为避免网站因证书过期导致服务中断和安全风险,请关注SSL证书的剩余有效时长,并在证书到期前根据证书类型选择正确的处理方案,以确保网站服务的连续性和安全性。本文介绍如何为正式证书和“上传证书”进行续费。
确认证书类型
进入SSL证书管理页面。根据目标证书所在的页签(正式证书、上传证书),确认证书类型,随后选择相应的续费方案:
正式证书续费
续费流程
SSL证书的续费实际上是重新签发一张新证书,而非延长旧证书的有效期。新证书签发后,旧证书在其有效期内仍可继续使用。续费流程如下:
提交续费信息并完成支付:填写并提交续费所需信息,完成支付操作。
提交证书申请:向证书颁发机构(CA)提交新的证书申请,验证域名所有权并配合CA完成审核。
部署并验证新证书:将签发的新证书部署至目标服务器或云产品,替换旧证书。
续费条件
证书状态:即将过期。
证书类型:非多域名证书。
规格变更:无需更改证书规格(如证书品牌、证书类型等)。
若证书已过期、证书类型为多域名证书、或需变更证书规格,请参考SSL证书使用流程重新购买证书,并完成创建、申请和部署。
新证书的有效期计算规则
为实现平滑过渡,续费并签发新证书后,其将叠加旧证书的剩余有效期(补齐有效期),上限30天。
计算规则
计算公式:
新证书有效期 = 标准有效期(12个月:365天)+ 旧证书剩余有效期(最多30天)。到期日:在旧证书到期前30天内完成续费并签发,新证书的到期日将固定不变(旧证书的到期日 + 365天)。
场景示例
以一张有效期为 2024-10-01 至 2025-09-30 的旧证书为例(为便于理解,假设启动新证书申请流程后于当天完成签发)。
操作时间:2025-09-10 提交续费申请。
后续处理:手动提交证书申请。
新证书有效期时长:12个月(365天) + 20天(旧证书剩余有效期)= 385天。
新证书有效期范围:2025-09-10 至 2026-09-30。
步骤一:提交续费信息并完成支付
进入SSL证书管理页面,在正式证书页签下定位目标证书,在操作列单击续费购买。
在证书续费面板,填写如下信息。
CSR生成方式:
CSR(证书签名请求)是向 CA 申请证书的文件,其中包含证书绑定的域名、公钥、主体信息,并由您的私钥签名。推荐使用系统生成。
系统生成
系统将生成并安全托管全新的密钥对(密钥算法与旧证书相同),并使用其创建新的CSR。
说明此方式符合密钥轮换的最佳安全实践。
手动填写
使用自有环境中生成的CSR文件,请将文件内容填写至CSR文件内容一栏。使用此方式签发的证书将不能通过控制台部署至阿里云产品中。如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请确保手动填写的CSR使用的加密算法与旧证书密钥算法一致,否则将无法顺利提交证书审核。
请妥善保管私钥文件,阿里云不负责保管私钥,如果私钥丢失,必须重新购买SSL证书。
原密钥更新
沿用旧证书的密钥对生成新的CSR文件并签发新证书。
重要此方式不符合密钥轮换最佳实践,可能不满足部分行业合规要求。
域名验证方式:
默认与旧证书的验证方式一致。
DV证书
按证书购买账号与DNS解析账号是否一致,分为两种情况:
说明证书购买账号:在数字证书管理服务控制台中购买目标 SSL 证书的阿里云账号。
DNS解析账号:在云解析DNS中配置目标域名解析的阿里云账号。
证书购买账号与DNS解析账号不一致
手动DNS验证(推荐):登录您的域名解析服务平台,添加一条TXT类型的DNS解析记录。
文件验证:登录您的网站服务器,在指定目录下创建并上传系统要求的验证文件。
重要通配符域名不支持文件验证方式。
证书购买账号与DNS解析账号一致
系统将采用自动DNS验证方式,阿里云自动在云解析DNS对应的域名中添加一条解析记录,用于验证域名所有权,无需人工操作。
OV证书
OV证书申请提交后,CA机构会通过邮件或电话向联系人发送域名所有权验证指引,联系人需按要求及时完成验证以确认域名所有权。
EV证书
EV证书申请提交后,CA机构会通过邮件或电话向联系人发送域名所有权验证指引,联系人需按要求及时完成验证以确认域名所有权。
联系人:
根据不同的域名验证方式,CA 可能会向此联系人发送证书验证邮件,或通过手机号码沟通审核相关事宜,请确保联系人信息准确有效。
续费年限:
1年
包含内容:1张有效期为1年的同规格SSL证书。
申请流程:续费后在证书列表中手动提交证书申请。
2年
包含内容:2张有效期为1年的同规格SSL证书和1次托管服务。
