為避免網站因認證到期導致服務中斷和安全風險,請關注SSL認證的剩餘有效時間長度,並在認證到期前根據認證類型選擇正確的處理方案,以確保網站服務的連續性和安全性。本文介紹如何為正式認證和“上傳證書”進行續約。
確認認證類型
進入SSL認證管理頁面。根據目標認證所在的頁簽(正式認證、上傳證書),確認認證類型,隨後選擇相應的續約方案:
正式認證續約
續約流程
SSL認證的續約實際上是重新簽發一張新認證,而非延長舊認證的有效期間。新認證簽發後,舊認證在其有效期間內仍可繼續使用。續約流程如下:
提交續約資訊並完成支付:填寫並提交續約所需資訊,完成支付操作。
提交認證申請:向憑證授權單位(CA)提交新的認證申請,驗證網域名稱所有權並配合CA完成審核。
部署並驗證新認證:將簽發的新認證部署至目標伺服器或雲產品,替換舊認證。
續約條件
認證狀態:即將到期。
認證類型:非多網域名稱認證。
規格變更:無需更改認證規格(如認證品牌、認證類型等)。
若認證已到期、認證類型為多網域名稱認證、或需變更認證規格,請參考SSL認證使用流程重新購買認證,並完成建立、申請和部署。
新認證的有效期間計算規則
為實現平滑過渡,續約並簽發新認證後,其將疊加舊認證的剩餘有效期間(補齊有效期間),上限30天。
計算規則
計算公式:
新認證有效期間 = 標準有效期間(12個月:365天)+ 舊認證剩餘有效期間(最多30天)。到期日:在舊認證到期前30天內完成續約並簽發,新認證的到期日將固定不變(舊認證的到期日 + 365天)。
情境樣本
以一張有效期間為 2024-10-01 至 2025-09-30 的舊認證為例(為便於理解,假設啟動新認證申請流程後於當天完成簽發)。
操作時間:2025-09-10 提交續約申請。
後續處理:手動提交認證申請。
新認證有效期間時間長度:12個月(365天) + 20天(舊認證剩餘有效期間)= 385天。
新認證有效期間範圍:2025-09-10 至 2026-09-30。
說明系統通過託管服務自動啟動認證申請流程時,需符合以下條件,否則需手動提交申請。
對於DV認證,網域名稱使用Alibaba Cloud DNS服務的帳號必須與購買認證的帳號一致,或網域名稱已完成免驗證授權。
認證申請資訊及資料有效(由CA判斷)。
步驟一:提交續約資訊並完成支付
進入SSL認證管理頁面,在正式認證頁簽下定位目標認證,在操作列單擊續約購買。
在認證續約面板,填寫如下資訊。
CSR產生方式:
CSR(認證簽章要求)是向 CA 申請認證的檔案,其中包含認證綁定的網域名稱、公開金鑰、主體資訊,並由您的私密金鑰簽名。推薦使用系統產生。
系統產生
系統將產生並安全託管全新的金鑰組(密鑰演算法與舊認證相同),並使用其建立新的CSR。
說明此方式符合密鑰輪換的最佳安全實踐。
手動填寫
使用自有環境中產生的CSR檔案,請將檔案內容填寫至CSR檔案內容一欄。使用此方式簽發的認證將不能通過控制台部署至阿里雲產品中。如何製作CSR和私密金鑰檔案,請參見如何製作CSR檔案。
重要請確保手動填寫的CSR使用的密碼編譯演算法與舊認證密鑰演算法一致,否則將無法順利提交認證審核。
請妥善保管私密金鑰檔案,阿里雲不負責保管私密金鑰,如果私密金鑰丟失,必須重新購買SSL認證。
原密鑰更新
沿用舊認證的金鑰組產生新的CSR檔案並簽發新認證。
重要此方式不符合密鑰輪換最佳實務,可能不滿足部分行業合規要求。
網域名稱驗證方式:
預設與舊認證的驗證方式一致。
DV認證
按認證購買帳號與DNS解析帳號是否一致,分為兩種情況:
說明認證購買帳號:在數位憑證管理服務控制台中購買目標 SSL 憑證的阿里雲帳號。
DNS解析帳號:在Alibaba Cloud DNS中配置目標網域名稱解析的阿里雲帳號。
認證購買帳號與DNS解析帳號不一致
手動DNS驗證(推薦):登入您的網域名稱解析服務平台,添加一條TXT類型的DNS解析記錄。
檔案驗證:登入您的網站伺服器,在指定目錄下建立並上傳系統要求的驗證檔案。
重要萬用字元網域名稱不支援檔案驗證方式。
認證購買帳號與DNS解析帳號一致
系統將採用自動DNS驗證方式,阿里雲自動在Alibaba Cloud DNS對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權,無需人工操作。
OV認證
OV認證申請提交後,CA機構會通過郵件或電話向連絡人發送網域名稱所有權驗證指引,連絡人需按要求及時完成驗證以確認網域名稱所有權。
EV認證
EV認證申請提交後,CA機構會通過郵件或電話向連絡人發送網域名稱所有權驗證指引,連絡人需按要求及時完成驗證以確認網域名稱所有權。
連絡人:
根據不同的網域名稱驗證方式,CA 可能會向此連絡人發送認證驗證郵件,或通過手機號碼溝通審核相關事宜,請確保連絡人資訊準確有效。
續費年限:
1年
包含內容:1張有效期間為1年的同規格SSL認證。
申請流程:續約後在認證列表中手動提交認證申請。
2年
包含內容:2張有效期間為1年的同規格SSL認證和1次託管服務。
說明託管服務:包含認證到期前自動申請、自動補齊剩餘有效期間(最多30天)以及專屬支援人員。
申請流程:
首張認證:續約後在認證列表中手動提交認證申請。
第2張認證:當首張認證的剩餘有效期間不超過30天時,將自動使用1次託管服務啟動第2張認證的申請流程。
說明系統通過託管服務自動啟動認證申請流程時,需符合以下條件,否則需手動提交申請。
對於DV認證,網域名稱使用Alibaba Cloud DNS服務的帳號必須與購買認證的帳號一致,或網域名稱已完成免驗證授權。
認證申請資訊及資料有效(由CA判斷)。
3年
包含內容:3張有效期間為1年的同規格SSL認證和2次託管服務。
說明託管服務:包含認證到期前自動申請、自動補齊剩餘有效期間(最多30天)以及專屬支援人員。
申請流程:
首張認證:續約後在認證列表中手動提交認證申請。
後續認證:當上一張認證的剩餘有效期間不超過30天時,將自動使用1次託管服務啟動新認證的申請流程。
說明系統通過託管服務自動啟動認證申請流程時,需符合以下條件,否則需手動提交申請。
對於DV認證,網域名稱使用Alibaba Cloud DNS服務的帳號必須與購買認證的帳號一致,或網域名稱已完成免驗證授權。
認證申請資訊及資料有效(由CA判斷)。
單擊立即續約,按介面提示完成支付操作。
付費規則:系統將優先使用剩餘認證額度(與本次申請的認證規格一致)及剩餘託管服務次數進行抵扣;不足部分需付費。
查看剩餘認證額度和託管服務次數:進入SSL認證管理頁面,在正式認證頁簽下單擊建立認證:
剩餘託管服務次數:尋找年限欄位,其後顯示的“剩餘託管服務次數:”,即為當前剩餘次數。
剩餘認證額度:選擇證書類型後,單擊認證規格的下拉框,其顯示的“可申請認證張數”即為各規格下的剩餘認證額度。
續約完成後,不同續約年限對應的認證狀態如下:
1年
在舊認證下方將產生 1 張與其關聯的新認證(左側帶有
表徵圖,表示與舊認證關聯;舊認證的有效期間不變),狀態為待申請。2年
在舊認證下方將產生 2 張與其關聯的新認證(左側帶有
表徵圖,表示與舊認證關聯;舊認證的有效期間不變)。第 1 張認證:狀態為待申請。
第 2 張認證:狀態為未激活。
說明取消未激活的認證後將返還認證額度和託管服務次數。後續可通過建立SSL認證再次使用此認證額度和託管服務次數。
3年
在舊認證下方將產生 3 張與其關聯的新認證(左側帶有
表徵圖,表示與舊認證關聯;舊認證的有效期間不變)。第 1 張認證:狀態為待申請。
第 2 和第 3 張認證:狀態為未激活。
說明取消未激活的認證後將返還認證額度和託管服務次數。後續可通過建立SSL認證再次使用此認證額度和託管服務次數。
步驟二:提交認證申請
根據不同的認證狀態分別進行處理:
未激活:當前一張認證剩餘有效期間不超過 30 天時,將自動通過託管服務啟動當前認證申請流程。
待申請:請向CA(憑證授權單位)提交申請,並完成網域名稱所有權驗證。
申請審核中:已向憑證授權單位(CA)提交申請,請參考CA審核結果處理,配合CA完成認證簽發。
步驟三:部署並驗證新認證
部署認證。
確認受管理的部署任務狀態。
若前一張認證已部署至阿里雲雲產品(如ALB、WAF、CDN、DDos等),且當前認證已使用託管服務自動建立受管理的部署任務,請通過以下步驟查看部署任務詳情並確認部署結果:
進入雲產品受管理的部署頁面。
在認證資源ID列中,根據當前認證的資源ID(位於認證列表的認證列中)定位對應的部署任務。
單擊該任務操作列下的詳情,即可在詳情頁查看任務進度及其它詳細資料。
說明當前認證簽發後,系統將通過雲產品受管理的部署完成部署。若部署失敗,系統將通過郵件和站內信發送通知。
手動部署至目標伺服器。
可參考SSL 憑證部署方案選型,將新認證部署至Web應用伺服器或雲產品中,以替換舊認證。
驗證認證
在瀏覽器(以 Chrome 瀏覽器為例)地址欄輸入
https://網域名稱並訪問網站。單擊
表徵圖,然後在彈出的面板中單擊。在彈出的面板中查看,若其與新認證的有效期間一致,則表示新認證已部署成功。
“上傳認證”續約
在SSL認證管理頁面的上傳證書頁簽下,定位目標認證,根據狀態進行相關操作。
若狀態中顯示PCA(由PCA產品建立的SSL認證),請重新簽發新的PCA認證後同步到SSL認證。
即將到期
步驟一:購買認證
購買並簽發認證後,將獲得一張新的正式認證,其有效期間為12個月,從簽發日開始計算。新認證不會疊加舊認證的剩餘有效期間(補齊有效期間)。
單擊操作列下的更新證書,在開啟的購買頁面中,填寫如下資訊。
證書類型
單網域名稱:用於保護一個主網域名稱、子網域名稱或公網IP(IPv4)。例如:
aliyun.com、abc.aliyun.com、1.1.X.X等。通配符:用於保護一個主網域名稱及其所有下一級子網域名稱。例如:
*.aliyun.com的認證可保護a.aliyun.com,但不能保護b.a.aliyun.com。多網域名稱:用於同時保護多個單網域名稱,最多支援5個。僅支援綁定單網域名稱,不支援綁定萬用字元網域名稱。
品牌
包括:Alibaba Cloud、DigiCert、GlobalSign。認證品牌選型,請參見SSL認證選型指引。
認證規格
證書類型
適用情境
平均簽發時間長度
DV認證
個人網站、企業測試環境
1~15分鐘。
OV認證
政府組織、中小型企業或教育機構等
5個自然日
EV認證
大型企業、金融機構、電商等涉及交易支付和隱私資料的高私密網站
5個自然日
服務年限
1年
包含內容:1張有效期間為1年的指定規格SSL正式認證。
申請流程:購買後在認證列表中手動提交認證申請。
2年
包含內容:2張有效期間為1年的指定規格SSL正式認證和1次託管服務。
說明託管服務:包含認證到期前自動申請、自動補齊剩餘有效期間(最多30天)以及專屬支援人員。
申請流程:
首張認證:購買後在認證列表中手動提交認證申請。
第2張認證:當首張認證的剩餘有效期間不超過15天時,將自動使用1次託管服務啟動第2張認證的申請流程。
說明系統通過託管服務自動啟動認證申請流程時,需符合以下條件,否則需手動提交申請。
對於DV認證,網域名稱使用Alibaba Cloud DNS服務的帳號必須與購買認證的帳號一致,或網域名稱已完成免驗證授權。
認證申請資訊及資料有效(由CA判斷)。
3年
包含內容:3張有效期間為1年的指定規格SSL正式認證和2次託管服務。
說明託管服務:包含認證到期前自動申請、自動補齊剩餘有效期間(最多30天)以及專屬支援人員。
申請流程:
首張認證:購買後在認證列表中手動提交認證申請。
後續認證:當上一張認證的剩餘有效期間不超過15天時,將自動使用1次託管服務啟動下一張認證的申請流程。
說明系統通過託管服務自動啟動認證申請流程時,需符合以下條件,否則需手動提交申請。
對於DV認證,網域名稱使用Alibaba Cloud DNS服務的帳號必須與購買認證的帳號一致,或網域名稱已完成免驗證授權。
認證申請資訊及資料有效(由CA判斷)。
單擊立即購買,按介面提示完成支付操作。
付費規則:系統將優先使用剩餘認證額度(與本次申請的認證規格一致)及剩餘託管服務次數進行抵扣;不足部分需付費。
查看剩餘認證額度和剩餘託管服務次數:進入SSL認證管理頁面,在正式認證頁簽下單擊建立認證:
剩餘託管服務次數:尋找年限欄位,其後顯示的“剩餘託管服務次數:”,即為當前剩餘次數。
剩餘認證額度:選擇證書類型後,單擊認證規格的下拉框,其顯示的“可申請認證張數”即為各規格下的剩餘認證額度。
購買完成後,不同年限對應的認證狀態如下:
1年
在舊認證下方將產生 1 張與其關聯的新認證(左側帶有
表徵圖,表示與舊認證關聯;舊認證的有效期間不變),狀態為待申請。2年
在舊認證下方將產生 2 張與其關聯的新認證(左側帶有
表徵圖,表示與舊認證關聯;舊認證的有效期間不變)。第 1 張認證:狀態為待申請。
第 2 張認證:狀態為未激活。
說明取消未激活的認證後將返還認證額度和託管服務次數。後續可通過建立SSL認證再次使用此認證額度和託管服務次數。
3年
在舊認證下方將產生 3 張與其關聯的新認證(左側帶有
表徵圖,表示與舊認證關聯;舊認證的有效期間不變)。第 1 張認證:狀態為待申請。
第 2 和第 3 張認證:狀態為未激活。
說明取消未激活的認證後將返還認證額度和託管服務次數。後續可通過建立SSL認證再次使用此認證額度和託管服務次數。
步驟二:提交認證申請
根據不同的認證狀態分別進行處理:
未激活:當前一張認證的剩餘有效期間不超過 30 天時,將自動通過託管服務啟動下一張認證申請流程。
待申請:請向CA(憑證授權單位)提交申請,並完成網域名稱所有權驗證。
申請審核中:請參考CA審核結果處理,配合CA完成認證簽發。
步驟三:部署並驗證新認證
部署認證。
確認受管理的部署任務狀態。
若前一張認證已部署至阿里雲雲產品(如ALB、WAF、CDN、DDos等),且當前認證已使用託管服務自動建立受管理的部署任務,請通過以下步驟查看部署任務詳情並確認部署結果:
進入雲產品受管理的部署頁面。
在認證資源ID列中,根據當前認證的資源ID(位於認證列表的認證列中)定位對應的部署任務。
單擊該任務操作列下的詳情,即可在詳情頁查看任務進度及其它詳細資料。
說明當前認證簽發後,系統將通過雲產品受管理的部署完成部署。若部署失敗,系統將通過郵件和站內信發送通知。
手動部署至目標伺服器。
可參考SSL 憑證部署方案選型,將新認證部署至Web應用伺服器或雲產品中,以替換舊認證。
驗證認證
在瀏覽器(以 Chrome 瀏覽器為例)地址欄輸入
https://網域名稱並訪問網站。單擊
表徵圖,然後在彈出的面板中單擊。在彈出的面板中查看,若其與新認證的有效期間一致,則表示新認證已部署成功。
已到期
單擊,並參考SSL認證使用流程完成認證購買、建立、申請和部署完整流程。
購買並簽發認證後,將獲得一張新的正式認證,其有效期間為12個月,從簽發日開始計算。新認證不會疊加舊認證的剩餘有效期間(補齊有效期間)。
常見問題
續約基礎知識
續約與直接購買的區別是什嗎?
正式認證
續約與直接購買的主要區別在於是否疊加舊認證的剩餘有效期間(補齊有效期間)。
認證續約:通過續約操作簽發的新認證,將疊加舊認證最長30天的剩餘有效期間,確保新舊認證平滑過渡。詳情請參見新認證的有效期間計算規則。
直接購買:直接購買的認證有效期間從簽發日開始計算,不疊加舊認證的剩餘有效期間,可能造成舊認證有效期間的浪費。
上傳證書
續約與直接購買的有效期間均從新認證的簽發日開始計算,不疊加舊認證的剩餘有效期間。其主要區別在於擷取新認證的操作流程。
認證續約:當舊認證剩餘有效期間不足30天時,系統將自動通過託管服務啟動新認證的申請流程(若不符合自動認可申請條件,需手動提交)。
直接購買:需要自行關注認證到期時間,並手動完成購買及申請新認證的全部流程。
為什麼續約或購買了多年期(如2年/3年)的認證,但有效期間只顯示為1年?
