全部产品
Search

搜索本产品

    数字证书管理服务:SSL证书续费与到期处理

    文档中心

    数字证书管理服务:SSL证书续费与到期处理

    更新时间:Feb 26, 2026

    为避免因证书过期导致业务中断和安全风险,请关注SSL证书的剩余有效时长,并在证书到期前根据证书类型选择正确的处理方案,以确保业务的连续性和安全性。本文介绍如何为正式证书和“上传证书”进行续费。

    重要

    本文档中的正式证书、个人测试证书续费仅适用于SSL证书管理(V1.0 停止新购)SSL证书管理 V2.0中暂不支持,请关注后续产品更新。

    确认证书类型

    进入SSL证书管理页面。根据目标证书所在的页签(正式证书上传证书),确认证书类型,随后选择相应的续费方案:

    正式证书续费

    重要

    2026-02-25 起,SSL证书管理(V1.0 停止新购)中的证书将在到期前 15 天开启续费入口,到期时间大于 15 天的证书不开启续费入口。详细信息见有效期变更说明

    续费流程

    SSL证书的续费实际上是重新签发一张新证书,而非延长旧证书的有效期。新证书签发后,旧证书在其有效期内仍可继续使用。续费流程如下:

    1. 提交续费信息并完成支付:填写并提交续费所需信息,完成支付操作。

    2. 提交证书申请:向证书颁发机构(CA)提交新的证书申请,验证域名所有权并配合CA完成审核。

    3. 部署并验证新证书:将签发的新证书部署至目标服务器或云产品,替换旧证书。

    续费条件

    • 证书状态即将过期

    • 证书类型:非多域名证书

    • 规格变更:无需更改证书规格(如证书品牌、证书类型等)。

    说明

    若证书已过期、证书类型为多域名证书、或需变更证书规格,请参考购买正式证书重新购买证书,并完成创建、申请和部署。

    新证书的有效期计算规则

    为实现平滑过渡,续费并签发新证书后,其将叠加旧证书的剩余有效期(补齐有效期),上限15天。

    • 计算规则

      • 计算公式新证书有效期 = 标准有效期(6个月:180天)+ 旧证书剩余有效期(最多15天)

      • 到期日:在旧证书到期前15天内完成续费并签发,新证书的到期日将固定不变(旧证书的到期日 + 180天)。

    • 场景示例

      以一张有效期为 2025-10-01 至 2026-09-30 的旧证书为例(为便于理解,假设启动新证书申请流程后于当天完成签发)。

      • 操作时间:2026-09-20 提交续费申请并手动提交证书申请。

      • 新证书有效期时长:6个月(180天) + 10天(旧证书剩余有效期)= 190天。

      • 新证书有效期范围:2026-09-20 至 2027-03-29。

      说明

      系统通过托管服务自动启动证书申请流程时,需符合以下条件,否则需手动提交申请。

      • 对于DV证书,域名使用云解析DNS服务的账号必须与购买证书的账号一致,或域名已完成免验证授权

      • 证书申请信息及资料有效(由CA判断)。

    步骤一:提交续费信息并完成支付

    1. 进入SSL证书管理(v1.0停止新购)页面,在正式证书页签下定位目标证书,在操作列单击续费购买

    2. 证书续费面板,填写如下信息。

      • CSR生成方式

        CSR(证书签名请求)是向 CA 申请证书的文件,其中包含证书绑定的域名、公钥、主体信息,并由您的私钥签名。推荐使用系统生成

        系统生成

        系统将生成并安全托管全新的密钥对(密钥算法与旧证书相同),并使用其创建新的CSR。

        说明

        此方式符合密钥轮换的最佳安全实践。

        手动填写

        使用自有环境中生成的CSR文件,请将文件内容填写至CSR文件内容一栏。使用此方式签发的证书将不能通过控制台部署至阿里云产品中。如何制作CSR和私钥文件,请参见如何制作CSR文件

