Certificate Management Service：向CA（憑證授權單位）提交申請

申請正式認證

正式認證包含DV、EV、OV三種認證類型，在提交認證申請時，您需要根據不同的認證類型填寫相應的資訊並提交給CA機構審核。這些資訊涵蓋了認證綁定的網域名稱或IP、網域名稱驗證方式、認證連絡人以及公司等內容。

1. 登入數位憑證管理服務控制台。

2. 在左側導覽列，選擇認證管理 > SSL認證管理。

3. 在正式認證頁簽，單擊目標認證操作列的認證申請，或將滑鼠移至上方在目標認證狀態列的表徵圖，單擊認證申請。

   

4. 在認證申請面板中，完成以下配置並單擊提交審核。

   說明

   阿里雲數位憑證管理服務會將您提交的申請資訊（認證綁定的網域名稱、連絡人資訊等）發送到CA中心進行審核。

   DV認證申請資訊

   • 認證綁定網域名稱

     • 網域名稱要求

       • 類型需匹配：填寫的網域名稱類型（單網域名稱/多網域名稱/萬用字元）須與您購買的認證一致。

       • 長度限制：單個網域名稱總長度不得超過253個字元，網域名稱中每個標籤（以.分隔的部分）長度不得超過63個字元。

     • 特殊格式要求：

       • 萬用字元：必須以 * 開頭，如 *.example.com。

       • 中文網域名稱：如果您綁定的是中文網域名稱，需按照控台提示轉換成Punycode碼（例如，阿里雲.公司 -> xn--fhq546a.xn--55qx5d）。您也可以使用轉碼工具轉換，具體操作，請參見中文網域名稱轉換。

       • IP地址：僅部分OV單網域名稱認證支援（品牌：GlobalSign、GeoTrust）。

     • 網域名稱尾碼須知：DigiCert品牌不支援為尾碼為.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等特殊詞的網域名稱簽發認證，GlobalSign品牌無此限制。

     • 網域名稱贈送：您在阿里雲數位憑證管理服務購買正式認證後綁定您的網域名稱時，如果網域名稱符合購買正式認證，在您完成綁定網域名稱後，阿里雲會贈送您相應的網域名稱。

   • 網域名稱驗證方式

     說明

     • 認證購買帳號：在數位憑證管理服務控制台中購買目標 SSL 憑證的阿里雲帳號。

     • DNS解析帳號：在Alibaba Cloud DNS中配置目標網域名稱解析的阿里雲帳號。

     認證購買帳號與DNS解析帳號不一致

     • 手動DNS驗證（推薦）：登入您的網域名稱解析服務平台，添加一條TXT類型的DNS解析記錄。

     • 檔案驗證：登入您的網站伺服器，在指定目錄下建立並上傳系統要求的驗證檔案。

       重要

       萬用字元網域名稱不支援檔案驗證方式。

     認證購買帳號與DNS解析帳號一致

     系統將採用自動DNS驗證方式，阿里雲自動在Alibaba Cloud DNS對應的網域名稱中添加一條解析記錄，用於驗證網域名稱所有權，無需人工操作。

   • 聯系人

     選擇本次認證申請的連絡人（包含郵箱、手機號碼等聯絡資訊）。如需建立或修改連絡人，可單擊建立連絡人或編輯，或前往連絡人管理。

     重要

     收到認證申請後，CA中心將向連絡人郵箱發送認證申請驗證郵件，或通過連絡人手機號碼溝通審核相關事宜。請務必確保連絡人資訊準確且有效。

   • 所在地

     選擇申請人所在城市或地區。

   • 密鑰演算法

   • CSR產生方式

     CSR（認證簽章要求）是申請SSL認證時提交給憑證授權單位（CA）的申請檔案，包含您的網域名稱、組織資訊及公開金鑰（對應的私密金鑰需妥善保管）。

     系統產生（推薦）

     阿里雲將為您自動建立CSR和私密金鑰。認證簽發後，可直接下載包含私密金鑰的完整檔案。

     手動填寫

     可使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案（由您自行保管），並將CSR內容複寫到CSR檔案內容配置項中。關於如何製作CSR和私密金鑰檔案，請參見如何製作CSR檔案。

