建议您从 开始上手 分类开始阅读; 或直接阅读 证书签发管理

什么是 ACME

ACME (rfc8555) 是由 ISRG 起草的 PKIX 证书自动化管理的标准,其定义了一套完整的证书验证、签发、续期更新、吊销等协议,用于管理证书的生命周期。 其特点是减少人工干预,提高安全性,提高系统的可靠性。

详细的ACME定义,可以在 RFC8555: Automatic Certificate Management Environment (ACME) 查阅到。

什么是 HiCA

HiCA 是由“公钥认证服务(重庆)有限公司”运营的数字证书品牌项目,HiCA 诞生于 2022 年 7 月。

关于“公钥认证服务(重庆)有限公司”
  • 成立于: 2022 年 7 月 5 日
  • 注册号: 91500108MAACDXG09T
  • 注册资本: 100 万
  • 注册地: 重庆
  • 主营业务:
    1. 证书(HTTPS证书、代码签名)零售
    2. 证书自动化
    3. ePKI (enterprise PKI)
    4. mPKI (managed PKI)
    5. subCA (CA品牌定制)
    6. TLS 数字证书批发业务 (免费给经销商提供销售站 + ACME 接入服务,零代码接入!)

HiCA 专注于提供 “Browserless TLS distribution” 方案研究 + 推广(所以我们用户协议禁止任何机构未经授权基于 HiCA 开发申请证书的 Web UI、桌面程序以及 APP 或小程序)。

HiCA 特点

HiCA 相比其他 ACME 提供者,具有明显的优势

优势

  • 通过 ACME 提供有效期为 180 天的证书(大多数厂商通过 ACME 提供的免费证书有效期为 90 天);
  • 提供 IPv4 证书和 IPv6 证书;
  • 提供国内 OCSP,具有更高合规性和更好的服务质量(TLS 握手更快);
  • 订阅模式支持一次付款多次自动化续签;

请勿滥用

为了保证 HiCA 的服务质量,我们加了些防滥用限制 (展开了解详情)
以下是条款限制,具体请见我们的 用户协议
  • 只能使用 acme.sh 申请数字证书,不得使用 GUI 且暂不支持其它ACME客户端访问 https://acme.hi.cn 的任何服务!
  • 不利用本服务从事Web入侵防护、CC防护等防护售卖业务!
  • 不得将数字证书服务各个部分分开用于任何目的!
  • 除重庆公钥明示许可外,不得修改、翻译、改编、出租、转许可、在信息网络上传播或转让重庆公钥提供的软件,也不得逆向工程、反编译或试图以其他方式发现重庆公钥提供的软件的源代码!
  • 若重庆公钥的服务涉及第三方软件之许可使用的,您同意遵守相关的许可协议的约束!
  • 您利用数字证书服务进行防护的业务须为正常的商业、科研等符合国家法律规定的业务,不得用于从事任何非法业务,包括但不限于:
    • 违反国家规定的政治宣传和/或新闻;
    • 涉及国家秘密和/或安全;
    • 封建迷信和/或淫秽、色情和/或教唆犯罪;
    • 博彩有奖、赌博游戏、“私服”、“外挂”等非法互联网出版活动;
    • 违反国家民族和宗教政策;
    • 妨碍互联网运行安全;
    • 侵害他人合法权益和/或其他有损于社会秩序、社会治安、公共道德的活动;
    • 其他违反法律法规、部门规章或国家政策的内容。
  • 不建立或利用有关设备、配置运行与所购服务无关的程序或进程,或者故意编写恶意代码导致大量占用重庆公钥云计算资源中的服务器内存、CPU或者网络带宽资源,给重庆公钥云平台或者重庆公钥的其他用户的网络、服务器(包括但不限于本地及外地和国际的网络、服务器等)、产品/应用等带来严重的负荷,影响重庆公钥与国际互联网或者重庆公钥与特定网络、服务器及重庆公钥内部的通畅联系,或者导致重庆公钥平台产品与服务或者重庆公钥的其他用户网站所在的服务器宕机、死机或者用户基于平台的产品/应用不可访问等!
  • 不进行任何破坏或试图破坏网络安全的行为(包括但不限于钓鱼,黑客,网络诈骗,网站或空间中含有或涉嫌散播:病毒、木马、恶意代码,及通过虚拟服务器对其他网站、服务器进行涉嫌攻击行为如扫描、嗅探、ARP欺骗、DDoS等)!
  • 不进行任何改变或试图改变重庆公钥提供的系统配置或破坏系统安全的行为!
以下是证书限制
  • 您需要为超过 10 条的多域名付费;
  • 您需要为超过 1 条的通配符付费,但免费证书里 1 张证书可以包含 *. + @
  • 您需要为超过 1 条 IP 地址付费;
  • 通配符和普通域名、IP 地址混合需要付费;
  • IDN 域名需要付费;
  • (哪怕付费也如此) 不支持 .ru.by.su 域名(合作厂家 DigiCertSectigoCertum 对俄罗斯、白俄罗斯禁运);
  • IPv6 、.onion 有效期90天(CA限制,哪怕付费也如此);

