为避免因证书过期导致业务中断和安全风险,请关注SSL证书的剩余有效时长,并在证书到期前根据证书类型选择正确的处理方案,以确保业务的连续性和安全性。本文介绍如何为正式证书和“上传证书”进行续费。
本文档仅适用于SSL证书管理(V1.0 停止新购)。SSL证书管理 V2.0暂不支持证书续费,请关注后续产品更新。
确认证书类型
进入SSL证书管理页面。根据目标证书所在的页签(正式证书、上传证书),确认证书类型,随后选择相应的续费方案:
正式证书续费
续费流程
SSL证书的续费实际上是重新签发一张新证书,而非延长旧证书的有效期。新证书签发后,旧证书在其有效期内仍可继续使用。续费流程如下:
提交续费信息并完成支付:填写并提交续费所需信息,完成支付操作。
提交证书申请:向证书颁发机构(CA)提交新的证书申请,验证域名所有权并配合CA完成审核。
部署并验证新证书:将签发的新证书部署至目标服务器或云产品,替换旧证书。
续费条件
证书状态:即将过期。
证书类型:非多域名证书。
规格变更:无需更改证书规格(如证书品牌、证书类型等)。
若证书已过期、证书类型为多域名证书、或需变更证书规格,请参考购买正式证书重新购买证书,并完成创建、申请和部署。
新证书的有效期计算规则
2026-02-25 前
为实现平滑过渡,续费并签发新证书后,其将叠加旧证书的剩余有效期(补齐有效期),上限30天。
计算规则
计算公式:
新证书有效期 = 标准有效期(12个月:365天)+ 旧证书剩余有效期(最多30天)。到期日:在旧证书到期前30天内完成续费并签发,新证书的到期日将固定不变(旧证书的到期日 + 365天)。
场景示例
以一张有效期为 2024-10-01 至 2025-09-30 的旧证书为例(为便于理解,假设启动新证书申请流程后于当天完成签发)。
操作时间:2025-09-10 提交续费申请。
后续处理:手动提交证书申请。
新证书有效期时长:12个月(365天) + 20天(旧证书剩余有效期)= 385天。
新证书有效期范围:2025-09-10 至 2026-09-30。
2026-02-25 及之后
为实现平滑过渡,续费并签发新证书后,其将叠加旧证书的剩余有效期(补齐有效期),上限15天。
计算规则
计算公式:
新证书有效期 = 标准有效期(6个月:180天)+ 旧证书剩余有效期(最多15天)。到期日:在旧证书到期前15天内完成续费并签发,新证书的到期日将固定不变(旧证书的到期日 + 180天)。
场景示例
以一张有效期为 2025-10-01 至 2026-09-30 的旧证书为例(为便于理解,假设启动新证书申请流程后于当天完成签发)。
操作时间:2026-09-20 提交续费申请。
后续处理:手动提交证书申请。
新证书有效期时长:6个月(180天) + 10天(旧证书剩余有效期)= 190天。
新证书有效期范围:2026-09-20 至 2027-03-29。
步骤一:提交续费信息并完成支付
进入SSL证书管理页面,在正式证书页签下定位目标证书,在操作列单击续费购买。
在证书续费面板,填写如下信息。
CSR生成方式:
CSR(证书签名请求)是向 CA 申请证书的文件,其中包含证书绑定的域名、公钥、主体信息,并由您的私钥签名。推荐使用系统生成。
系统生成
系统将生成并安全托管全新的密钥对(密钥算法与旧证书相同),并使用其创建新的CSR。
说明此方式符合密钥轮换的最佳安全实践。
手动填写
使用自有环境中生成的CSR文件,请将文件内容填写至CSR文件内容一栏。使用此方式签发的证书将不能通过控制台部署至阿里云产品中。如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请确保手动填写的CSR使用的加密算法与旧证书密钥算法一致,否则将无法顺利提交证书审核。
请妥善保管私钥文件,阿里云不负责保管私钥,如果私钥丢失,必须重新购买SSL证书。
原密钥更新
沿用旧证书的密钥对生成新的CSR文件并签发新证书。
重要此方式不符合密钥轮换最佳实践,可能不满足部分行业合规要求。
域名验证方式:
默认与旧证书的验证方式一致。
联系人:
根据不同的域名验证方式,CA 可能会向此联系人发送证书验证邮件,或通过手机号码沟通审核相关事宜,请确保联系人信息准确有效。
续费年限:
续费年限范围内签发的证书数量将根据证书品牌策略调整,详见有效期变更说明。
单击立即续费,按界面提示完成支付操作。
付费规则:系统将优先使用剩余证书额度(与本次申请的证书规格一致)及剩余托管服务次数进行抵扣;不足部分需付费。
查看剩余证书额度和托管服务次数:进入SSL证书管理页面,在正式证书页签下单击创建证书:
剩余托管服务次数:查找年限字段,其后显示的“剩余托管服务次数:”,即为当前剩余次数。
剩余证书额度:选择证书类型后,单击证书规格的下拉框,其显示的“可申请证书张数”即为各规格下的剩余证书额度。
续费完成后,在旧证书下方将生成 1 张或多张(具体数量取决于单张证书的有效期,详见有效期变更说明)与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变),第 1 张证书状态为待申请,其它证书状态为未激活。
步骤二:提交证书申请
根据不同的证书状态分别进行处理:
未激活:当前一张证书剩余有效期不超过 30 天(2026-02-25 及之后为20天)时,将自动通过托管服务启动当前证书申请流程。
待申请:请向CA(证书颁发机构)提交申请,并完成域名所有权验证。
申请审核中:已向证书颁发机构(CA)提交申请,请参考CA审核结果处理,配合CA完成证书签发。
步骤三:部署并验证新证书
部署证书。
确认托管部署任务状态。
若前一张证书已部署至阿里云云产品(如ALB、WAF、CDN、DDos等),且当前证书已使用托管服务自动创建托管部署任务,请通过以下步骤查看部署任务详情并确认部署结果:
进入云产品托管部署页面。
在证书资源ID列中,根据当前证书的资源ID(位于证书列表的证书列中)定位对应的部署任务。
单击该任务操作列下的详情,即可在详情页查看任务进度及其它详细信息。
说明当前证书签发后,系统将通过云产品托管部署完成部署。若部署失败,系统将通过邮件和站内信发送通知。
手动部署至目标服务器。
可参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。
验证证书
在浏览器(以 Chrome 浏览器为例)地址栏输入
https://域名并访问网站。单击
图标,然后在弹出的面板中单击。在弹出的面板中查看,若其与新证书的有效期一致,则表示新证书已部署成功。
“上传证书”续费
在SSL证书管理页面的上传证书页签下,定位目标证书,根据状态进行相关操作。
若状态中显示PCA(由PCA产品创建的SSL证书),请重新签发新的PCA证书后同步到SSL证书。
即将过期
步骤一:购买证书
购买并签发证书后,将获得一张新的正式证书,其有效期为12个月,从签发日开始计算。新证书不会叠加旧证书的剩余有效期(补齐有效期)。
单击操作列下的更新证书,在打开的购买页面中,填写如下信息。
证书类型
单域名:用于保护一个主域名、子域名或公网IP(IPv4)。例如:
aliyun.com、abc.aliyun.com、1.1.X.X等。通配符:用于保护一个主域名及其所有下一级子域名。例如:
*.aliyun.com的证书可保护a.aliyun.com,但不能保护b.a.aliyun.com。多域名:用于同时保护多个单域名,最多支持5个。仅支持绑定单域名,不支持绑定通配符域名。
品牌
包括:Alibaba Cloud、DigiCert、GlobalSign。证书品牌选型,请参见SSL证书选型指引。
证书规格
证书类型
适用场景
平均签发时长
DV证书
个人网站、企业测试环境
1~15分钟。
OV证书提交需要申请的信息。
政府组织、中小型企业或教育机构等
5个自然日
证书
大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站
5个自然日
服务年限
选择证书服务时长。证书服务时长内可能需要签发多张证书,具体数量取决于单张证书的有效期,详见有效期变更说明。
单击立即购买,按界面提示完成支付操作。
付费规则:系统将优先使用剩余证书额度(与本次申请的证书规格一致)及剩余托管服务次数进行抵扣;不足部分需付费。
查看剩余证书额度和剩余托管服务次数:进入SSL证书管理页面,在正式证书页签下单击创建证书:
剩余托管服务次数:查找年限字段,其后显示的“剩余托管服务次数:”,即为当前剩余次数。
剩余证书额度:选择证书类型后,单击证书规格的下拉框,其显示的“可申请证书张数”即为各规格下的剩余证书额度。
续费完成后,在旧证书下方将生成 1 张或多张(具体数量取决于单张证书的有效期,详见有效期变更说明)与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变),第 1 张证书状态为待申请,其它证书状态为未激活。
步骤二:提交证书申请
根据不同的证书状态分别进行处理:
未激活:当前一张证书的剩余有效期不超过 30 天时,将自动通过托管服务启动下一张证书申请流程。
待申请:请向CA(证书颁发机构)提交申请,并完成域名所有权验证。
申请审核中:请参考CA审核结果处理,配合CA完成证书签发。
步骤三:部署并验证新证书
部署证书。
确认托管部署任务状态。
若前一张证书已部署至阿里云云产品(如ALB、WAF、CDN、DDos等),且当前证书已使用托管服务自动创建托管部署任务,请通过以下步骤查看部署任务详情并确认部署结果:
进入云产品托管部署页面。
在证书资源ID列中,根据当前证书的资源ID(位于证书列表的证书列中)定位对应的部署任务。
单击该任务操作列下的详情,即可在详情页查看任务进度及其它详细信息。
说明当前证书签发后,系统将通过云产品托管部署完成部署。若部署失败,系统将通过邮件和站内信发送通知。
手动部署至目标服务器。
可参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。
验证证书
在浏览器(以 Chrome 浏览器为例)地址栏输入
https://域名并访问网站。单击
图标,然后在弹出的面板中单击。在弹出的面板中查看,若其与新证书的有效期一致,则表示新证书已部署成功。
已过期
已过期证书无法续费,需重新购买。请参考购买正式证书完成证书购买。
常见问题
续费基础知识
续费与直接购买的区别是什么?