     重要

     • 請務必妥善保管您的私密金鑰。如果私密金鑰丟失，將無法在伺服器上使用該認證，且私密金鑰無法恢複，需要重建金鑰組並申請重簽發認證。

     • CSR的密碼編譯演算法必須與上方選擇的“密鑰演算法”一致。

     選擇已有的CSR

     在數位憑證管理服務控制台已建立或上傳的CSR中，選擇與認證綁定網域名稱相匹配的CSR。如何建立和上傳CSR，請參見建立CSR。

   • CSR檔案內容

     只有在CSR產生方式為手動填寫或選擇已有的CSR時，需要配置該參數。在此處填寫您的CSR檔案內容。

   OV認證申請資訊

   說明

   OV認證申請提交後，CA機構會通過郵件或電話向連絡人發送網域名稱所有權驗證指引，連絡人需按要求及時完成驗證以確認網域名稱所有權。

   • 認證綁定網域名稱

     • 網域名稱要求

       • 類型需匹配：填寫的網域名稱類型（單網域名稱/多網域名稱/萬用字元）須與您購買的認證一致。

       • 長度限制：單個網域名稱總長度不得超過253個字元，網域名稱中每個標籤（以.分隔的部分）長度不得超過63個字元。

     • 特殊格式要求：

       • 萬用字元：必須以 * 開頭，如 *.example.com。

       • 中文網域名稱：如果您綁定的是中文網域名稱，需按照控台提示轉換成Punycode碼（例如，阿里雲.公司 -> xn--fhq546a.xn--55qx5d）。您也可以使用轉碼工具轉換，具體操作，請參見中文網域名稱轉換。

       • IP地址：僅部分OV單網域名稱認證支援（品牌：GlobalSign、GeoTrust）。

     • 網域名稱尾碼須知：DigiCert品牌不支援為尾碼為.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等特殊詞的網域名稱簽發認證，GlobalSign品牌無此限制。

     • 網域名稱贈送：您在阿里雲數位憑證管理服務購買正式認證後綁定您的網域名稱時，如果網域名稱符合購買正式認證，在您完成綁定網域名稱後，阿里雲會贈送您相應的網域名稱。

   • 聯系人

     選擇本次認證申請的連絡人（包含郵箱、手機號碼等聯絡資訊）。如需建立或修改連絡人，可單擊建立連絡人或編輯，或前往連絡人管理。

     重要

     收到認證申請後，CA中心將向連絡人郵箱發送認證申請驗證郵件，或通過連絡人手機號碼溝通審核相關事宜。請務必確保連絡人資訊準確且有效。

   • 公司

     選擇本次認證申請的公司資訊（包含名稱、電話、地址）。如需建立或修改公司資訊，可單擊新建公司或編輯，或前往公司資訊管理。

     重要

     .gov網域名稱申請OV認證時，網域名稱WHOIS的組織名稱必須與公司名稱完全一致。

   • 營業執照

     選擇公司後，系統自動識別該公司資訊中已上傳的營業執照圖片。如果您在建立公司時沒有上傳營業執照，則營業執照為空白。為確保CA中心快速審核通過，建議您上傳公司營業執照。

   • 密鑰演算法

     選擇認證使用的密鑰演算法。

     • RSA（預設）：目前在全球應用廣泛的非對稱式加密演算法，相容性好。

     • ECC：全稱為Elliptic Curve Cryptography，表示橢圓曲線密碼編譯演算法。相比於RSA，ECC是一種更先進和安全的密碼編譯演算法（加密速度快、效率更高、伺服器資源消耗低），目前已在主流瀏覽器中得到推廣。

     重要

     目前只有部分品牌及類型的認證支援ECC，詳情請參見SSL認證選型指引。

   • CSR產生方式

     CSR（認證簽章要求）是申請SSL認證時提交給憑證授權單位（CA）的申請檔案，包含您的網域名稱、組織資訊及公開金鑰（對應的私密金鑰需妥善保管）。

     系統產生（推薦）

     阿里雲將為您自動建立CSR和私密金鑰。認證簽發後，可直接下載包含私密金鑰的完整檔案。

     手動填寫

     可使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案（由您自行保管），並將CSR內容複寫到CSR檔案內容配置項中。關於如何製作CSR和私密金鑰檔案，請參見如何製作CSR檔案。

