本文介紹 SSL 憑證管理 V2.0 的完整操作流程,包括購買認證、申請認證、部署認證以及認證託管服務的使用方法。
概述
SSL 憑證管理 V2.0 採用訂閱模式,購買後系統自動產生認證執行個體,需完成認證申請後才可獲得認證。完整操作流程包括:
購買認證:選擇認證類型和訂閱時間長度
申請認證:填寫網域名稱資訊並完成網域名稱驗證
等待簽發:CA 機構審核並簽發認證
部署認證:將認證部署到 Web 服務器或雲產品
開啟自動裝載:(可選)開啟自動裝載,實現認證自動續簽和自動部署。
如 CA 機構簽發的認證有效期間(具體有效期間以認證簽發時的 CA 機構政策為準)小於訂閱時間長度,每個認證執行個體可能需要多次執行申請-部署流程。關於 SSL 憑證的核心概念、工作原理等詳細資料,請參見什麼是 SSL 憑證。
步驟一:購買認證
選擇認證類型
根據您的業務需求選擇合適的認證類型。不同認證類型在驗證方式、適用情境和價格上有所差異:
認證類型 | 驗證方式 | 適用情境 | 說明 |
DV(網域名稱型) | 網域名稱所有權驗證 | 個人網站、小型企業 | 僅驗證網域名稱所有權,簽發速度快(1~15 分鐘),價格較低 |
OV(企業型) | 企業實名驗證 + 網域名稱驗證 | 企業官網、電商平台 | 驗證企業真實性,認證中顯示公司資訊,簽發時間長度約 5 個自然日 |
EV(企業增強型) | 嚴格企業實名驗證 + 網域名稱驗證 | 金融機構、大型企業 | 最進階別驗證,提供最高信任度,簽發時間長度約 5 個自然日 |
詳細的認證品牌、網域名稱類型(單網域名稱、多網域名稱、泛網域名稱)選擇指南,請參見SSL 憑證選型指南。
配置購買參數
登入數位憑證管理服務控制台,按照以下步驟完成購買:
單擊導覽列,進入SSL證書管理 V2.0頁面。
在正式認證頁簽下,單擊購買認證。
選擇認證執行個體購買。
選擇網域名稱類型:
單域名:支援 1 個完整網域名稱(如
www.example.com)萬用字元網域名稱:支援 1 個泛網域名稱(如
*.example.com)多域名:支援多個單域名和萬用字元網域名稱
選擇認證類型(DV、OV 或 EV)、證書品牌(如 DigiCert、GeoTrust、GlobalSign 等)和訂閱時間長度。
(可選)開啟開啟自動裝載:開啟後,在認證到期前將自動申請下一張認證,每次自動申請需消耗 1 次託管額度。
說明如果賬戶託管額度不足,系統將自動購買託管額度。如果購買時賬戶餘額不足,託管將會失敗。
確認配置和價格後,完成支付。
購買成功後,系統將自動建立認證執行個體,可以在認證列表中查看。詳細購買資訊可查看購買正式認證。
步驟二:申請認證
購買完成後,需要填寫認證申請資訊並完成網域名稱驗證,才能擷取可部署的認證。
填寫申請資訊
在認證列表中找到已購買的認證執行個體,單擊操作列下的申請認證。
填寫認證綁定網域名稱(不同網域名稱類型的數量不能超過購買數量)。
填寫聯系人資訊,用於接收認證申請狀態通知。
(僅 OV/EV 認證)填寫公司資訊,包括企業名稱、統一社會信用代碼等,CA 機構將核實該資訊。
選擇網域名稱驗證方式:
自動DNS驗證:手動在網域名稱 DNS 解析中添加 TXT 記錄
手動DNS驗證:系統自動在阿里雲 DNS 中添加 TXT 記錄(僅阿里雲網域名稱)
檔案驗證:通過郵件驗證網域名稱所有權(僅 OV/EV 認證)
(可選)選擇自動裝載:開啟後,認證到期前系統將自動申請下一張認證。
確認資訊無誤後,單擊提交申請。
更多資訊可查看向CA(憑證授權單位)提交申請。
完成網域名稱驗證
提交申請後,需要根據選擇的驗證方式完成網域名稱所有權驗證:
手動 DNS 驗證:登入您的網域名稱 DNS 管理主控台,添加一條 TXT 記錄,記錄值為 CA 提供的驗證字串。添加完成後,在認證列表中單擊驗證按鈕,確認配置是否正確。
自動 DNS 驗證:如果您使用的是阿里雲 DNS 服務,系統會自動添加 TXT 記錄,無需手動操作。