说明托管服务:包含证书到期前自动申请、自动补齐剩余有效期(最多30天)以及专属技术支持。
申请流程:
首张证书:续费后在证书列表中手动提交证书申请。
第2张证书:当首张证书的剩余有效期不超过30天时,将自动使用1次托管服务启动第2张证书的申请流程。
3年
包含内容:3张有效期为1年的同规格SSL证书和2次托管服务。
说明托管服务:包含证书到期前自动申请、自动补齐剩余有效期(最多30天)以及专属技术支持。
申请流程:
首张证书:续费后在证书列表中手动提交证书申请。
后续证书:当上一张证书的剩余有效期不超过30天时,将自动使用1次托管服务启动新证书的申请流程。
单击立即续费,按界面提示完成支付操作。
付费规则:系统将优先使用剩余证书额度(与本次申请的证书规格一致)及剩余托管服务次数进行抵扣;不足部分需付费。
查看剩余证书额度和托管服务次数:进入SSL证书管理页面,在正式证书页签下单击创建证书:
剩余托管服务次数:查找年限字段,其后显示的“剩余托管服务次数:”,即为当前剩余次数。
剩余证书额度:选择证书类型后,单击证书规格的下拉框,其显示的“可申请证书张数”即为各规格下的剩余证书额度。
续费完成后,不同续费年限对应的证书状态如下:
1年
在旧证书下方将生成 1 张与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变),状态为待申请。2年
在旧证书下方将生成 2 张与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变)。第 1 张证书:状态为待申请。
第 2 张证书:状态为未激活。
说明取消未激活的证书后将返还证书额度和托管服务次数。后续可通过创建SSL证书再次使用此证书额度和托管服务次数。
3年
在旧证书下方将生成 3 张与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变)。第 1 张证书:状态为待申请。
第 2 和第 3 张证书:状态为未激活。
说明取消未激活的证书后将返还证书额度和托管服务次数。后续可通过创建SSL证书再次使用此证书额度和托管服务次数。
步骤二:提交证书申请
根据不同的证书状态分别进行处理:
未激活:当前一张证书剩余有效期不超过 30 天时,将自动通过托管服务启动当前证书申请流程。
待申请:请向CA(证书颁发机构)提交申请,并完成域名所有权验证。
申请审核中:已向证书颁发机构(CA)提交申请,请参考CA审核结果处理,配合CA完成证书签发。
步骤三:部署并验证新证书
部署证书。
确认托管部署任务状态。
若前一张证书已部署至阿里云云产品(如ALB、WAF、CDN、DDos等),且当前证书已使用托管服务自动创建托管部署任务,请通过以下步骤查看部署任务详情并确认部署结果:
进入云产品托管部署页面。
在证书资源ID列中,根据当前证书的资源ID(位于证书列表的证书列中)定位对应的部署任务。
单击该任务操作列下的详情,即可在详情页查看任务进度及其它详细信息。
说明当前证书签发后,系统将通过云产品托管部署完成部署。若部署失败,系统将通过邮件和站内信发送通知。
手动部署至目标服务器。
可参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。
验证证书
在浏览器(以 Chrome 浏览器为例)地址栏输入
https://域名并访问网站。单击
图标,然后在弹出的面板中单击。在弹出的面板中查看,若其与新证书的有效期一致,则表示新证书已部署成功。
“上传证书”续费
在SSL证书管理页面的上传证书页签下,定位目标证书,根据状态进行相关操作。
若状态中显示PCA(由PCA产品创建的SSL证书),请重新签发新的PCA证书后同步到SSL证书。
即将过期
步骤一:购买证书
购买并签发证书后,将获得一张新的正式证书,其有效期为12个月,从签发日开始计算。新证书不会叠加旧证书的剩余有效期(补齐有效期)。
单击操作列下的更新证书,在打开的购买页面中,填写如下信息。
证书类型
单域名:用于保护一个主域名、子域名或公网IP(IPv4)。例如:
aliyun.com、abc.aliyun.com、1.1.X.X等。通配符:用于保护一个主域名及其所有下一级子域名。例如:
*.aliyun.com的证书可保护a.aliyun.com,但不能保护b.a.aliyun.com。多域名:用于同时保护多个单域名,最多支持5个。仅支持绑定单域名,不支持绑定通配符域名。
