本站 SSL证书提供多个品牌和类型的证书,详情请参见各证书之间的区别。本文档介绍如何购买和选择本站 SSL证书。
在购买、申请证书前,请您了解证书申请的流程,以便更快地获取SSL证书。相关流程如图1所示,具体说明如表1所示。
图1 SSL证书申请流程
表1 证书申请流程说明
步骤 |
申请流程 |
说明 |
1 |
购买SSL证书 |
在SSL证书管理平台,根据您的域名类型选购对应的证书 |
2 |
申请SSL证书 |
成功购买证书后,您需要为证书绑定域名、填写证书申请人的详细信息并提交审核。 |
3 |
域名验证 |
按照CA中心的规范,证书提交申请后您需要配合完成域名授权验证来证明您对所申请绑定域名的所有权。 提供有以下几种验证方式: 手动DNS验证:所有类型证书均可选。 文件验证:通配符只能使用手动DNS验证其他均可使用文件验证。 |
4 |
组织验证(可选) |
仅当申请OV和EV类型证书时,需要该操作。 域名验证完成后,CA机构需要确认企业/组织是否发起了此次的证书订单申请。 |
5 |
签发证书 |
组织验证完成后,CA机构还需要一段时间进行处理,请您耐心等待。具体申请时间请参见各证书的申请时长。 CA机构审核通过后,将签发证书。证书签发后便立即生效,即可下载证书并部署到服务器上进行使用。 |
步骤一:购买SSL证书
该任务指导用户如何购买SSL证书,包括选择证书的类型、品牌、购买量等。
注意事项
特殊企业不支持申请OV、EV类型的证书。例如:军队、政府的一些特殊机构、国家保密单位等。
操作步骤
1、登录本站;
2、点击“SSL证书”进入SSL证书单页;
3、点击“立即选购”进入购买证书页面;
在购买证书页面,选择“价格区间”“证书类型”、“证书品牌”、“域名类型”、“域名数量”,如图1所示。
图1 服务选型
a.选择“价格区间”:
请根据您的需要进行选择合适的价格区间。
b.选择“证书类型”:
提供的证书类型以及区别如表1所示,请根据您的需要进行选择。
表1 证书类型
证书类型 |
应用场景 |
认证强度 |
审核周期 |
EV增强型 |
适用于大型政企/电商/教育/金融/银行/医疗等行业的平台网站、APP应用、小程序等 |
严格验证组织及企业真实性和域名所有权
|
3~5个工作日 |
OV企业型 |
适用于中小企业的网站、APP应用、小程序等 |
验证组织及企业真实性和域名所有权 |
1~3个工作日 |
DV域名型、DV基础版 |
适用于个人网站、企业测试 |
简易验证域名所有权
|
数小时内快速颁发
|
·更多关于证书类型的区别,请参见各证书之间的区别。 |
c.选择“证书品牌”:
当前支持的品牌包括“GeoTrust”、“DigiCert”、“GlobalSign”、”Sectigo”。关于证书类型的区别,请参见各证书品牌之间的区别。
d.选择“域名类型”:
域名类型,支持“单域名”、“多域名”和“通配符”。具体参数说明如表2所示。
表2 域名类型
参数名称 |
参数说明 |
单域名 |
即单个SSL证书只支持绑定1个单域名。例如,example.com |
多域名 |
即单个SSL证书可以同时绑定多个域名。根据品牌不同绑定数量也不同,最多可以支持250个域名。 |
通配符 |
即单个SSL证书支持绑定一个通配符。*.*.example.com多个通配符不支持。 通配符只允许添加一个通配符域名,例如*.example.com(包含a.example.com、b.example.com、......,但是不包含a.a.example.com)。 |
更多关于如何选择域名类型,详情请参见如何选择域名类型? |
e.设置“域名数量”:
* “域名类型”选择“单域名”和“通配符”时,域名数量限制为1个。
* “域名类型”选择“多域名”时,域名数量范围为“2~250”(不同品牌域名数量也不同)。域名数量须满足以下条件:
* 主域名数量固定为1个
* 附加单域名数量≥1个(附加单域名数量 附加泛域名数量≥1)
图2 域名类型
f.选择“有效期”:默认为1年。
证书有效期从证书最终签发的时间开始计算,到期后,需要重新购买并完成证书申请流程。
4、确认参数配置无误后,单击“立即购买”(或加入“购物车”)。
5、确认订单无误后,阅读并勾选“我已阅读并同意《证书服务协议》”,单击“确认结算”。
6、在购买页面,请选择付款方式进行付款。
成功付款后,在SSL证书管理界面,可以查看证书列表中购买的证书。
后续处理
成功购买SSL证书后,请参考申请证书为证书绑定域名,并填写证书申请人的详细信息。
步骤二:申请SSL证书
成功购买证书后,您需要申请证书,即为证书绑定域名、填写证书申请人的详细信息并提交审核。所有信息通过审核后,证书颁发机构才签发证书。
注意事项
证书的状态为“待申请”。
操作步骤
1、登录本站管理中心;
2、选择“SSL证书 > 证书管理”,进入证书管理界面。
3、SSL证书页面中待申请证书所在行的“操作”列,单击“证书申请”,系统从右面弹出证书申请详细页面。
4、在弹出证书申请详细页面中,填写域名信息。
a.CSR生成
证书请求文件(Certificate Signing Request,CSR)即证书签名申请,包含了您的服务器信息和公司信息。申请证书时需要将您证书的CSR文件提交给CA认证中心审核。
选择证书CSR生成方式:
* 系统生成CSR(推荐):系统将自动帮您生成证书私钥,需要您保存好该密钥,以免丢失。
* 自己生成CSR:手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。详细操作请参见如何制作CSR文件?。
b.绑定域名
* 当“证书请求文件”选择“系统生成CSR”时,需要手动输入证书需要绑定的域名。
①、单域名
填写需要绑定的1个域名。
例如,需要绑定域名为example.com,则填写如下图所示:
②、多域名
需要绑定主域名和附加域名。
例如,需要绑定域名为example.com、test.example.com和*.example.com,则填写如下图所示:
说明:
* 附加域名须大于等于1个。附加域名可分批次进行录入,具体操作请参见新增追加域名。
* 多个附加域名请换行输入。
* 如果购买的是组合证书(单域名 通配符),主域名仅支持绑定单域名。
* 主域名和附加域名的关系(主从关系)对添加的域名没有影响。
③、通配符
填写需要绑定的1个通配符。
例如,需要绑定域名为*.example.com,则填写如下图所示:
c.域名验证方式
按照CA中心的规范,如果您申请了数字证书,您必须配合完成域名授权验证来证明您对所申请绑定的域名的所有权。当您按照要求正确配置域名验证信息,待域名授权验证完成,CA系统中心审核通过后,证书审核才可以进入下一个状态。
表2 域名验证方式
验证方式 |
说明 |
使用条件及限制 |
DNS验证(手动DNS验证)
|
指您需要在域名的DNS解析服务商手动修改域名的DNS解析记录,在解析记录中添加一条用于验证的TXT或CNAME类型记录。 |
您有权限修改域名的DNS解析设置(即拥有域名管理权限)。
|
文件验证
|
指由您手动从文件验证信息中获取证书验证文件,然后在服务器的Web 目录中的创建指定文件。
|
* 您有权限向网站所在服务器的根目录写入内容(即拥有服务器管理权限)。 * 服务器开放了80、443端口,支持监听HTTP、HTTPS访问。 注意 目前CA机构仅支持向80、443端口发起认证请求。如果您的服务器未开放80、443端口,则请勿使用文件验证方式。 |
5、点击“组织管理”,点击“新建组织”弹出弹框,填写组织管理信息。
a.(可选)OV、EV类型的证书需要填写企业组织信息,请根据界面提示进行填写。
说明
* 公司名称请填写营业执照注册公司的全称
* 银行开户证明和企业营业执照是可选项。
