pki.goog

一句话介绍

pki.goog 是 Google 推出的免费 TLS 证书服务，依托 ACME 协议自动签发和管理证书，为网站提供 HTTPS 加密。它由 Google 信任服务部运营，核心卖点是“完全免费”和“Google 背书”，适合需要自动化证书管理的开发者或中小站点。由于无需手动配置，且国内可访问，它成为 Let's Encrypt 之外又一个值得关注的免费证书选项。

业务详解

pki.goog 全称为 Google Trust Services PKI，是 Google 旗下的公共证书颁发机构（CA）。它于 2020 年正式加入 CA/Browser Forum，成为受信任的根证书颁发机构之一。其核心服务是通过 ACME 协议自动签发 DV（域名验证）证书，证书有效期通常为 90 天。用户需要一个 Google Cloud Platform（GCP）账号来通过 ACME 客户端（如 Certbot、acme.sh）获取证书。Google 推出此服务的初衷是为自家云生态提供更紧密的证书管理工具，同时也为开源社区提供免费证书选项。行业地位上，它直接对标 Let's Encrypt，但凭借 Google 的品牌信任度和基础设施稳定性，在企业和开发者中逐渐获得认可。客户类型以中小型网站、个人开发者、以及使用 GCP 的团队为主。

适合谁用

pki.goog 最适合以下三类用户：

• 个人开发者或小团队：需要快速、自动化的 HTTPS 证书，且不介意使用命令行或脚本管理。
• GCP 用户：如果网站或应用已部署在 Google Cloud 上，pki.goog 与 Cloud Load Balancing、App Engine 等原生集成，管理更顺手。
• 对品牌信任度敏感的用户：相比 Let's Encrypt 的社区背景，Google 作为商业公司运营的 CA 可能更让企业用户放心。

不适合的场景包括：需要 OV（组织验证）或 EV（扩展验证）证书的电商或金融类网站（pki.goog 仅提供 DV 证书）、需要长期有效证书（如一年期）的用户、以及完全不懂命令行的新手。

关键功能与亮点

• 完全免费：无需任何订阅费用，签发和续期均不收费，比 Let's Encrypt 更“干净”（无捐赠提示）。
• Google 根证书信任：证书由 Google 的根证书（GTS Root R1/R2）签发，被主流浏览器和操作系统原生信任，兼容性极佳。
• ACME 自动化：支持标准 ACME v2 协议，可与 Certbot、acme.sh、Caddy 等工具无缝集成，实现自动续期。
• GCP 深度集成：在 Google Cloud 环境中，可通过 gcloud 命令行或 Cloud Console 直接管理证书，减少额外配置。
• 短有效期设计：90 天有效期强制用户自动化证书管理，降低私钥泄露风险，符合行业最佳实践。
• 国内可访问：ACME 服务器和证书下载链路在国内网络下基本通畅，无需额外科学上网。

价格分析

pki.goog 的证书服务完全免费，不涉及任何月费或年费。在同类产品中，它属于“免费档”的典型代表。相比 Let's Encrypt 的免费服务，pki.goog 没有速率限制（如每周 50 张证书的上限），但需要 GCP 账号。隐藏费用方面：虽然证书本身免费，但如果你使用 GCP 的负载均衡器或 Cloud CDN 来部署证书，可能会产生云资源费用（如流量、存储等）。此外，Google 账号注册和 GCP 项目创建本身不收费，但若需要发票（如企业报销），则需通过 GCP 的计费系统开具，这要求你绑定信用卡并启用付费项目，可能对无信用卡用户不友好。

中国用户怎么用

网络通畅性：pki.goog 的 ACME 服务器（acme.pki.goog）和证书下载链路在国内大部分地区可直接访问，无需科学上网。实测在阿里云和腾讯云服务器上，使用 acme.sh 签发证书成功率较高，偶尔出现超时可重试。

支付方式：由于证书免费，无需支付。但如果需要 GCP 发票，则必须绑定 Visa/Mastercard 等国际信用卡，不支持支付宝或微信支付，这对无国际信用卡的用户是痛点。

是否需要梯子：基本不需要。但 GCP 的控制台（console.cloud.google.com）有时加载较慢，建议使用国内镜像或 DNS 优化。

国内替代品：如果 pki.goog 不稳定，可考虑腾讯云或阿里云的免费证书（有效期一年，但需手动申请），或 Let's Encrypt（国内访问需注意速率限制）。对于企业用户，付费的 GlobalSign 或 DigiCert 提供 OV/EV 证书，但价格较高。

优缺点对比

优点：

• ✅ 完全免费，无隐藏收费
• ✅ Google 品牌背书，根证书信任度高
• ✅ 支持 ACME 自动化，适合 CI/CD 流程
• ✅ 国内网络访问通畅，无需额外工具
• ✅ 与 GCP 生态无缝集成

缺点：

• ❌ 仅提供 DV 证书，不支持 OV/EV
• ❌ 需要 GCP 账号，新手可能觉得门槛高
• ❌ 证书有效期仅 90 天，必须自动化续期
• ❌ 无中文文档和客服支持
• ❌ 无法开具国内发票（需 GCP 国际信用卡）

同类产品对比

• Let's Encrypt：同样免费，且无需 GCP 账号，社区支持更广泛。但速率限制（每周 50 张证书）和偶尔的国内访问不稳定是短板。pki.goog 在品牌信任度上更胜一筹。
• ZeroSSL：提供免费和付费两种模式，免费版支持 90 天证书，且提供 Web 界面管理，对新手更友好。但付费版价格较低（约 10 美元/年），而 pki.goog 完全免费。
• 阿里云免费证书：国内用户友好，支持一键部署，有效期一年，但需要手动申请，且仅限阿里云控制台使用。pki.goog 的优势在于跨平台和自动化。

总结建议

pki.goog 最适合以下场景：你已使用 GCP 或熟悉 ACME 工具，需要一个长期稳定、无需付费的 DV 证书；或者你对 Let's Encrypt 的社区背景有顾虑，希望证书由商业公司签发。它不适合需要 OV/EV 证书、不愿学习命令行、或无法绑定国际信用卡的用户。建议先免费试用：用 acme.sh 或 Certbot 在测试域名上签发一张证书，验证网络兼容性和自动化流程。如果一切正常，可直接用于生产环境；若遇到问题，可转用 Let's Encrypt 或国内云厂商的免费方案。