品牌
包括:Alibaba Cloud、DigiCert、GlobalSign。证书品牌选型,请参见SSL证书选型指引。
证书规格
证书类型
适用场景
平均签发时长
DV证书
个人网站、企业测试环境
1~15分钟。
OV证书
政府组织、中小型企业或教育机构等
5个自然日
EV证书
大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站
5个自然日
服务年限
1年
包含内容:1张有效期为1年的指定规格SSL正式证书。
申请流程:购买后在证书列表中手动提交证书申请。
2年
包含内容:2张有效期为1年的指定规格SSL正式证书和1次托管服务。
说明托管服务:包含证书到期前自动申请、自动补齐剩余有效期(最多30天)以及专属技术支持。
申请流程:
首张证书:购买后在证书列表中手动提交证书申请。
第2张证书:当首张证书的剩余有效期不超过15天时,将自动使用1次托管服务启动第2张证书的申请流程。
3年
包含内容:3张有效期为1年的指定规格SSL正式证书和2次托管服务。
说明托管服务:包含证书到期前自动申请、自动补齐剩余有效期(最多30天)以及专属技术支持。
申请流程:
首张证书:购买后在证书列表中手动提交证书申请。
后续证书:当上一张证书的剩余有效期不超过15天时,将自动使用1次托管服务启动下一张证书的申请流程。
单击立即购买,按界面提示完成支付操作。
付费规则:系统将优先使用剩余证书额度(与本次申请的证书规格一致)及剩余托管服务次数进行抵扣;不足部分需付费。
查看剩余证书额度和剩余托管服务次数:进入SSL证书管理页面,在正式证书页签下单击创建证书:
剩余托管服务次数:查找年限字段,其后显示的“剩余托管服务次数:”,即为当前剩余次数。
剩余证书额度:选择证书类型后,单击证书规格的下拉框,其显示的“可申请证书张数”即为各规格下的剩余证书额度。
购买完成后,不同年限对应的证书状态如下:
1年
在旧证书下方将生成 1 张与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变),状态为待申请。2年
在旧证书下方将生成 2 张与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变)。第 1 张证书:状态为待申请。
第 2 张证书:状态为未激活。
说明取消未激活的证书后将返还证书额度和托管服务次数。后续可通过创建SSL证书再次使用此证书额度和托管服务次数。
3年
在旧证书下方将生成 3 张与其关联的新证书(左侧带有
图标,表示与旧证书关联;旧证书的有效期不变)。第 1 张证书:状态为待申请。
第 2 和第 3 张证书:状态为未激活。
说明取消未激活的证书后将返还证书额度和托管服务次数。后续可通过创建SSL证书再次使用此证书额度和托管服务次数。
步骤二:提交证书申请
根据不同的证书状态分别进行处理:
未激活:当前一张证书的剩余有效期不超过 30 天时,将自动通过托管服务启动下一张证书申请流程。
待申请:请向CA(证书颁发机构)提交申请,并完成域名所有权验证。
申请审核中:请参考CA审核结果处理,配合CA完成证书签发。
步骤三:部署并验证新证书
部署证书。
确认托管部署任务状态。
若前一张证书已部署至阿里云云产品(如ALB、WAF、CDN、DDos等),且当前证书已使用托管服务自动创建托管部署任务,请通过以下步骤查看部署任务详情并确认部署结果:
进入云产品托管部署页面。
在证书资源ID列中,根据当前证书的资源ID(位于证书列表的证书列中)定位对应的部署任务。
单击该任务操作列下的详情,即可在详情页查看任务进度及其它详细信息。
说明当前证书签发后,系统将通过云产品托管部署完成部署。若部署失败,系统将通过邮件和站内信发送通知。
手动部署至目标服务器。
可参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。
验证证书
在浏览器(以 Chrome 浏览器为例)地址栏输入
https://域名并访问网站。单击
图标,然后在弹出的面板中单击。在弹出的面板中查看,若其与新证书的有效期一致,则表示新证书已部署成功。
已过期
单击,并参考SSL证书使用流程完成证书购买、创建、申请和部署完整流程。
购买并签发证书后,将获得一张新的正式证书,其有效期为12个月,从签发日开始计算。新证书不会叠加旧证书的剩余有效期(补齐有效期)。
常见问题
续费基础知识
续费与直接购买的区别是什么?