& 如需上传企业营业执照,请上传当地的商业登记证(中国大陆请上传企业营业执照)。
& 上传的文件大小限制为2MB以下,格式须为png或jpg,且仅支持上传一个文件。
& 不上传会延长证书的签发周期,具体延长时间取决于CA机构验证时间。为了避免延长证书的签发周期,建议您上传文件。
6、确认填写的信息无误后,点击“下一步”根据页面提示,对域名验证方式进行验证。
后续处理
证书提交申请后,您需要进行域名授权验证。按照CA中心的规范,如果您申请了SSL证书,您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。
步骤三:域名验证
概览
证书提交申请后,您需要进行域名授权验证。按照CA中心的规范,如果您申请了SSL证书,您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。
当您按照要求正确配置域名验证信息,待域名授权验证完成,CA系统中心审核通过后,证书审核才可以进入下一个状态。
本站SSL证书管理提供以下2种方式,根据您申请证书时,选择的验证方式进行操作:
验证方式 |
说明 |
DNS验证(手动DNS验证) |
指您的TXT或CNAME类型记录。 |
文件验证
|
指由您手动从文件验证信息中获取证书验证文件,然后在服务器的Web 目录中的创建指定文件。 |
方式一:手动DNS验证
按照CA中心的规范,如果您申请了SSL证书,则必须完成域名验证(又称验证域名所有权)来证明待申请证书要绑定的域名属于您。
手动DNS验证,是指您需要在域名的DNS解析服务商手动修改域名的DNS解析记录,在解析记录中添加一条用于验证的TXT或CNAME类型记录。CA机构验证TXT或CNAME记录能被解析,则表示验证通过。
如果您在申请证书时域名验证方式选择了手动DNS验证,请参照本章节进行处理。
注意事项
手动DNS验证的域名解析只能在您的域名管理平台上进行操作,具体的解析方法以域名服务商提供的解析方法为准。
获取验证信息
1、登录本站管理中心;
2、选择“SSL证书 > 证书管理> 点击“证书申请”填写证书申请信息,验证方式选中:DNS验证(推荐)。
点击“下一步”即可获取验证信息。
如您已经提交了证书申请资料,点击“域名验证”即可获取验证。
3、在证书的域名验证页面,查看并记录“主机记录”、“记录类型”和“记录值”,如图1所示。
图1查看主机记录
在本站解析服务上进行DNS验证
1、登录本站管理中心;
2、选择“域名管理 > 我的域名> 点击绑定域名操作中的“解析”进入该证书绑定域名的域名解析页面,点击“添加”打开绑定域名添加解析弹框,输入对应数值;
图2域名解析
表1 域名解析参数说明
参数名称 |
参数说明 |
主机记录 |
证书的“域名验证”页面,本站返回的“主机记录”。 不同的证书品牌返回的主机记录不同,请保持填写记录一致。 |
记录类型 |
根据返回的数据进行填写。 |
记录值 |
证书的“域名验证”页面,本站返回的“记录值”。 建议直接点击复制粘贴记录值 |
其他的设置保持不变。 |
3、单击“确定”,域名添加解析成功
当解析状态显示为“正常”时,表示域名解析添加成功。
说明:
解析记录在证书签发后才可以删除(相同的记录类型主机记录只能有一条记录值)。
4、如果DNS验证配置未生效,请根据以下可能原因进行排除修改,直至验证生效。
表2 排查处理
可能原因 |
处理方法 |
记录配置出错 |
请您检查“主机记录”或“类型”是否填写正确。 根据域名服务商不同,返回的“主机记录”不同 |
配置的生效时间过长,生效时间还未到,因此无法查询到数据。 |
请您检查生效时间(TTL)本站默认为10分钟。若配置的生效时间未到,请等时间到了后再进行验证。 |
方式二:文件验证
按照CA中心的规范,如果您申请了SSL证书,则必须完成域名验证(又称验证域名所有权)来证明待申请证书要绑定的域名属于您。
文件验证,是指您手动从文件验证信息中取证书验证文件,然后在服务器的Web 目录中的创建指定文件。CA机构验证文件路径可以被访问,则表示验证通过。
如果您在申请证书时域名验证方式选择了文件验证,请参照本章节进行处理。
获取验证信息
1、登录本站管理中心;
2、选择“SSL证书 > 证书管理> 点击“证书申请”填写证书申请信息,验证方式选中:文件验证。点击“下一步”即可获取验证信息。
如您已经提交了证书申请资料,点击“域名验证”即可获取验证。
4、在证书的域名验证页面,可直接查看文件验证说明,如图1所示。
图1文件验证
1、登录您的服务器,并且确保域名已指向该服务器并且对应的网站已正常启用。
2、然后在服务器的Web 目录中的创建指定文件。该文件包括文件目录、文件名、文件内容。
说明
网站根目录是指您在服务器上存放网站程序的文件夹,大致有这几种表示名称:wwwroot、htdocs、public_html、webroot等。请您根据实际情况进行操作。
如下以网站根目录为“/www/htdocs”为例进行说明:
a. 在网站根目录下,创建“.well-known/pki-validation”子目录。
此处则在“/www/htdocs”目录下进行创建,请您根据实际情况进行操作。
b. 在“.well-known/pki-validation”子目录下,创建一个名称为“fileauth.txt”的文件。
c. 将验证文件中的记录值复制在“fileauth.txt”文件内。
您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。
步骤四:(OV、EV)组织验证
申请OV和EV类型证书时,域名验证完成后,CA机构将向您填写的邮箱发送一封组织验证邮件。CA机构将根据您选择的验证方式与企业/组织进行联系,确认企业/组织是否发起了此次的证书订单申请。
注意事项
* 13个月内再次购买同一品牌的证书且信息无更改,将免组织验证即人工审核。
* 证书的状态为“待验证”。
* 以下情况需要完成组织验证后,证书才能签发成功:
首次购买OV、EV证书。
距离上次购买证书的时间已超过13个月。
距离上次购买证书的时间未超过13个月,但是联系方式、公司信息或者证书品牌跟上次购买时有变化。
操作步骤
1、请登录您在申请证书时填写的联系人邮箱。
2、打开来自CA机构的组织验证邮件。
3、回复CA机构的邮件以选择组织验证方式。
组织验证包括电话、邮件
如果需要更改组织验证方式,请直接回复CA中心的邮件。
4、请您留意所选择的验证方式,配合CA机构进行处理。
例如,您选择的组织验证方式为电话验证,则CA机构将通过企业/组织的公开电话与您联系,请您留意并及时进行处理。
步骤五:签发SSL证书
SSL证书审核时间取决于您和CA机构之间的配合。CA机构将通过您预留的邮箱和电话与您进行联系,请留意您在申请证书时预留的邮箱和电话。
* DV型证书在确认完成DNS验证且验证结果无误后,请您耐心等待,CA机构将还需要一段时间进行处理。CA机构审核通过后,将会签发证书。
* OV、EV型证书在确认完成组织验证后,CA机构将还需要一段时间进行处理,请您耐心等待。CA机构审核通过后,将会签发证书。
不同的SSL证书类型审核周期有所区别,一般情况下,各证书类型的审核周期说明如表1所示。
表1证书审核周期
证书类型 |
审核周期 |
EV |
CA机构人工审核信息 在信息正确的情况下审核周期一般为3~5个工作日 |
OV |
CA机构人工审核信息 在信息正确的情况下审核周期一般为1~3个工作日 |
DV |
无人工审核 CA机构签发系统自动检查域名授权配置,DNS配置正确的情况下可在数小时内快速颁发。
|
操作步骤
CA机构审核通过后,将会签发证书,证书签发后便立即生效。
证书签发后,可下载证书并部署到服务器上进行使用。
下载证书操作请参见下载证书。