本文提供了基于业务场景的SSL证书选型指南，涵盖验证等级、域名类型、加密算法及品牌选择，帮助用户精准匹配安全性、兼容性与成本效益最优的证书方案。 - 数字证书管理服务

选择合适的 SSL 证书对保障网站安全、建立访客信任及满足合规要求至关重要。错误的选型可能导致服务中断、安全漏洞或不必要的成本支出。本文通过业务场景驱动的快速匹配与结构化参数决策流程，帮助精准识别所需证书的验证等级、域名类型、加密算法及品牌，从而高效选出兼顾安全性、兼容性与成本效益的最优方案。

快速选型

场景一：个人项目、开发测试或非商业性网站

适用场景：个人博客、作品集展示、本地开发环境、CI/CD 测试流水线、教学演示等非商业、非生产用途。
核心需求：低成本、快速部署、无需高可用保障。
推荐证书类型：DV 单域名或通配符证书。
推荐品牌：Alibaba Cloud。

场景二：中小型企业官网、电商、小程序等生产业务

适用场景：企业官方网站、中小型电商平台、微信小程序后端服务、SaaS 应用入口等面向公众的生产系统。
核心需求：稳定 HTTPS 加密、适度信任展示、高性价比。
推荐证书类型：DV 通配符证书或 OV 单域名证书。
验证等级：DV 或 OV。
域名支持：通配符（*.aliyundoc.com）或单域名。
推荐品牌：Rapid、GeoTrust、DigiCert。
注意事项：
- 若需保护多个子域名，优先选择通配符证书。
- 若需在证书中展示企业信息以增强用户信任，应选择 OV 证书。

场景三：金融、政府、大型企业或高信任度业务

适用场景：网上银行、证券交易系统、政务服务平台、大型企业客户门户、支付网关等对安全与合规要求极高的关键业务系统。
核心需求：最高信任背书、行业合规性、品牌公信力。
推荐证书类型：EV 证书或 OV 证书。
验证等级：EV / OV。
域名支持：单域名或多域名（依业务架构而定）。EV 证书不支持通配符域名（行业标准限制）；如需通配符证书，请选择 OV 类型。
推荐品牌：GeoTrust、GlobalSign、DigiCert。
注意事项：
- 主流现代浏览器（如 Chrome、Edge、Safari 等）已取消地址栏直接显示企业名称（绿色地址栏）的功能，企业信息现移至证书详情面板中展示。
- EV 证书仍具备最高等级的身份认证标准，具备完整的法律效力，是金融与政务系统防范钓鱼攻击、建立用户信任的首选。

场景四：服务通过公网 IP 地址访问（无域名）

适用场景：直接通过公网 IPv4 地址提供服务的设备或系统（如 IoT 网关、边缘服务器、遗留系统），且无法配置域名。
推荐证书类型：OV 单域名证书（支持 IP）。
验证等级：OV。
域名支持：公网 IPv4 地址（仅限特定品牌）。
推荐品牌：GlobalSign、DigiCert、GeoTrust。
注意事项：仅GlobalSign、DigiCert、GeoTrust品牌的OV单域名类型证书支持绑定IP。

选型参数详解

选型流程

根据实际的业务需求，按以下步骤逐步确定所需证书的核心参数：

第一步：确定验证等级
- 仅需基础 HTTPS 加密，无需展示企业信息？ → 选择 DV（域名验证型）。
- 希望在证书中展示企业身份以增强用户信任？ → 选择 OV（组织验证型）。
- 属于金融、政务、支付等高合规要求场景？ → 选择 EV（扩展验证型）。
第二步：确定域名类型
- 仅保护单个域名（如 www.example.com）？ → 选择单域名证书。
- 需保护同一主域下的所有子域名（如 *.example.com）？ → 选择通配符证书。
- 需保护多个不同域名（如 a.com + b.com）？ → 选择多域名证书。
- 需混合保护通配符和单域名？ → 选择混合域名证书。
- 服务通过公网 IP 地址直接访问（无域名）？ → 需选择支持 IP 地址的证书（仅部分 OV 证书支持）。
第三步：确定加密算法
- 追求最广泛的兼容性（兼容老旧设备和浏览器）？ → 选择RSA 算法。
- 追求更高性能和更强安全性（适合移动端、IoT 等）？ → 选择ECC 算法。
第四步：确定证书品牌
根据预算和偏好，参考价格信息，在证书品牌中进行最终选择。

