阿里云SSL证书服务提供多个品牌和类型的证书。本文档介绍如何购买和选择阿里云SSL证书。

操作步骤

  1. 前往阿里云SSL证书购买页面
  2. 根据您需要保护的域名,选择对应的域名类型
    建议您首先选择需要保护的域名类型,再根据您的域名类型选择适用的证书类型和品牌。

    以下表格介绍了阿里云SSL证书支持保护的域名类型。

    域名类型 应用场景 域名示例
    通配符域名(泛域名) 如果您需要保护一个主域名和这个主域名下所有的某一级子域名,请选择通配符域名(泛域名)类型。
    说明
    • 通配符域名以通配符号*开头,申请通配符域名证书时一定要在域名开头加上*, 例如:*.aliyun.com
    • 通配符证书支持同级匹配。详细说明如下:
      • 一级通配符域名:可保护该通配符域名(主域名)自身和该域名所有的一级子域名。

        例如:一级通配符域名*.aliyun.com默认为您的www.aliyun.com主域名启用HTTPS协议,无需额外申请和提交证书审核。

      • 二级或二级以上通配符域名:只能保护该域名同级的所有通配域名,不支持保护该通配符域名本身。
    例如:
    • 1张一级通配符域名(*.aliyun.com)证书:

      该证书可以保护主域名自身aliyun.com和该域名的所有同级域名,如a.aliyun.comb.aliyun.comc.aliyun.com等;不可以保护该域名的二级或二级以上子域名,如1.a.aliyun.com1.1.a.aliyun.com1.b.aliyun.com1.1.b.aliyun.com等。

    • 1张二级或二级以上通配符域名(*.a.aliyun.com)证书:

      该证书可以保护该域名的所有同级域名,1.a.aliyun.com2.a.aliyun.com3.a.aliyun.com等;不可以保护该域名的下级子域名,如1.1.a.aliyun.com2.1.a.aliyun.com等,也不可以保护该域名本身a.aliyun.com
    单域名(1个域名) 如果您只需要保护1个主域名或者子域名(非通配符域名),请选择单域名(1个域名)类型。支持保护:
    • 主域名
    • 子域名
    多域名 如果您需要保护多个域名,包括同一个域名下的不同级别的多个域名或者不同的域名及其子域名,请选择多域名类型。
    • 1张Digicert EV证书增强版支持保护最少5个域名(含5个,不超过250个)。
    • 除Digicert EV证书增强版外,其他规格的证书支持保护最少3个域名(含3个,不超过250个)。

    阿里云多域名证书支持追加域名,但首次申请证书时必须填写最少3个域名;如果首次申请证书时填写的域名少于3个,后续将无法追加其他域名。

    多域名申请必须填写3个以上域名

    您购买了1张多域名证书保护10个域名,首次申请证书时,如果在证书绑定域名中填写了3个域名并提交申请,后期如果您需要再保护其他的域名,请提交工单(本示例中,您后续可追加不超过7个域名)。

    		例如:购买1张GeoTrust品牌的OV多域名证书,那么该证书可以保护aliyun.coma.aliyun.comb.aliyun.com1.a.aliyun.comabc.com1.abc.com等。
    说明 证书购买完成后,您需要申请证书并填写要保护的域名,阿里云会对您填写的域名数量和域名类型进行校验。多域名证书有以下注意事项:
    • 由于CA中心的规定,如果您在首次申请证书时,只填写并提交了1个域名,该证书将会变成单域名证书。即使您购买的是多域名证书,后期您也无法追加域名申请保护其他的域名。
    • 追加域名后,会重新签发证书,新追加的域名必须安装重新签发的证书。重新签发的证书到期时间与原证书相同,私钥与原证书相同,原证书仍然可用。
    • 建议一次完成剩下所有域名的追加,因为证书有效期与最先签发的证书有效期一致,越晚追加剩下的域名,您新签发的证书能使用的有效期就越短。
  3. 选择证书类型。阿里云SSL证书服务提供DV、EV、OV类型证书。
    选择不同类型的证书,后续在购买完成后申请证书的时候,您需要提供的审核材料也不同。详细内容请参见申请证书需要提交的材料

    不同类型的证书在浏览器地址栏展示的效果如下:

    • DV SSL、OV SSL数字证书部署在服务器上后,您的浏览器访问网站时,展示以下效果:DV/OV证书安装效果图
    • EV SSL数字证书部署在服务器上后,您的浏览器访问网站时,展示以下效果:EV证书安装效果图
  4. 选择证书品牌(CA供应商)。详细内容请参见阿里云证书品牌
  5. 选择购买数量购买时长
    • 购买数量:每个类型的证书最多支持购买10张。
    • 购买时长:证书的有效期,最多支持购买2年。
    说明
    • SSL证书有效期为1~2年,不同的证书类型有效期不同。证书过期前您需提前对证书续费和完成续费证书申请,并将续费后重新签发的证书安装到您的Web应用服务器中。详细信息请参见到期续费。如果购买时长选择1年,您的证书每1年重新申请、审核、安装一次;如果购买时长选择2年,您的证书每2年重新申请、审核、安装一次。如需减少审核流程,建议选择2年。
    • 证书有效期从审核通过之后开始计算。
    • 出于安全考虑,免费版DV SSL通配符DV SSL证书限定最长申请年限为1年。
  6. 单击立即购买,完成支付。

后续步骤

SSL证书购买完成后,您还需提交证书申请信息并完成审核才可以获取SSL证书。

提交证书申请时,您需准备相应审核材料,上传电子版审核材料并提交审核。需提交的审核材料请参见申请证书需要提交的材料。证书申请审核完成后,该证书就可以应用到您的Web服务器和云产品。

阿里云证书品牌

以下表格介绍了阿里云颁发的数字证书品牌。
证书品牌 说明 补充说明
Digicert Digicert(原Symantec)是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案。
CFCA 中国金融认证中心(CFCA)通过了国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟的组织成员。CFCA提供全球信任证书,由中国权威数字证书认证机构自主研发,纯国产证书。CFCA提供7x24小时金融级的安全保障服务,且有完善的风险承保计划。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。
说明 CFCA服务器证书目前不支持苹果iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。
GeoTrust GeoTrust是全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。
GlobalSign GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。
说明 不同品牌(CA供应商)提供的证书类型不同,例如GlobalSign目前仅提供专业版OV型证书。

专家人工指导服务

如果您对如何选择证书仍然存在疑问,推荐您使用专家人工服务,帮您选购证书,并完成DNS或者文件验证。