正式证书
续费与直接购买的主要区别在于是否叠加旧证书的剩余有效期(补齐有效期)。
证书续费:通过续费操作签发的新证书,将叠加旧证书剩余有效期,确保新旧证书平滑过渡。详情请参见新证书的有效期计算规则。
直接购买:直接购买的证书有效期从签发日开始计算,不叠加旧证书的剩余有效期,可能造成旧证书有效期的浪费。
上传证书
续费与直接购买的有效期均从新证书的签发日开始计算,不叠加旧证书的剩余有效期。其主要区别在于获取新证书的操作流程。
证书续费:当旧证书即将到期时,系统将自动通过托管服务启动新证书的申请流程(若不符合自动提交申请条件,需手动提交)。
直接购买:需要自行关注证书到期时间,并手动完成购买及申请新证书的全部流程。
为什么续费或购买了多年期(如2年/3年)的证书,但有效期为1年或小于1年?
根据全球CA/B论坛(CA/Browser Forum)的行业规定,所有公开信任的SSL证书单次签发有效期最长不超过397天(2026-02-25 起调整为199天,详见有效期变更说明)。因此,续费或购买的多年期证书,实际上是“多张证书”和“托管服务”的组合。
通过托管服务,系统将在第一张证书即将到期时,自动申请下一张证书(若提交申请失败,需手动提交)。您只需要配合完成域名所有权验证(如果需要)和CA审核,并每年重新部署一次新证书即可。
续费操作问题
为什么在证书列表找不到续费入口?
续费入口的显示取决于证书类型和状态,请确认满足以下条件:
正式证书:证书状态为即将过期。证书类型为非多域名证书。
上传证书:证书状态为上传成功,且不是PCA证书。
为什么续费后,证书列表里出现了两条一样的记录?
根据续费时选择的证书服务时长,提交续费后,在旧证书下方将出现一到多张新证书(左侧带有图标),表示与旧证书关联。
续费后部署问题
续费并支付成功后,为什么网站访问时仍然提示证书即将过期?
续费完成后签发的是一张全新的证书,请参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。
续费并部署新证书后,为什么网站访问仍然提示不安全或证书过期?
请按以下步骤逐一排查:
确认部署了正确的证书文件:请确保已在服务器上部署签发的新证书文件,而不是误用了旧证书文件。
确认已重启Web服务:Nginx、Apache、Tomcat、IIS等Web服务器在替换证书文件后,必须重启(restart)或重载(reload)服务,新证书才能生效。
清理浏览器缓存:浏览器可能缓存了旧证书的状态。请尝试强制刷新页面(Ctrl+F5)、清理浏览器缓存或使用无痕/隐私模式访问。
检查CDN或WAF等中间产品:若网站使用了内容分发网络(CDN)、Web应用防火墙(WAF)、全球加速(GA)或负载均衡(SLB)等产品,必须同时在这些产品的控制台将证书更新为新证书。否则,用户访问到的仍是这些中间产品上的旧证书。
确认证书链完整:从阿里云下载的证书文件通常已包含完整的证书链。如自行拼接,请确保包含了服务器证书和所有中间证书。
证书过期紧急处理
证书已过期导致服务中断,如何进行紧急处理以快速恢复服务?
若因证书过期导致服务中断,请遵循以下应急流程快速恢复服务,后续再替换为正式证书。
购买证书:立即购买一张DV(域名验证型)证书作为应急方案。DV证书验证简单,签发速度最快。
申请证书:在验证环节优先选择DNS验证方式,通常可在10分钟内完成域名所有权校验。
说明在等待证书签发期间,定位服务器上旧证书的存储位置,为后续替换做准备。
部署证书:新证书签发后,立即将其部署到 Web 应用服务器(如 Nginx、Apache 等)或云产品中,使新证书生效。
替换为正式证书:DV证书仅为临时应急方案。服务恢复后,请尽快申请原规格证书(如OV/EV型)并进行替换。