根據全球CA/B論壇(CA/Browser Forum)的行業規定,所有公開信任的SSL認證單次簽發有效期間最長不超過397天(約13個月)。因此,續約或購買的多年期認證,實際上是“多張1年期認證”和“託管服務”的組合。
通過託管服務,系統將在第一張認證即將到期時,自動申請下一張1年期認證(若提交申請失敗,需手動提交)。您只需要配合完成網域名稱所有權驗證(如果需要)和CA審核,並每年重新部署一次新認證即可。
續約操作問題
為什麼在認證列表找不到續約入口?
續約入口的顯示取決於認證類型和狀態,請確認滿足以下條件:
正式認證:認證狀態為即將到期。認證類型為非多網域名稱認證。
上傳證書:認證狀態為上傳成功,且不是PCA認證。
為什麼續約比新購還貴?
若在認證剩餘有效期間大於30天時進行“提前續約”,則訂單中將自動包含一項“認證託管服務”費用。該服務用於在認證剩餘有效期間不超過30天時自動認可認證申請(若提交申請失敗,需手動提交)。
若無需使用託管服務,可選擇在認證剩餘有效期間不超過30天時再進行續約。此時,對於服務時間長度為1年的訂單,將不收取託管服務費。
請預留足夠的申請與簽發時間,特別是OV或EV認證可能需要人工審核,簽發過程較長。
請務必提前操作,以避免因申請耗時過長,導致新舊認證的有效期間無法無縫銜接,從而造成網站服務中斷。
為什麼續約後,認證列表裡出現了兩條一樣的記錄?
根據續約時選擇的認證服務時間長度,提交續約後,在舊認證下方將出現一到多張新認證(左側帶有表徵圖),表示與舊認證關聯。
續約後部署問題
續約並支付成功後,為什麼網站訪問時仍然提示認證即將到期?
續約完成後簽發的是一張全新的認證,請參考SSL 憑證部署方案選型,將新認證部署至Web應用伺服器或雲產品中,以替換舊認證。
續約並部署新認證後,為什麼網站訪問仍然提示不安全或認證到期?
請按以下步驟逐一排查:
確認部署了正確的認證檔案:請確保已在伺服器上部署簽發的新認證檔案,而不是誤用了舊認證檔案。
確認已重啟Web服務:Nginx、Apache、Tomcat、IIS等Web伺服器在替換認證檔案後,必須重啟(restart)或重載(reload)服務,新認證才會生效。
清理瀏覽器緩衝:瀏覽器可能緩衝了舊認證的狀態。請嘗試強制重新整理頁面(Ctrl+F5)、清理瀏覽器緩衝或使用無痕/隱私模式訪問。
檢查CDN或WAF等中間產品:若網站使用了內容分發網路(CDN)、Web Application Firewall(WAF)、Global Acceleration(GA)或負載平衡(SLB)等產品,必須同時在這些產品的控制台將認證更新為新認證。否則,使用者訪問到的仍是這些中間產品上的舊認證。
確認憑證鏈結完整:從阿里雲下載的認證檔案通常已包含完整的憑證鏈結。如自行拼接,請確保包含了伺服器憑證和所有中間認證。
認證到期緊急處理
認證已到期導致服務中斷,如何進行緊急處理以快速恢複服務?
若因認證到期導致服務中斷,請遵循以下應急流程快速恢複服務,後續再替換為正式認證。
購買認證:立即購買一張DV(網域名稱驗證型)認證作為應急方案。DV認證驗證簡單,簽發速度最快。
申請認證:在驗證環節優先選擇DNS驗證方式,通常可在10分鐘內完成網域名稱所有權校正。
說明在等待認證簽發期間,定位服務器上舊認證的儲存位置,為後續替換做準備。
部署認證:新認證簽發後,立即將其部署到 Web 應用程式伺服器(如 Nginx、Apache 等)或雲產品中,使新認證生效。
替換為正式認證:DV認證僅為臨時應急方案。服務恢複後,請儘快申請原規格認證(如OV/EV型)並進行替換。