购买证书后证书状态即为待申请状态,取消申请后将返还相应的证书额度,本文介绍如何使用证书额度创建SSL证书。
证书购买后默认为待申请状态,请跳过本文直接向CA(证书颁发机构)提交申请。
前提条件
已购买正式证书。
操作流程
操作步骤
登录数字证书管理服务控制台,在的正式证书页签,单击创建证书。
步骤一:填写基本信息
参照如下说明,完成基本信息配置。如果您未勾选“快捷签发”,填写完所有必填信息后单击确定,证书会进入“待申请”状态,您稍后需要向CA(证书颁发机构)提交申请。
证书类型
系统会展示您购买后可创建的证书类型(最多支持单域名、多域名、通配符三种)。仅当您已购买对应类型的证书资源时,方可在此处选择该类型。
证书规格
显示您已购买的证书规格及其可用数量。若无所需规格,请先购买正式证书。
域名名称
域名要求
类型需匹配:填写的域名类型(单域名/多域名/通配符)须与您购买的证书一致。
长度限制:单个域名总长度不得超过253个字符,域名中每个标签(以
.分隔的部分)长度不得超过63个字符。
特殊格式要求:
通配符:必须以
*开头,如*.example.com。中文域名:如果您绑定的是中文域名,需按照控台提示转换成Punycode码(例如,
阿里云.公司->xn--fhq546a.xn--55qx5d)。您也可以使用转码工具转换,具体操作,请参见中文域名转换。IP地址:仅部分OV单域名证书支持(品牌:GlobalSign、GeoTrust)。
域名后缀须知:DigiCert品牌不支持为后缀为
.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等特殊词的域名签发证书,GlobalSign品牌无此限制。域名赠送:如果域名符合赠送条件,阿里云将赠送域名。
年限
选择您需要的证书服务年限。
证书的有效期默认都是1年(所有CA中心签发的证书的有效期最长均为397天,此处选择的是证书服务的订阅时长),此处延长的是证书服务的年限。
若想获得超过1年的服务年限,必须先购买证书托管服务,同时保证购买的证书(相同类型和规格)数量大于1。年限每增加1年,将多消耗一张证书和一次托管服务。
说明例如:年限选择2年。
表示消耗2张1年期的证书并使用1次托管服务。
当第1张证书即将过期时,您无需再次手动提交申请即可获得第2张证书(SSL证书服务自动为您续费并更新证书)。
快捷签发
勾选快捷签发后,需要填写申请信息。系统在创建完成后自动向CA提交证书申请,后续需配合完成域名所有权验证,无需二次提交申请。
步骤二(可选):填写申请信息(“快捷签发”流程)
如果勾选快捷签发,需要完善提交给CA机构审核的详细信息,填写完所有必填信息后,单击提交审核。证书会进入“申请审核中”状态,您需要稍后完成域名所有权验证。不同类别(DV/OV/EV)的证书所需信息不同,配置项说明如下:
DV证书
申请信息说明如下:
域名验证方式
说明证书购买账号:在数字证书管理服务控制台中购买目标 SSL 证书的阿里云账号。
DNS解析账号:在云解析DNS中配置目标域名解析的阿里云账号。
证书购买账号与DNS解析账号不一致
手动DNS验证(推荐):登录您的域名解析服务平台,添加一条TXT类型的DNS解析记录。
文件验证:登录您的网站服务器,在指定目录下创建并上传系统要求的验证文件。
重要通配符域名不支持文件验证方式。
证书购买账号与DNS解析账号一致
系统将采用自动DNS验证方式,阿里云自动在云解析DNS对应的域名中添加一条解析记录,用于验证域名所有权,无需人工操作。
联系人
选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。如需新建或修改联系人,可单击新建联系人或编辑,或前往联系人管理。
重要收到证书申请后,CA中心将向联系人邮箱发送证书申请验证邮件,或通过联系人手机号码沟通审核相关事宜。请务必确保联系人信息准确且有效。
所在地
选择申请人所在城市或地区。
密钥算法
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
重要目前只有部分品牌及类型的证书支持ECC,详情请参见SSL证书选型指引。
CSR生成方式
CSR(证书签名请求)是申请SSL证书时提交给证书颁发机构(CA)的申请文件,包含您的域名、组织信息及公钥(对应的私钥需妥善保管)。
系统生成(推荐)
阿里云将为您自动创建CSR和私钥。证书签发后,可直接下载包含私钥的完整文件。
手动填写
可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件(由您自行保管),并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请务必妥善保管您的私钥。如果私钥丢失,将无法在服务器上使用该证书,且私钥无法恢复,需要重新生成密钥对并申请重签发证书。
CSR的加密算法必须与上方选择的“密钥算法”一致。
选择已有的CSR
在数字证书管理服务控制台已创建或上传的CSR中,选择与证书绑定域名相匹配的CSR。如何创建和上传CSR,请参见创建CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
OV证书
申请信息说明如下:
联系人
选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。如需新建或修改联系人,可单击新建联系人或编辑,或前往联系人管理。
重要收到证书申请后,CA中心将向联系人邮箱发送证书申请验证邮件,或通过联系人手机号码沟通审核相关事宜。请务必确保联系人信息准确且有效。
公司
选择本次证书申请的公司信息(包含名称、电话、地址)。如需新建或修改公司信息,可单击新建公司或编辑,或前往公司信息管理。
重要.gov域名申请OV证书时,域名WHOIS的组织名称必须与公司名称完全一致。
营业执照
选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。
密钥算法
选择证书使用的密钥算法。