     重要

     • 請務必妥善保管您的私密金鑰。如果私密金鑰丟失，將無法在伺服器上使用該認證，且私密金鑰無法恢複，需要重建金鑰組並申請重簽發認證。

     • CSR的密碼編譯演算法必須與上方選擇的“密鑰演算法”一致。

     選擇已有的CSR

     在數位憑證管理服務控制台已建立或上傳的CSR中，選擇與認證綁定網域名稱相匹配的CSR。如何建立和上傳CSR，請參見建立CSR。

   • CSR檔案內容

     只有在CSR產生方式為手動填寫或選擇已有的CSR時，需要配置該參數。在此處填寫您的CSR檔案內容。

   EV認證申請資訊

   說明

   EV認證申請提交後，CA機構會通過郵件或電話向連絡人發送網域名稱所有權驗證指引，連絡人需按要求及時完成驗證以確認網域名稱所有權。

   • 認證綁定網域名稱

     • 網域名稱要求

       • 類型需匹配：填寫的網域名稱類型（單網域名稱/多網域名稱/萬用字元）須與您購買的認證一致。

       • 長度限制：單個網域名稱總長度不得超過253個字元，網域名稱中每個標籤（以.分隔的部分）長度不得超過63個字元。

     • 特殊格式要求：

       • 萬用字元：必須以 * 開頭，如 *.example.com。

       • 中文網域名稱：如果您綁定的是中文網域名稱，需按照控台提示轉換成Punycode碼（例如，阿里雲.公司 -> xn--fhq546a.xn--55qx5d）。您也可以使用轉碼工具轉換，具體操作，請參見中文網域名稱轉換。

       • IP地址：僅部分OV單網域名稱認證支援（品牌：GlobalSign、GeoTrust）。

     • 網域名稱尾碼須知：DigiCert品牌不支援為尾碼為.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等特殊詞的網域名稱簽發認證，GlobalSign品牌無此限制。

     • 網域名稱贈送：您在阿里雲數位憑證管理服務購買正式認證後綁定您的網域名稱時，如果網域名稱符合購買正式認證，在您完成綁定網域名稱後，阿里雲會贈送您相應的網域名稱。

   • 聯系人

     選擇本次認證申請的連絡人（包含郵箱、手機號碼等聯絡資訊）。如需建立或修改連絡人，可單擊建立連絡人或編輯，或前往連絡人管理。

     重要

     收到認證申請後，CA中心將向連絡人郵箱發送認證申請驗證郵件，或通過連絡人手機號碼溝通審核相關事宜。請務必確保連絡人資訊準確且有效。

   • 公司

     選擇本次認證申請的公司資訊（包含名稱、電話、地址）。如需建立或修改公司資訊，可單擊新建公司或編輯，或前往公司資訊管理。

     重要

     .gov網域名稱申請OV認證時，網域名稱WHOIS的組織名稱必須與公司名稱完全一致。

   • 營業執照

     選擇公司後，系統自動識別該公司資訊中已上傳的營業執照圖片。如果您在建立公司時沒有上傳營業執照，則營業執照為空白。為確保CA中心快速審核通過，建議您上傳公司營業執照。

   • 密鑰演算法

     選擇認證使用的密鑰演算法。

     • RSA（預設）：目前在全球應用廣泛的非對稱式加密演算法，相容性好。

     • ECC：全稱為Elliptic Curve Cryptography，表示橢圓曲線密碼編譯演算法。相比於RSA，ECC是一種更先進和安全的密碼編譯演算法（加密速度快、效率更高、伺服器資源消耗低），目前已在主流瀏覽器中得到推廣。

     重要

     目前只有部分品牌及類型的認證支援ECC，詳情請參見SSL認證選型指引。

   • CSR產生方式

     CSR（認證簽章要求）是申請SSL認證時提交給憑證授權單位（CA）的申請檔案，包含您的網域名稱、組織資訊及公開金鑰（對應的私密金鑰需妥善保管）。

     系統產生（推薦）

     阿里雲將為您自動建立CSR和私密金鑰。認證簽發後，可直接下載包含私密金鑰的完整檔案。

     手動填寫

     可使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案（由您自行保管），並將CSR內容複寫到CSR檔案內容配置項中。關於如何製作CSR和私密金鑰檔案，請參見如何製作CSR檔案。

