Certificate Management Service：什麼是SSL認證

認證簽發與驗證（信任鏈結構建）

1. 產生請求：伺服器產生金鑰組（RSA 2048 位或 ECC 256 位），將公開金鑰及組織資訊封裝為 CSR（認證簽章要求）。

2. CA 簽名：CA 驗證網域名稱所有權後，從 CSR 中提取公開金鑰和申請者資訊，結合頒發者資訊、有效期間及擴充欄位構造認證內容，使用 CA 私密金鑰進行數位簽章，產生符合 X.509 標準的認證。

3. 信任傳遞：瀏覽器通過預置的根憑證逐級驗證伺服器憑證簽名，建立信任鏈結。

加密會話建立（TLS 握手）

1. 握手啟動：用戶端發送 ClientHello 訊息，包含支援的協議版本和密碼套件列表。

2. 認證傳遞：伺服器響應 ServerHello 訊息並發送憑證鏈結。

3. 身分識別驗證：用戶端驗證認證的有效期間和網域名稱匹配性，並通過 CRL（憑證撤銷清單）或 OCSP（線上憑證狀態通訊協定）確認認證未被吊銷。部分部署採用 OCSP Stapling 技術最佳化此過程。

4. 金鑰交換：雙方通過金鑰交換機制產生工作階段金鑰。

   • ECDHE 模式（推薦）：雙方各自產生臨時金鑰組並交換公開金鑰，獨立計算出相同的工作階段金鑰。

   • RSA 模式（傳統）：用戶端產生預主要金鑰，使用伺服器公開金鑰加密後傳輸；伺服器解密後，雙方派生工作階段金鑰。

5. 對稱通訊：握手完成後，所有資料使用工作階段金鑰進行對稱式加密傳輸。

購買認證

1. 根據業務需求選擇合適的認證類型，詳情可參考SSL認證選型指引。

2. 參考購買正式認證填寫認證購買資訊。

建立認證

若購買時未綁定網域名稱，需建立認證，將購買的額度與網域名稱進行關聯。在建立過程中，系統提供快捷簽發選項：

• 勾選快捷簽發：需要填寫申請資訊。建立完成後，系統將自動向CA提交認證申請，後續只需配合完成網域名稱所有權驗證。

• 未勾選快捷簽發：建立完成後，需要登入認證控制台手動填寫並提交申請，具體操作可參見向CA（憑證授權單位）提交申請。

申請認證

1. 向 CA（憑證授權單位）提交申請

   需要根據不同的認證類型填寫相應的資訊（認證綁定的網域名稱或IP、連絡人、公司和營業執照等）後，提交認證申請至CA。具體操作請參見申請認證。

2. 網域名稱所有權驗證

   向CA提交申請時，需驗證您對網域名稱的所有權。更多內容參見網域名稱所有權驗證。

   • DV認證：支援自動DNS驗證、手動DNS驗證和檔案驗證三種方式。

   • EV/OV認證：根據CA中心發送網域名稱驗證郵件內容，配合完成驗證。

3. CA 審核

   提交申請並完成網域名稱所有權驗證後，需等待CA審核。查看審核進度及審核結果，請參考CA審核結果處理。DV（網域名稱型）認證平均簽發時間長度為1~15分鐘，OV（企業型）、EV（企業增強型）認證平均簽發時間長度為5個自然日。

部署認證

當CA審核通過且認證狀態為“已簽發”後，需要將認證檔案部署到您的 Web 服務器（例如 Nginx、Apache 或 IIS）或雲產品中，從而為網站啟用 HTTPS 功能。具體操作請參見部署SSL認證。

後續操作

購買後認證找不到怎麼辦？

若您購買時未填寫網域名稱資訊，購買完成後得到是認證建立資格，不會直接在認證列表中展示。您需要建立SSL認證，綁定網域名稱後才能在列表中看到。

SSL認證支援中文網域名稱嗎？

支援。如果您綁定的是中文網域名稱，需按照控制台提示轉換成Punycode碼，才能申請認證。您也可以使用轉碼工具轉換，具體操作請參見中文網域名稱轉換。

網域名稱解析供應商不是阿里雲，是否可申請阿里雲SSL認證？

可以。 您只需完成網域名稱所有權驗證即可，這與網域名稱服務 (DNS)商無關。