郵件驗證(OV/EV 認證):CA 機構將向企業登記註冊時的郵箱發送驗證郵件,請按郵件要求回複郵件或點擊驗證鏈結接完成驗證。
更多資訊可查看網域名稱所有權驗證
網域名稱驗證需在認證申請提交後儘快完成,否則將影響認證簽發時間。
步驟三:等待認證簽發
完成網域名稱驗證後,CA 機構將對申請資訊進行審核並簽發認證。更多資訊可查看CA審核結果處理。
簽發時間長度
認證類型 | 預計簽發時間長度 |
DV(網域名稱型)認證 | 1~15 分鐘(系統自動審核) |
OV(企業型)/ EV(企業增強型)認證 | 約 5 個自然日(人工審核) |
查看簽發進度
您可以在認證列表中查看當前認證狀態:
待申請:需要填寫並提交申請資訊
審核中:已提交申請,等待 CA 機構審核
已簽發:認證已簽發,可以下載和部署
審核失敗:審核未通過,需要根據失敗原因重新提交申請
步驟四:部署認證
認證簽發後,需要將認證部署到您的 Web 服務器或雲產品,才能為網站啟用 HTTPS 加密。
部署方式
SSL 憑證支援兩種部署方式:
控制台自動部署:適用於阿里雲雲產品(SLB、CDN、WAF、ECS 等),通過控制台一鍵部署
說明控制台自動部署目前僅支援國際 SSL 憑證,不支援國密 SSL 憑證。
手動下載部署:適用於自建伺服器(Nginx、Apache、IIS、Tomcat 等),需要下載認證檔案後手動設定
控制台自動部署(雲產品)
在認證列表中找到已簽發的認證,單擊操作列下的部署。
選擇要部署的雲產品類型(如Server Load Balancer、Web Application Firewall WAF等等,需先開通並完成對應雲產品配置)。
確認部署配置,完成部署。
部署成功後,認證將自動同步到所選雲產品,您可以在相應產品的控制台中查看。
詳細部署步驟請參見部署 SSL 憑證至 SLB/CDN/WAF 等雲產品或部署 SSL 憑證至 ECS/Simple Application Server。
手動下載部署(自建伺服器)
在認證列表中找到已簽發的認證,單擊操作列下的下載。
選擇對應的 Web 服務器類型(Nginx、Apache、IIS、Tomcat 等),下載認證檔案壓縮包。
解壓下載的檔案,擷取認證檔案和私密金鑰檔案。
登入 Web 服務器,將認證檔案和私密金鑰檔案上傳到伺服器指定目錄。
根據 Web 服務器類型,修改設定檔添加 HTTPS 配置。
重啟 Web 服務器使配置生效。
不同 Web 服務器的詳細部署步驟,Nginx 伺服器可參見在Nginx或Tengine伺服器安裝 SSL認證(Linux)。
步驟五:配置認證託管(可選)
根據 CA/B 政策要求,SSL/TLS 認證最長有效期間將持續縮短。為避免因認證到期未續約導致業務中斷,建議開啟自動裝載服務。
您可以在購買認證時開啟自動裝載,也可以在認證申請時或認證簽發後開啟:
購買時開啟:購買認證時選擇開啟自動裝載,在自動發起認證申請時計費。
申請時開啟:申請認證時選擇開啟自動裝載,後續可在認證列表中關閉。
簽發後開啟/關閉:在認證列表中找到目標認證,單擊開通自動裝載。
更多資訊可查看什麼是託管服務。
常見問題與錯誤處理
問題/錯誤 | 原因/說明 | 解決方案 |
認證申請審核失敗 | 網域名稱驗證失敗或公司資訊不完整 | 檢查網域名稱驗證記錄是否正確,或補充完整的公司資訊後重新提交 |
認證部署失敗 | 雲產品執行個體狀態異常或網域名稱未備案 | 檢查雲產品執行個體狀態是否正常,確認網域名稱已完成 ICP 備案 |
自動裝載失敗 | 託管額度不足或賬戶餘額不足 | 儲值賬戶餘額或手動購買託管額度 |
認證下載後無法使用 | 認證檔案不完整或伺服器配置錯誤 | 確認下載的認證檔案包含憑證鏈結和私密金鑰,檢查伺服器設定檔文法是否正確 |
瀏覽器提示認證不受信任 | 認證未正確安裝或中間認證缺失 | 重新安裝認證並確保同時安裝中間認證 |
更多常見問題,請參見: