購買認證後認證狀態即為待申請狀態,取消申請後將返還相應的認證額度,本文介紹如何使用認證額度建立SSL認證。
認證購買後預設為待申請狀態,請跳過本文直接向CA(憑證授權單位)提交申請。
前提條件
已購買正式認證。
操作流程
操作步驟
登入數位憑證管理服務控制台,在的正式認證頁簽,單擊建立認證。
步驟一:填寫基本資料
參照如下說明,完成基本資料配置。如果您未勾選“快捷簽發”,填寫完所有必填資訊後單擊確定,認證會進入“待申請”狀態,您稍後需要向CA(憑證授權單位)提交申請。
證書類型
系統會展示您購買後可建立的認證類型(最多支援單網域名稱、多網域名稱、萬用字元三種)。僅當您已購買對應類型的認證資源時,方可在此處選擇該類型。
認證規格
顯示您已購買的認證規格及其可用數量。若無所需規格,請先購買正式認證。
域名名稱
網域名稱要求
類型需匹配:填寫的網域名稱類型(單網域名稱/多網域名稱/萬用字元)須與您購買的認證一致。
長度限制:單個網域名稱總長度不得超過253個字元,網域名稱中每個標籤(以
.分隔的部分)長度不得超過63個字元。
特殊格式要求:
萬用字元:必須以
*開頭,如*.example.com。中文網域名稱:如果您綁定的是中文網域名稱,需按照控台提示轉換成Punycode碼(例如,
阿里雲.公司->xn--fhq546a.xn--55qx5d)。您也可以使用轉碼工具轉換,具體操作,請參見中文網域名稱轉換。IP地址:僅部分OV單網域名稱認證支援(品牌:GlobalSign、GeoTrust)。
網域名稱尾碼須知:DigiCert品牌不支援為尾碼為
.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等特殊詞的網域名稱簽發認證,GlobalSign品牌無此限制。網域名稱贈送:如果網域名稱符合贈送條件,阿里雲將贈送網域名稱。
年限
選擇您需要的認證服務年限。
認證的有效期間預設都是1年(所有CA中心簽發的認證的有效期間最長均為397天,此處選擇的是認證服務的訂閱時間長度),此處延長的是認證服務的年限。
若想獲得超過1年的服務年限,必須先購買認證託管服務,同時保證購買的認證(相同類型和規格)數量大於1。年限每增加1年,將多消耗一張認證和一次託管服務。
說明例如:年限選擇2年。
表示消耗2張1年期的認證並使用1次託管服務。
當第1張認證即將到期時,您無需再次手動提交申請即可獲得第2張認證(SSL認證服務自動為您續約並更新認證)。
快捷簽發
勾選快捷簽發後,需要填寫申請資訊。系統在建立完成後自動向CA提交認證申請,後續需配合完成網域名稱所有權驗證,無需二次提交申請。
步驟二(可選):填寫申請資訊(“快捷簽發”流程)
如果勾選快捷簽發,需要完善提交給CA機構審核的詳細資料,填寫完所有必填資訊後,單擊提交審核。認證會進入“申請審核中”狀態,您需要稍後完成網域名稱所有權驗證。不同類別(DV/OV/EV)的認證所需資訊不同,配置項說明如下:
DV認證
申請資訊說明如下:
網域名稱驗證方式
說明認證購買帳號:在數位憑證管理服務控制台中購買目標 SSL 憑證的阿里雲帳號。
DNS解析帳號:在Alibaba Cloud DNS中配置目標網域名稱解析的阿里雲帳號。
認證購買帳號與DNS解析帳號不一致
手動DNS驗證(推薦):登入您的網域名稱解析服務平台,添加一條TXT類型的DNS解析記錄。
檔案驗證:登入您的網站伺服器,在指定目錄下建立並上傳系統要求的驗證檔案。
重要萬用字元網域名稱不支援檔案驗證方式。
認證購買帳號與DNS解析帳號一致
系統將採用自動DNS驗證方式,阿里雲自動在Alibaba Cloud DNS對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權,無需人工操作。
聯系人
選擇本次認證申請的連絡人(包含郵箱、手機號碼等聯絡資訊)。如需建立或修改連絡人,可單擊建立連絡人或編輯,或前往連絡人管理。
重要收到認證申請後,CA中心將向連絡人郵箱發送認證申請驗證郵件,或通過連絡人手機號碼溝通審核相關事宜。請務必確保連絡人資訊準確且有效。
所在地
選擇申請人所在城市或地區。
密鑰演算法
RSA(預設):目前在全球應用廣泛的非對稱式加密演算法,相容性好。
ECC:全稱為Elliptic Curve Cryptography,表示橢圓曲線密碼編譯演算法。相比於RSA,ECC是一種更先進和安全的密碼編譯演算法(加密速度快、效率更高、伺服器資源消耗低),目前已在主流瀏覽器中得到推廣。
重要目前只有部分品牌及類型的認證支援ECC,詳情請參見SSL認證選型指引。
CSR產生方式
CSR(認證簽章要求)是申請SSL認證時提交給憑證授權單位(CA)的申請檔案,包含您的網域名稱、組織資訊及公開金鑰(對應的私密金鑰需妥善保管)。
系統產生(推薦)
阿里雲將為您自動建立CSR和私密金鑰。認證簽發後,可直接下載包含私密金鑰的完整檔案。
手動填寫
可使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案(由您自行保管),並將CSR內容複寫到CSR檔案內容配置項中。關於如何製作CSR和私密金鑰檔案,請參見如何製作CSR檔案。
重要請務必妥善保管您的私密金鑰。如果私密金鑰丟失,將無法在伺服器上使用該認證,且私密金鑰無法恢複,需要重建金鑰組並申請重簽發認證。
CSR的密碼編譯演算法必須與上方選擇的“密鑰演算法”一致。
選擇已有的CSR
在數位憑證管理服務控制台已建立或上傳的CSR中,選擇與認證綁定網域名稱相匹配的CSR。如何建立和上傳CSR,請參見建立CSR。
CSR檔案內容
只有在CSR產生方式為手動填寫或選擇已有的CSR時,需要配置該參數。在此處填寫您的CSR檔案內容。
OV認證
申請資訊說明如下:
聯系人
選擇本次認證申請的連絡人(包含郵箱、手機號碼等聯絡資訊)。如需建立或修改連絡人,可單擊建立連絡人或編輯,或前往連絡人管理。
重要收到認證申請後,CA中心將向連絡人郵箱發送認證申請驗證郵件,或通過連絡人手機號碼溝通審核相關事宜。請務必確保連絡人資訊準確且有效。
公司
選擇本次認證申請的公司資訊(包含名稱、電話、地址)。如需建立或修改公司資訊,可單擊新建公司或編輯,或前往公司資訊管理。
重要.gov網域名稱申請OV認證時,網域名稱WHOIS的組織名稱必須與公司名稱完全一致。
營業執照
選擇公司後,系統自動識別該公司資訊中已上傳的營業執照圖片。如果您在建立公司時沒有上傳營業執照,則營業執照為空白。為確保CA中心快速審核通過,建議您上傳公司營業執照。
密鑰演算法
選擇認證使用的密鑰演算法。
RSA(預設):目前在全球應用廣泛的非對稱式加密演算法,相容性好。
ECC:全稱為Elliptic Curve Cryptography,表示橢圓曲線密碼編譯演算法。相比於RSA,ECC是一種更先進和安全的密碼編譯演算法(加密速度快、效率更高、伺服器資源消耗低),目前已在主流瀏覽器中得到推廣。
重要目前只有部分品牌及類型的認證支援ECC,詳情請參見SSL認證選型指引。
CSR產生方式
CSR(認證簽章要求)是申請SSL認證時提交給憑證授權單位(CA)的申請檔案,包含您的網域名稱、組織資訊及公開金鑰(對應的私密金鑰需妥善保管)。
系統產生(推薦)
阿里雲將為您自動建立CSR和私密金鑰。認證簽發後,可直接下載包含私密金鑰的完整檔案。
手動填寫
可使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案(由您自行保管),並將CSR內容複寫到CSR檔案內容配置項中。關於如何製作CSR和私密金鑰檔案,請參見如何製作CSR檔案。
重要請務必妥善保管您的私密金鑰。如果私密金鑰丟失,將無法在伺服器上使用該認證,且私密金鑰無法恢複,需要重建金鑰組並申請重簽發認證。
CSR的密碼編譯演算法必須與上方選擇的“密鑰演算法”一致。
選擇已有的CSR
在數位憑證管理服務控制台已建立或上傳的CSR中,選擇與認證綁定網域名稱相匹配的CSR。如何建立和上傳CSR,請參見建立CSR。
CSR檔案內容
只有在CSR產生方式為手動填寫或選擇已有的CSR時,需要配置該參數。在此處填寫您的CSR檔案內容。
EV認證
申請資訊說明如下:
聯系人
選擇本次認證申請的連絡人(包含郵箱、手機號碼等聯絡資訊)。如需建立或修改連絡人,可單擊建立連絡人或編輯,或前往連絡人管理。
重要收到認證申請後,CA中心將向連絡人郵箱發送認證申請驗證郵件,或通過連絡人手機號碼溝通審核相關事宜。請務必確保連絡人資訊準確且有效。
公司
選擇本次認證申請的公司資訊(包含名稱、電話、地址)。如需建立或修改公司資訊,可單擊新建公司或編輯,或前往公司資訊管理。
重要.gov網域名稱申請OV認證時,網域名稱WHOIS的組織名稱必須與公司名稱完全一致。
營業執照
選擇公司後,系統自動識別該公司資訊中已上傳的營業執照圖片。如果您在建立公司時沒有上傳營業執照,則營業執照為空白。為確保CA中心快速審核通過,建議您上傳公司營業執照。
密鑰演算法
選擇認證使用的密鑰演算法。