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
重要目前只有部分品牌及类型的证书支持ECC,详情请参见SSL证书选型指引。
CSR生成方式
CSR(证书签名请求)是申请SSL证书时提交给证书颁发机构(CA)的申请文件,包含您的域名、组织信息及公钥(对应的私钥需妥善保管)。
系统生成(推荐)
阿里云将为您自动创建CSR和私钥。证书签发后,可直接下载包含私钥的完整文件。
手动填写
可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件(由您自行保管),并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请务必妥善保管您的私钥。如果私钥丢失,将无法在服务器上使用该证书,且私钥无法恢复,需要重新生成密钥对并申请重签发证书。
CSR的加密算法必须与上方选择的“密钥算法”一致。
选择已有的CSR
在数字证书管理服务控制台已创建或上传的CSR中,选择与证书绑定域名相匹配的CSR。如何创建和上传CSR,请参见创建CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
EV证书
申请信息说明如下:
联系人
选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。如需新建或修改联系人,可单击新建联系人或编辑,或前往联系人管理。
重要收到证书申请后,CA中心将向联系人邮箱发送证书申请验证邮件,或通过联系人手机号码沟通审核相关事宜。请务必确保联系人信息准确且有效。
公司
选择本次证书申请的公司信息(包含名称、电话、地址)。如需新建或修改公司信息,可单击新建公司或编辑,或前往公司信息管理。
重要.gov域名申请OV证书时,域名WHOIS的组织名称必须与公司名称完全一致。
营业执照
选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。
密钥算法
选择证书使用的密钥算法。
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
重要目前只有部分品牌及类型的证书支持ECC,详情请参见SSL证书选型指引。
CSR生成方式
CSR(证书签名请求)是申请SSL证书时提交给证书颁发机构(CA)的申请文件,包含您的域名、组织信息及公钥(对应的私钥需妥善保管)。
系统生成(推荐)
阿里云将为您自动创建CSR和私钥。证书签发后,可直接下载包含私钥的完整文件。
手动填写
可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件(由您自行保管),并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请务必妥善保管您的私钥。如果私钥丢失,将无法在服务器上使用该证书,且私钥无法恢复,需要重新生成密钥对并申请重签发证书。
CSR的加密算法必须与上方选择的“密钥算法”一致。
选择已有的CSR
在数字证书管理服务控制台已创建或上传的CSR中,选择与证书绑定域名相匹配的CSR。如何创建和上传CSR,请参见创建CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
后续操作
场景一:勾选了快捷签发。
在填写信息并提交审批后系统将为当前证书向CA机构发起证书申请,您可以将鼠标悬停在证书状态栏的
图标上,在提示信息框中单击查看进度在证书进度面板查看当前证书审核的具体进度。域名校验的详细步骤请参考域名所有权验证。
场景二:没有勾选快捷签发。
创建证书后,您可以在证书列表中查看新增的证书。此时,该证书的状态为待申请(如下图所示),您还需要将证书申请提交到CA中心审核。只有当CA中心审核通过您的证书申请后,才会为您签发证书。详情请参见向CA(证书颁发机构)提交申请。
证书赠送域名规则
购买证书时,若满足赠送条件,系统将自动赠送一个关联域名。
域名赠送条件
本文中的“二级域名”指形如aliyun.com 的域名(.com为顶级域名)。www.aliyun.com、demo.aliyun.com 为三级域名,demo.doc.aliyun.com 为四级域名,以此类推。
GlobalSign
DV(域名型):域名验证方式必须为DNS验证。
OV(企业型):无特殊限制。
EV(企业增强型):域名级别必须为二级域名。
DigiCert
DV(域名型):域名验证方式必须为DNS验证。
OV(企业型)、EV(企业增强型):域名级别必须为二级域名。
Alibaba Cloud
绑定域名必须为二级域名对应的www子域名。
仅当绑定
www.aliyun.com时,默认赠送aliyun.com的主域名。绑定如
aliyun.com、*.aliyun.com,均不赠送相应的www子域名。
域名赠送规则
单域名证书:
绑定主域名,自动赠送
www子域名。如:绑定aliyun.com时赠送www.aliyun.com。绑定
www子域名,自动赠送主域名。如:绑定www.aliyun.com时赠送aliyun.com。
通配符证书:
绑定通配符域名,自动赠送对应的主域名。如:绑定
*.aliyun.com时赠送aliyun.com。
多域名证书:
仅当第一个域名满足赠送条件时,自动赠送与第一个域名相关的域名。例如,证书绑定了
a.aliyun.com和b.aliyun.com,仅赠送www.a.aliyun.com。
常见问题
创建证书时,证书数量(额度)不足怎么办?
原因 | 解决方案 |
额度被“待申请”状态的证书占用 | 请检查您的证书列表,找到不再需要的“待申请”证书,执行 “取消申请” 操作。取消后,额度将立即返还。 重要 证书被吊销或删除后,额度不会返还。 |
所有已购额度均已使用或占用 | 请前往购买正式证书页面,根据您的业务需求购买新的证书额度。 |
域名支持中文域名吗?
支持。如果您绑定的是中文域名,需按照控制台提示转换成Punycode码,才能申请证书。您也可以使用转码工具转换,具体操作请参见中文域名转换。