        重要

        • 请确保手动填写的CSR使用的加密算法与旧证书密钥算法一致,否则将无法顺利提交证书审核。

        • 请妥善保管私钥文件,阿里云不负责保管私钥,如果私钥丢失,必须重新购买SSL证书。

        原密钥更新

        沿用旧证书的密钥对生成新的CSR文件并签发新证书。

        重要

        此方式不符合密钥轮换最佳实践,可能不满足部分行业合规要求。

      • 域名验证方式

        默认与旧证书的验证方式一致。

      • 联系人

        根据不同的域名验证方式,CA 可能会向此联系人发送证书验证邮件,或通过手机号码沟通审核相关事宜,请确保联系人信息准确有效。

      • 续费年限

        续费年限仅代表用户购买的服务时长,不等于实际签发的单张证书有效期,实际可能需要通过多张证书叠加的方式覆盖用户购买的服务时长。服务时长范围内签发的单张证书有效期将根据证书品牌策略调整,详见有效期变更说明

    3. 单击立即续费,按界面提示完成支付操作。

      • 付费规则:系统将优先使用剩余证书额度(与本次申请的证书规格一致)及剩余托管服务次数进行抵扣;不足部分需付费。

      • 查看剩余证书额度和托管服务次数:在正式证书页签下单击创建证书

        • 剩余托管服务次数:查找年限字段,其后显示的“剩余托管服务次数:”,即为当前剩余次数。

        • 剩余证书额度:选择证书类型后,单击证书规格的下拉框,其显示的“可申请证书张数”即为各规格下的剩余证书额度。

    4. 续费完成后,在旧证书下方将生成 1 张或多张(具体数量取决于单张证书的有效期,详见有效期变更说明)与其关联的新证书(左侧带有new图标,表示与旧证书关联;旧证书的有效期不变),第 1 张证书状态为待申请,其它证书状态为未激活

      说明

      系统通过托管服务自动启动证书申请流程时,需符合以下条件,否则需手动提交申请。

      • 对于DV证书,域名使用云解析DNS服务的账号必须与购买证书的账号一致,或域名已完成免验证授权

      • 证书申请信息及资料有效(由CA判断)。

    步骤二:提交证书申请

    续费完成后,请向CA(证书颁发机构)提交申请,并完成域名所有权验证

    步骤三:部署并验证新证书

    1. 部署证书。

      可参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。

    2. 验证证书。

      1. 在浏览器(以 Chrome 浏览器为例)地址栏输入https://域名并访问网站。

      2. 单击image图标,然后在弹出的面板中单击前向安全性 > 在有效期内

      3. 在弹出的面板中查看基本信息(G) > 有效期,若其与新证书的有效期一致,则表示新证书已部署成功。

    上传证书续费

    上传证书”请在SSL证书管理 V2.0中操作,续费等同于购买正式证书(有效期从新证书的签发日开始计算,不叠加旧证书的剩余有效期)。

    说明

    • 状态即将过期且不为PCA的证书操作列下才会存在更新证书按钮。

    • 状态中显示PCA(由PCA产品创建的SSL证书)的证书,需重新签发新的PCA证书后同步到SSL证书

    步骤一:提交续费信息并完成支付

    1. SSL证书管理V2.0页面的上传证书页签下,定位目标证书。

    2. 单击操作列下的更新证书,进入购买页面。

    3. 后续操作同购买正式证书,详细步骤参见购买正式证书

    步骤二:提交证书申请

    续费完成后,请向CA(证书颁发机构)提交申请,并完成域名所有权验证

    步骤三:部署并验证新证书

    1. 部署证书。

      可参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。

    2. 验证证书。

      1. 在浏览器(以 Chrome 浏览器为例)地址栏输入https://域名并访问网站。

      2. 单击image图标,然后在弹出的面板中单击前向安全性 > 在有效期内

      3. 在弹出的面板中查看基本信息(G) > 有效期,若其与新证书的有效期一致,则表示新证书已部署成功。

    常见问题

    续费基础知识

    续费与直接购买的区别是什么?