验证等级（DV / OV / EV）

SSL 证书按验证等级可分为：DV（域名验证型）、OV（组织验证型）、EV（扩展验证型）。不同验证等级在审核材料、签发时长、信任展示等方面存在差异。

说明

对于不具备公司信息的个人网站，仅可申请 DV（域名型）SSL 证书。

对比项	DV（域名验证型）	OV（组织验证型）	EV（扩展验证型）
适用场景	个人网站、App服务、企业测试。	政府组织、中小型企业或教育机构等。	大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。
验证等级	低，CA（证书颁发机构）仅验证域名所有权。	中，CA验证企业真实身份。	高，CA严格审核企业及法律身份。
验证方式及资料	DNS验证。	邮件或电话。需提交验证域名、公司信息等。	邮件或电话。需提交验证域名、公司信息等。
平均签发时长	1~15分钟。	5个自然日	5个自然日

域名类型（单域名 / 通配符 / 多域名）

SSL证书需与绑定的域名或IP地址配合使用方可生效。网站所绑定的域名类型及数量，直接决定所需申请的SSL证书类型和数量。阿里云支持申请以下类型的SSL证书：单域名、多域名、通配符域名（泛域名）以及混合域名证书。下表列出了各类域名的区别及相关证书说明。

域名类型	选型说明	注意事项
单域名	一张证书仅绑定一个完整域名（如 `www.aliyundoc.com`）。	支持 DV、OV、EV 三种验证等级。
多域名	一张证书可绑定多个不同域名或 IP（默认至多5个）。	如需包含 IP 地址，需使用上述支持 IP 的 OV 证书品牌。
通配符域名	使用 `.aliyundoc.com` 形式，可匹配所有同级子域名。它仅能匹配通配符 `` 所在位置的单一层级。例如：通配符域名 `*.aliyundoc.com` 可以匹配 `www.aliyundoc.com`、`a.aliyundoc.com` 等子域名，但不能匹配 `a.b.aliyundoc.com`、`c.d.aliyundoc.com` 等多级子域名。	仅支持DV和OV证书。购买申请阶段，一张证书仅能包含一个通配符域名。说明如需将多张通配符域名证书合并为一张证书使用，请参见：证书合并申请。
混合域名	同一张证书中包含不同类型的域名（如 `*.aliyundoc.com`和`demo.example.com`）。说明在购买或申请证书阶段，均支持合并多个品牌及类型相同的证书，生成混合域名证书。具体操作请参见购买正式证书或证书合并申请。	OV和EV证书：所有品牌均支持合并。 DV证书：仅GlobalSign品牌支持。 GlobalSign品牌的DV混合域名证书要求所有域名的主域名必须一致。例如，若主域名为 `aliyundoc.com`，则仅允许合并其子域名（如 `a.aliyundoc.com、a.b.aliyundoc.com`），不支持合并其他主域名（如 `aliyundoc.cn、aliyundoc01.com`）。
IP	一张证书绑定一个公网 IPv4 地址。	仅GlobalSign、DigiCert、GeoTrust品牌的OV单域名类型证书支持绑定IP。

说明

证书购买并完成签发后，如符合相关条件，将在该证书中免费包含额外域名。具体规则请参见证书赠送域名规则。

加密算法（RSA / ECC）

RSA：一种广泛应用的非对称加密算法，在兼容性和普遍适用性上表现最好。
ECC（椭圆曲线加密算法）：晚于RSA出现，和RSA相比更先进、更安全，且加密速度快、效率更高、资源消耗更低，已在主流浏览器中得到推广。

对比项	RSA算法	ECC算法
安全性与密钥长度	长度要求较高。支持的密钥长度为2048位和4096位。	相对较小的密钥长度即可达到相同安全级别。 256位：相当于RSA 2048位密钥所提供的安全性。 384位：相当于RSA 3072位密钥所提供的安全性。
性能效率/加解密速度	慢。	快。尤其在有限资源环境下表现更优，例如移动设备、物联网（IoT）设备等。
内存和CPU占用	高。	低。
兼容性	好。	较好，稍逊于RSA。