正式证书
续费与直接购买的主要区别在于是否叠加旧证书的剩余有效期(补齐有效期)。
证书续费:通过续费操作签发的新证书,将叠加旧证书最长30天的剩余有效期,确保新旧证书平滑过渡。详情请参见新证书的有效期计算规则。
直接购买:直接购买的证书有效期从签发日开始计算,不叠加旧证书的剩余有效期,可能造成旧证书有效期的浪费。
上传证书
续费与直接购买的有效期均从新证书的签发日开始计算,不叠加旧证书的剩余有效期。其主要区别在于获取新证书的操作流程。
证书续费:当旧证书剩余有效期不足30天时,系统将自动通过托管服务启动新证书的申请流程(若不符合自动提交申请条件,需手动提交)。
直接购买:需要自行关注证书到期时间,并手动完成购买及申请新证书的全部流程。
为什么续费或购买了多年期(如2年/3年)的证书,但有效期只显示为1年?
根据全球CA/B论坛(CA/Browser Forum)的行业规定,所有公开信任的SSL证书单次签发有效期最长不超过397天(约13个月)。因此,续费或购买的多年期证书,实际上是“多张1年期证书”和“托管服务”的组合。
通过托管服务,系统将在第一张证书即将到期时,自动申请下一张1年期证书(若提交申请失败,需手动提交)。您只需要配合完成域名所有权验证(如果需要)和CA审核,并每年重新部署一次新证书即可。
续费操作问题
为什么在证书列表找不到续费入口?
续费入口的显示取决于证书类型和状态,请确认满足以下条件:
正式证书:证书状态为即将过期。证书类型为非多域名证书。
上传证书:证书状态为上传成功,且不是PCA证书。
为什么续费比新购还贵?
若在证书剩余有效期大于30天时进行“提前续费”,则订单中将自动包含一项“证书托管服务”费用。该服务用于在证书剩余有效期不超过30天时自动提交证书申请(若提交申请失败,需手动提交)。
若无需使用托管服务,可选择在证书剩余有效期不超过30天时再进行续费。此时,对于服务时长为1年的订单,将不收取托管服务费。
请预留足够的申请与签发时间,特别是OV或EV证书可能需要人工审核,签发过程较长。
请务必提前操作,以避免因申请耗时过长,导致新旧证书的有效期无法无缝衔接,从而造成网站服务中断。
为什么续费后,证书列表里出现了两条一样的记录?
根据续费时选择的证书服务时长,提交续费后,在旧证书下方将出现一到多张新证书(左侧带有图标),表示与旧证书关联。
续费后部署问题
续费并支付成功后,为什么网站访问时仍然提示证书即将过期?
续费完成后签发的是一张全新的证书,请参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。
续费并部署新证书后,为什么网站访问仍然提示不安全或证书过期?
请按以下步骤逐一排查:
确认部署了正确的证书文件:请确保已在服务器上部署签发的新证书文件,而不是误用了旧证书文件。
确认已重启Web服务:Nginx、Apache、Tomcat、IIS等Web服务器在替换证书文件后,必须重启(restart)或重载(reload)服务,新证书才能生效。
清理浏览器缓存:浏览器可能缓存了旧证书的状态。请尝试强制刷新页面(Ctrl+F5)、清理浏览器缓存或使用无痕/隐私模式访问。
检查CDN或WAF等中间产品:若网站使用了内容分发网络(CDN)、Web应用防火墙(WAF)、全球加速(GA)或负载均衡(SLB)等产品,必须同时在这些产品的控制台将证书更新为新证书。否则,用户访问到的仍是这些中间产品上的旧证书。
确认证书链完整:从阿里云下载的证书文件通常已包含完整的证书链。如自行拼接,请确保包含了服务器证书和所有中间证书。
证书过期紧急处理
证书已过期导致服务中断,如何进行紧急处理以快速恢复服务?
若因证书过期导致服务中断,请遵循以下应急流程快速恢复服务,后续再替换为正式证书。
购买证书:立即购买一张DV(域名验证型)证书作为应急方案。DV证书验证简单,签发速度最快。
申请证书:在验证环节优先选择DNS验证方式,通常可在10分钟内完成域名所有权校验。
说明在等待证书签发期间,定位服务器上旧证书的存储位置,为后续替换做准备。
部署证书:新证书签发后,立即将其部署到 Web 应用服务器(如 Nginx、Apache 等)或云产品中,使新证书生效。
替换为正式证书:DV证书仅为临时应急方案。服务恢复后,请尽快申请原规格证书(如OV/EV型)并进行替换。