     重要

     • 請務必妥善保管您的私密金鑰。如果私密金鑰丟失，將無法在伺服器上使用該認證，且私密金鑰無法恢複，需要重建金鑰組並申請重簽發認證。

     • CSR的密碼編譯演算法必須與上方選擇的“密鑰演算法”一致。

     選擇已有的CSR

     在數位憑證管理服務控制台已建立或上傳的CSR中，選擇與認證綁定網域名稱相匹配的CSR。如何建立和上傳CSR，請參見建立CSR。

   • CSR檔案內容

     只有在CSR產生方式為手動填寫或選擇已有的CSR時，需要配置該參數。在此處填寫您的CSR檔案內容。

5. 確認認證申請資訊後，您需要進行網域名稱所有權驗證。

認證合并限制

合并認證須滿足以下所有條件：

1. 基礎要求：

   • 品牌、類型必須相同。

   • 認證狀態為“待申請”。

   • 認證未託管，若已託管需先取消認證託管。

2. 特定品牌的附加規則：除基礎要求外，部分品牌有如下額外限制。

   • WoSign：僅支援合并 DV 型認證。

   • GlobalSign：

     • DV 型：主網域名稱必須一致，不支援萬用字元/IP。

     • EV 型：主網域名稱無限制，但不支援萬用字元/IP。

     • OV 型：主網域名稱無限制，且支援萬用字元/IP。

操作步驟

1. 登入數位憑證管理服務控制台。

2. 在正式認證頁簽，單擊認證列表上方認證狀態下拉式清單，選擇待申請。定位到要合并的認證，在操作列，單擊證書合併。

3. 在合併證書對話方塊，選中要與當前認證合并的認證，並選中確認資訊，單擊合併證書。

   

   在合并成功對話方塊，單擊確定。

4. 定位到合并後的認證，在操作列，單擊認證申請。

   您可以通過認證的名稱（以cas-merge開頭）查詢合并後的認證。

5. 在認證申請面板，根據頁面提示資訊，設定認證綁定網域名稱，並填寫其他申請資訊，然後單擊提交審核。

   • 合并後的認證支援綁定的網域名稱數量，等於未合并前每個認證能夠綁定的網域名稱數量的總和。

     

   • 關於認證申請其他配置項的詳細說明，請參見申請資訊。

6. 確認認證申請資訊後，您需要進行網域名稱所有權驗證。

如何選擇驗證方式？

通常控制台會根據您的申請的認證類型，網域名稱類型自動填滿推薦的驗證方式，您也可參考如何選擇網域名稱所有權驗證方式？進行選擇。

認證申請支援中文網域名稱嗎？

支援。如果您綁定的是中文網域名稱，需按照控制台提示轉換成Punycode碼，才能申請認證。您也可以使用轉碼工具轉換，具體操作請參見中文網域名稱轉換。

如何修改申請連絡人郵箱或電話？

• 如果您未建立過連絡人，可以填寫申請資訊時，在連絡人下拉式清單中，單擊建立連絡人，建立一個連絡人。

• 若您想要修改現有連絡人，可以填寫申請資訊時，在連絡人下拉式清單中，單擊目標連絡人的編輯按鍵，修改現有連絡人的資訊。

• 也可在認證控制台的综合管理 > 連絡人管理中管理連絡人，具體操作請參見管理連絡人。

提交申請後，認證多久簽發？

提交申請後，需要配合CA中心完成網域名稱所有權驗證，網域名稱所有權驗證通過後，詳情參見網域名稱所有權驗證。DV認證DV認證平均1~15分鐘內自動簽發，OV、EV平均簽發時間長度為5個自然日。根據實際的驗證情況，審核簽發時間長度可能延長，請耐心等待即可。

OV和EV認證申請時公司資訊與網域名稱認證公司資訊要保持一致嗎？

需要。可登入認證控制台在综合管理 > 公司資訊管理中管理公司資訊，集體操作參見管理公司資訊。