各品牌及类型的SSL证书所支持的加密算法如下：

证书品牌	证书类型	RSA				ECC
		签名算法		密钥长度		签名算法		密钥长度
		SHA256withRSA	SHA384withRSA	2048	4096	SHA256withECDSA	SHA384withECDSA	prime256v1	secp384r1
DigiCert	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持
	OV	支持	支持	支持	支持	支持	支持	支持	支持
	EV	支持	支持	支持	支持	支持	支持	支持	支持
GeoTrust	OV	支持	支持	支持	支持	支持	支持	支持	支持
GeoTrust	EV	支持	支持	支持	支持	支持	支持	支持	支持
GlobalSign	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持
GlobalSign	OV	支持	支持	支持	支持	支持	支持	支持	支持
Rapid	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持
Alibaba Cloud	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持

说明

SSL证书签名算法默认采用SHA256withRSA或SHA256withECDSA，暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法，如需使用该签名算法签发证书，您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作，请参见如何制作CSR文件和上传CSR。

证书品牌

在选择证书品牌时，需考虑品牌支持的验证等级、域名类型、加密算法以及价格等因素，并结合自身的业务需求和预算进行综合考量。

说明

若仍无法确定证书品牌，可访问产品详情页，填写“数字证书管理服务产品咨询”表单以获取售前咨询服务。

证书品牌	证书认证机构	说明
DigiCert	DigiCert, Inc.	DigiCert（原Symantec）是知名的数字证书颁发机构、值得信赖的SSL证书品牌，所有证书都采用业界先进的加密技术，为不同的网站和服务器提供安全解决方案。
Rapid	DigiCert, Inc.	Rapid 是 DigiCert 旗下的入门级 SSL 证书品牌，专注于提供快速签发、高性价比的域名验证型（DV）证书，适用于个人网站和小型企业的基础加密需求。
GlobalSign、Alibaba Cloud	GMO GlobalSign Pte Ltd.	GlobalSign是较早的数字证书认证机构之一，一直致力于网络安全认证及数字证书服务，是一个备受信赖的CA和SSL数字证书提供商。相较于其他品牌证书，Alibaba Cloud品牌证书价格更为优惠。

价格参考

SSL证书的价格和证书类型、验证等级、域名类型、证书品牌等因素有关，请根据实际需求和预算选购。

重要

以下证书零售价格仅供参考，实际证书价格请以证书服务购买页为准。

证书品牌	证书类型	域名类型	价格（美元/张/年）	备注
证书品牌	证书类型	域名类型	价格（美元/张/年）	备注
Alibaba Cloud	DV	单域名	99	/
Alibaba Cloud	DV	通配符域名	199	/
GeoTrust	OV	单域名	324	/
GeoTrust	OV	通配符域名	1020	/
Rapid	DV	单域名	66	/
Rapid	DV	通配符域名	263	/
DigiCert	DV	单域名	149	/
	DV	通配符域名	629	/
	OV	单域名	OV SSL：484 OV_PRO SSL：1,325	/
	OV	通配符域名	OV SSL：2,309 OV_PRO SSL：4,717	/
	EV	单域名	EV SSL：1,118 EV_PRO SSL：1,837	/
GlobalSign	DV	单域名	249	/
	DV	通配符域名	849	/
	OV	单域名	349	/
		通配符域名	949	/
		多域名	749	默认包含5个单域名。

购买证书

若需购买证书，请参见购买正式证书。

常见问题

我只有公网IP地址，没有域名，应该选择哪种证书？

请选择支持IP地址的 OV单域名证书。在购买时，选择 GlobalSign、DigiCert、GeoTrust品牌的OV证书，并在申请时填写公网IP地址。

续费或重新签发了证书，需要重新部署吗？

需要。每次续费或重新签发后，将得到一张全新的证书。必须将新的证书文件下载并重新部署到Web服务器上，以替换旧证书。

说明

若续费购买了多年期证书，且前一张证书已通过云产品部署将证书部署至阿里云云产品（如ALB、WAF、CDN、DDoS等），则当前证书签发后，数字证书管理服务（原 SSL 证书）将通过云产品托管部署自动在相关云产品中部署。若部署失败，系统将通过邮件及站内信发送通知。

通配符证书（例如 `*.aliyundoc.com`）包含主域名（`aliyundoc.com`）吗？

绑定通配符域名，自动赠送对应的主域名。如：绑定*.aliyundoc.com时赠送aliyundoc.com。

说明