RSA(預設):目前在全球應用廣泛的非對稱式加密演算法,相容性好。
ECC:全稱為Elliptic Curve Cryptography,表示橢圓曲線密碼編譯演算法。相比於RSA,ECC是一種更先進和安全的密碼編譯演算法(加密速度快、效率更高、伺服器資源消耗低),目前已在主流瀏覽器中得到推廣。
重要目前只有部分品牌及類型的認證支援ECC,詳情請參見SSL認證選型指引。
CSR產生方式
CSR(認證簽章要求)是申請SSL認證時提交給憑證授權單位(CA)的申請檔案,包含您的網域名稱、組織資訊及公開金鑰(對應的私密金鑰需妥善保管)。
系統產生(推薦)
阿里雲將為您自動建立CSR和私密金鑰。認證簽發後,可直接下載包含私密金鑰的完整檔案。
手動填寫
可使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案(由您自行保管),並將CSR內容複寫到CSR檔案內容配置項中。關於如何製作CSR和私密金鑰檔案,請參見如何製作CSR檔案。
重要請務必妥善保管您的私密金鑰。如果私密金鑰丟失,將無法在伺服器上使用該認證,且私密金鑰無法恢複,需要重建金鑰組並申請重簽發認證。
CSR的密碼編譯演算法必須與上方選擇的“密鑰演算法”一致。
選擇已有的CSR
在數位憑證管理服務控制台已建立或上傳的CSR中,選擇與認證綁定網域名稱相匹配的CSR。如何建立和上傳CSR,請參見建立CSR。
CSR檔案內容
只有在CSR產生方式為手動填寫或選擇已有的CSR時,需要配置該參數。在此處填寫您的CSR檔案內容。
後續操作
情境一:勾選了快捷簽發。
在填寫資訊並提交審批後系統將為當前認證向CA機構發起認證申請,您可以將滑鼠移至上方在認證狀態欄的
表徵圖上,在提示資訊框中單擊查看進度在證書進度面板查看當前認證審核的具體進度。網域名稱校正的詳細步驟請參考網域名稱所有權驗證。
情境二:沒有勾選快捷簽發。
建立認證後,您可以在認證列表中查看新增的認證。此時,該認證的狀態為待申請(如下圖所示),您還需要將認證申請提交到CA中心審核。只有當CA中心審核通過您的認證申請後,才會為您簽發認證。詳情請參見向CA(憑證授權單位)提交申請。
認證贈送網域名稱規則
購買認證時,若滿足贈送條件,系統將自動贈送一個關聯網域名稱。
網域名稱贈送條件
本文中的“次層網域”指形如aliyun.com 的網域名稱(.com為頂級網域名稱)。www.aliyun.com、demo.aliyun.com 為第三層網域名,demo.doc.aliyun.com 為四級網域名稱,以此類推。
GlobalSign
DV(網域名稱型):網域名稱驗證方式必須為DNS驗證。
OV(企業型):無特殊限制。
EV(企業增強型):網域名稱層級必須為次層網域。
DigiCert
DV(網域名稱型):網域名稱驗證方式必須為DNS驗證。
OV(企業型)、EV(企業增強型):網域名稱層級必須為次層網域。
Alibaba Cloud
綁定網域名稱必須為次層網域對應的www子網域名稱。
僅當綁定
www.aliyun.com時,預設贈送aliyun.com的主網域名稱。綁定如
aliyun.com、*.aliyun.com,均不贈送相應的www子網域名稱。
網域名稱贈送規則
單網域名稱認證:
綁定主網域名稱,自動贈送
www子網域名稱。如:綁定aliyun.com時贈送www.aliyun.com。綁定
www子網域名稱,自動贈送主網域名稱。如:綁定www.aliyun.com時贈送aliyun.com。
萬用字元認證:
綁定萬用字元網域名稱,自動贈送對應的主網域名稱。如:綁定
*.aliyun.com時贈送aliyun.com。
多網域名稱認證:
僅當第一個網域名稱滿足贈送條件時,自動贈送與第一個網域名稱相關的網域名稱。例如,認證綁定了
a.aliyun.com和b.aliyun.com,僅贈送www.a.aliyun.com。
常見問題
建立認證時,認證數量(額度)不足怎麼辦?
原因 | 解決方案 |
額度被“待申請”狀態的認證佔用 | 請檢查您的認證列表,找到不再需要的“待申請”認證,執行 “取消申請” 操作。取消後,額度將立即返還。 重要 認證被吊銷或刪除後,額度不會返還。 |
所有已購額度均已使用或佔用 | 請前往購買正式認證頁面,根據您的業務需求購買新的認證額度。 |
網域名稱支援中文網域名稱嗎?
支援。如果您綁定的是中文網域名稱,需按照控制台提示轉換成Punycode碼,才能申請認證。您也可以使用轉碼工具轉換,具體操作請參見中文網域名稱轉換。