本文档介绍如何购买和选择阿里云SSL证书。

操作步骤

  1. 登录阿里云云盾证书购买服务页面。
  2. 根据您需要保护的域名,选择对应的域名类型
    • 通配符域名(泛域名):如果您需要保护一个主域名和这个主域名下所有的某一级子域名,请选择通配符域名(泛域名)类型。

      例如:购买1张通配符域名证书,并为*.aliyun.com申请证书,那么该证书可以保护主域名自身aliyun.com和该主域名对应的所有一级子域名buy.aliyun.comforum.aliyun.comsearch.aliyun.comlogin.aliyun.comimage.aliyun.com等;或者可以保护该主域名下的所有二级子域名(但是无法保护该主域名自身)1.buy.aliyun.com1.forum.aliyun.com1.search.aliyun.com1.login.aliyun.com1.image.aliyun.com等。

      说明
      • 通配符域名以通配符号*开头,申请通配符域名证书时一定要在域名开头加上*。 例如:*.aliyun.com
      • 如果您购买的是通配符证书(例如:一级通配符域名*.aliyun.com),会默认支持您www.aliyun.com的证书(该证书默认支持HTTPS,无需额外申请和提交证书审核,可直接应用于您的服务器)。
      • 如果需要通配符域名证书保护1级域名,那么可保护该主域名(根域名)自身和所有它的一级子域名;如果需要保护2级及以上域名,那么不包含保护该主域名自身,只能保护该主域名的所有2级子域名或3级子域名等。
      • 暂不支持购买多个通配符子域名型证书。
    • 单域名(1个域名):如果您只需要保护1个主域名或者子域名(非通配符域名),请选择单域名(1个域名)类型。
      说明 单域名(1个域名)证书对于主域名或者子域名都可保护。
    • 多域名:如果您需要保护5个以上(含5个,不超过250个)的域名,包括同一个域名下的不同级别的多个域名、或者不同的域名及其子域名,请选择多域名类型。

      例如:购买1张多域名证书,那么该证书可以保护aliyun.combuy.aliyun.comforum.network.com1.search.network.comlogin.network.com1.image.abc.com

      说明 证书购买完成后,您需要申请证书并填写要保护的域名,阿里云会对您填写的域名数量和域名类型进行校验。
      阿里云多域名证书支持追加域名,但首次申请证书时必须填写2个以上的域名。例如:您购买了多域名证书保护10个域名,那么首次申请证书、在填写证书绑定域名时,您如果填写了3个域名并提交申请,后期如果您需要再保护其他的域名,请提交工单(本示例中,您可追加不超过7个域名)。首次申请证书必须填写2个以上域名

      由于CA中心的规定,如果您在首次申请证书时,只填写并提交了1个域名,该证书将会变成单域名证书,后期您将无法追加域名申请保护其他的域名。

      追加域名后,会重新签发证书,新追加的域名必须安装重新签发的证书。重新签发的证书到期时间与原证书相同,私钥与原证书相同,原证书仍然可用。

      建议一次完成剩下所有域名的追加,因为证书有效期与最先签发的证书有效期一致,越晚追加剩下的域名,您新签发的证书能使用的有效期就越短。

  3. 选择证书类型。阿里云SSL证书服务提供DV、EV、OV类型证书。
    选择不同类型的证书,后续在购买完成后申请证书的时候,您需要提供的审核材料也不同。需提交的审核材料参见申请证书需要提交的材料
    数字证书 用户建议 公信等级 认证强度 安全性 可信度
    DV SSL 个人 一般 网站真实性 一般 常规
    OV SSL 组织、企业 组织及企业真实性
    EV SSL 大型企业金融机构 最高 严格认证 高(地址栏绿色)
    不同类型证书安装到服务器上后,在网页上显示的效果如下。
    • DV/OV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:阿里云OV和EV证书展示效果
    • EV SSL数字证书部署在服务器上后,用户浏览器访问网站时,展示如下:阿里云EV证书展示效果
  4. 选择证书品牌(CA供应商)。详情参见阿里云证书品牌
  5. 选择购买数量购买时长
    • 购买数量:每个类型的证书最多支持购买10个。
    • 购买时长:购买证书的有效期,最多支持购买2年。
    说明
    • SSL证书有效期为1-2年,不同的证书类型有效期不同。证书过期前您需提前对证书续费和完成续费申请,并安装续费购买的证书。详细信息参见到期续费。如果购买时长选择1年,您的证书每1年重新申请、审核、安装一次;如果购买时长选择2年,您的证书每2年重新申请、审核、安装一次。如需减少审核流程,建议选择2年。
    • 证书有效期从审核通过之后开始计算。
    • 出于安全考虑,Symantec免费版DV SSL通配符DV SSL证书限定最长申请年限为1年。
  6. 单击立即购买,完成支付。

后续步骤

SSL证书购买完成后,您还需提交证书申请信息并完成审核才可获取SSL证书并应用到云产品。

提交证书申请时,您需准备相应审核材料,上传电子版审核材料并提交审核。需提交的审核材料参见申请证书需要提交的材料。完成申请审核并签发后即可应用到您的Web服务器和云产品。

阿里云证书品牌

目前,支持阿里云颁发数字证书的安全CA中心(证书品牌)包括:
  • Symantec:赛门铁克(Symantec)是全球第一大数字证书颁发机构、全球最值得信赖的SSL证书品牌,所有证书都采用业界领先的加密技术,为不同的网站和服务器提供安全解决方案。
  • CFCA: 中国金融认证中心(CFCA)通过国际WebTrust认证,遵循全球统一鉴证标准,是国际CA浏览器联盟组织成员。CFCA全球信任SSL证书,由中国权威数字证书认证机构自主研发,纯国产证书。CFCA提供7x24小时金融级的安全保障服务,且有完善的风险承保计划。提供中文版全球信任体系电子认证业务规则(CPS),便于用户理解双方权利和义务。
    说明 CFCA服务器证书目前不支持苹果iOS 10.1及10.1以前的版本,不支持安卓6.0及以前的版本。
  • GeoTrust: GeoTrust 是全球第二大数字证书颁发机构, 也是身份认证和信任认证领域的领导者,采用各种先进的技术使任何大小的机构和公司都能安全、低成本地部署SSL数字证书和实现各种身份认证。
  • GlobalSign: GMO GlobalSign是全球最早的数字证书认证机构之一,一直致力于网络安全认证及数字证书服务,是一个备受信赖的CA和SSL数字证书提供商。
说明 不同品牌(CA供应商)提供的证书类型不同,例如GlobalSign目前仅提供专业版OV型证书。

专家人工指导服务

如果您对如何选择证书仍然存在疑问,推荐您使用专家人工服务,帮您选购证书,并完成DNS或者文件验证。