目前 ECDSA 支持以下曲线算法:

  • secp256r1: 使用 acme.sh --issue -d <您的域名们...> --keylength ec-256 --server https://acme.hi.cn/directory
  • secp384r1: 使用 acme.sh --issue -d <您的域名们...> --keylength ec-384 --server https://acme.hi.cn/directory
  • 其他曲线暂不支持,例如 secp521r1

目前 RSA 支持以下长度:

  • rsa 2048: 默认不带 --keylength 或者使用 acme.sh --issue -d <您的域名们...> --keylength 2048 --server https://acme.hi.cn/directory
  • rsa 4096: 使用 acme.sh --issue -d <您的域名们...> --keylength 4096 --server https://acme.hi.cn/directory

注意,只有 rsa 2048 是免费的,其他 keylength / curve 的需求是付费的。

以下是软限制,只会阻止新下单操作不会屏蔽
  • 单个 IP、设备每 24 小时可以签发成功 5 张 valid 且未过期的 SSL 证书;
  • 单个主域名累计可以签发 50 张 valid 且未过期的 SSL 证书;
  • 单个 IP、设备、主域名每周允许 100 个待验证(processing)的证书;proessing 的请求会在下单后 168 个小时后过期;
以下是 QoS 限制,会屏蔽
  • 单个 IP、设备每 1 秒允许请求不超 20 次;
  • 单个 IP、设备每 5 秒允许请求不超 60 次;
  • 单个 IP、设备每 60 秒允许请求不超 500 次;

配额超出策略:

  • 超出 429 Too Frequency 的错误;
  • 24 小时内触发 10 次视为严重滥用,会被 WAF 网关屏蔽 168 小时(7日);
违法警示 (含主管部门联系通道)
违法警示

据《网络安全法》以及各地预防和打击电信诈骗网络犯罪案件的若干意见,当有必要时,公钥基础设施(重庆)服务有限公司有义务配合公安机关、电信主管部门、网络信息管理等有关部门,对滥用我司免费产品、服务的账号;将其邮箱、Whois 快照、IP地址以及域名、证书信息等进行报告上交。

若您违反相关法规,您可以会面临:

  • 证书被吊销;
  • 主流CA、网站联盟、可信数据库拉黑您的站点;
  • 公安机关的传讯、拘留、处罚甚至承担刑事责任!
主管部门通道

主管部门若需我司尽责义务以配合调查,请用 .gov.cn 邮箱发至 [email protected];并提供:

  • 身份 +可供核实您身份的方式
  • 具体情况说明
  • 立案函,需印章(例如立案回执、报告)

我司将在中华人民共和国网络安全法允许的框架内配合贵单位的工作。