    • 正式证书

      续费与直接购买的主要区别在于是否叠加旧证书的剩余有效期(补齐有效期)。

      • 证书续费:通过续费操作签发的新证书,将叠加旧证书剩余有效期,确保新旧证书平滑过渡。详情请参见新证书的有效期计算规则

      • 直接购买:直接购买的证书有效期从签发日开始计算,不叠加旧证书的剩余有效期,可能造成旧证书有效期的浪费。

    • 上传证书

      续费与直接购买的有效期均从新证书的签发日开始计算,不叠加旧证书的剩余有效期。其主要区别在于获取新证书的操作入口。

    为什么续费或购买了多年期(如2年/3年)的证书,但有效期为1年或小于1年?

    • 根据全球CA/B论坛(CA/Browser Forum)的行业规定,所有公开信任的SSL证书单次签发有效期最长不超过397天(2026-02-25 起调整为200天,详见有效期变更说明)。因此,续费或购买的多年期证书,实际上是“多张证书”和“托管服务”的组合。

    • 通过托管服务,系统将在第一张证书即将到期时,自动申请下一张证书(若提交申请失败,需手动提交)。您只需要配合完成域名所有权验证(如果需要)和CA审核,并重新部署一次新证书即可。

    续费操作问题

    为什么在证书列表找不到续费入口?

    SSL证书管理(V1.0 停止新购)中的证书将在证书到期前 15 天开启续费入口,到期时间大于 15 天的证书不开启续费入口。

    为什么续费后,证书列表里出现了两条一样的记录?

    根据续费时选择的证书服务时长,提交续费后,在旧证书下方将出现一到多张新证书(左侧带有new图标),表示与旧证书关联。

    续费后部署问题

    续费并支付成功后,为什么网站访问时仍然提示证书即将过期?

    续费完成后需发起申请流程,签发一张全新的证书,详细步骤请参考向CA(证书颁发机构)提交申请。新证书签发后,请参考SSL 证书部署方案选型,将新证书部署至Web应用服务器或云产品中,以替换旧证书。

    续费并部署新证书后,为什么网站访问仍然提示不安全或证书过期?

    请按以下步骤逐一排查:

    1. 确认部署了正确的证书文件:请确保已在服务器上部署签发的新证书文件,而不是误用了旧证书文件。

    2. 确认已重启Web服务:Nginx、Apache、Tomcat、IIS等Web服务器在替换证书文件后,必须重启(restart)或重载(reload)服务,新证书才能生效。

    3. 清理浏览器缓存:浏览器可能缓存了旧证书的状态。请尝试强制刷新页面(Ctrl+F5)清理浏览器缓存或使用无痕/隐私模式访问。

    4. 检查CDN或WAF等中间产品:若网站使用了内容分发网络(CDN)、Web应用防火墙(WAF)、全球加速(GA)或负载均衡(SLB)等产品,必须同时在这些产品的控制台将证书更新为新证书。否则,用户访问到的仍是这些中间产品上的旧证书。

    5. 确认证书链完整:从阿里云下载的证书文件通常已包含完整的证书链。如自行拼接,请确保包含了服务器证书和所有中间证书。

    证书过期紧急处理

    证书已过期导致服务中断,如何进行紧急处理以快速恢复服务?

    若因证书过期导致服务中断,请遵循以下应急流程快速恢复服务,后续再替换为正式证书。

    1. 购买证书:立即购买一张DV(域名验证型)证书作为应急方案。DV证书验证简单,签发速度最快。

    2. 申请证书:在验证环节优先选择DNS验证方式,通常可在10分钟内完成域名所有权校验。

      说明

      在等待证书签发期间,定位服务器上旧证书的存储位置,为后续替换做准备。

    3. 部署证书:新证书签发后,立即将其部署到 Web 应用服务器(如 Nginx、Apache 等)或云产品中,使新证书生效。

    4. 替换为正式证书:DV证书仅为临时应急方案。服务恢复后,请尽快申请原规格证书(如OV/EV型)并进行替换。

    重要

    为避免此类情况再次发生,请开启SSL证书消息提醒并提前续费。此外,可选择购买托管服务,托管服务将在证书有效期不足30天时自动提交证书申请。