正式证书的有效期限为一年,为避免网站因证书过期导致服务中断和安全风险,请注意SSL证书的剩余有效时长,并在证书到期前完成续费。续费后的新证书与旧证书相互独立,证书续费后,需要重新申请并部署续费后的证书。本文将介绍SSL证书续费的具体步骤,并简要介绍签发后的验证与部署流程,帮助您顺利完成证书更新。
续费流程
SSL证书的“续费”,实际上是续费后重新签发一张新证书,而非直接延长原证书的有效期。新证书签发后,旧证书在有效期内依然可用。此过程包含以下环节:
提交续费申请:续费购买后,重新提交一个新的证书申请。
验证域名所有权:再次完成域名所有权验证。
部署新证书:新证书签发后,必须使用新证书替换服务器或云产品上已部署的旧证书。
续费条件
续费前请先确认以下条件是否满足:
证书状态:
仅支持为有效期内(已签发、即将过期)的证书续费。
重要已过期的证书无法续费,需重新购买。
证书类型:
不支持为个人测试证书、混合域名证书和用户上传的第三方证书(即上传证书)续费,需重新购买。个人测试证书即将过期时请参考个人测试证书即将过期处理方法处理。
规格变更:
新证书将完全沿用原证书的规格,续费时无法更改证书规格(如证书品牌、域名类型等)。如需更改,请重新购买。
剩余有效期补齐规则
CA/B(证书颁发机构/浏览器论坛)规定,新签发的证书有效期最长为 397 天(约 13 个月)。续费并签发新证书后,会将旧证书剩余的有效期(上限为30天)叠加到新证书上,以保证新旧证书有效期的无缝衔接。下图展示了一张有效期从2024年10月1日到2025年10月1日的“旧证书”,续费或直接购买新证书的场景示意图:
场景1:窗口期内续费
用户在窗口期内的9月10日进行续费时,旧证书此时剩余20天有效期,这20天将被补齐到新证书上。因此,新证书获得了385天(标准365天 + 补齐的20天)的总有效期。
场景2:直接购买
作为对比,如果用户选择在8月15日直接购买一个新证书,而不是在窗口期内续费,那么旧证书的剩余有效期不会被补齐。新证书将仅有标准的365天有效期。
直接购买并签发的新证书,旧证书的剩余有效期不会叠加至新证书,因此会导致旧证书的剩余有效期无法被利用。
步骤一:提交续费申请
根据旧证书的剩余有效期,续费操作分为两种场景。
即将过期证书续费(剩余有效期≤30天):
证书有效期不超过30天时,将被标记为即将过期状态,并开放续费购买入口。续费后将立即向CA机构发起新证书的申请流程。
提前续费(剩余有效期>30天):
续费后阿里云将通过托管服务管理您的证书。当证书有效期不超过30天时,系统将自动发起续费申请流程。
即将过期证书续费
证书的剩余有效期不超过30天时,表明证书即将到期,请及时进行续费,以保证网站数据传输的安全性。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在SSL证书管理页面的正式证书页签,在证书列表中定位至状态为即将过期的证书,在操作列单击续费购买。
在证书续费面板,确认新证书的CSR生成方式、域名验证方式、续费年限等申请信息,并单击立即续费。
CSR生成方式:
选择 CSR 生成方式,即选择在何处生成私钥。CSR(证书签名请求)是向CA机构申请证书的正式文件,其中包含证书绑定的域名、公钥、主体信息,并由您的私钥签名。
系统生成(默认)
系统将生成并安全托管全新的密钥对(密钥算法与旧证书相同),并使用其创建新的CSR。
说明此方式符合密钥轮换的最佳安全实践。
手动填写
使用自有环境中生成的CSR文件,请将文件内容填写至CSR文件内容一栏。使用此方式签发的证书将不能通过控制台部署至阿里云产品中。如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请确保手动填写的CSR使用的加密算法与旧证书密钥算法一致,否则将无法顺利提交证书审核。可以通过查看CSR工具来确认CSR使用的加密算法,详见证书工具。
请妥善保管私钥文件,阿里云不负责保管私钥,如果私钥丢失,必须重新购买SSL证书。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。
原密钥更新
沿用原证书的密钥对生成新的CSR文件并签发新证书。
重要此方式不符合密钥轮换最佳实践,可能不满足部分行业合规要求。
域名验证方式:
选择验证域名持有者身份的方式,默认与旧证书的验证方式一致。
联系人:
新证书提交审核后,CA机构会向此联系人邮箱发送证书申请验证邮件,或直接通过手机号码沟通审核相关事宜,请务必确保联系人信息准确有效。
续费年限:
续费完成后,不同续费年限对应的证书状态如下:
1年
旧证书下方将会生成一个状态为申请审核中的新证书,旧证书有效期不变。请及时完成域名所有权验证,等待CA机构审核通过后签发新证书即可。
说明续费购买时默认选择与旧证书完全相同的购买配置。
2年或3年
以续费2年为例,续费后将在旧证书下方生成一个状态为申请审核中的新证书和一个未激活的新证书,旧证书有效期不变。
说明未激活的新证书将在前一张证书有效期小于30天时,自动通过托管服务进入证书申请阶段。
取消未激活的证书后会返还证书额度和托管服务次数。
如果第一张证书部署过云产品资源,第二张证书将继承该证书部署的云产品资源列表,自动创建并启动托管部署任务。新证书签发后,将通过云产品托管部署自动部署至对应的云产品。
提前续费
旧证书的剩余有效期大于30天时,阿里云将通过托管服务管理您的证书。旧证书即将到期(有效期小于30天)时自动申请新的证书,并补齐旧证书剩余有效期。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在SSL证书管理页面的正式证书页签,在证书列表中定位至状态为已签发的证书,在操作列单击续费。
说明如果操作列未找到续费,请单击。
在续费页签,单击立即购买,在证书续费面板,选择续费年限后,单击立即续费。
说明续费将消耗已有证书和托管服务额度,额度不足时会提示您支付购买。
续费后旧证书下方将生成一个状态为未激活的新证书,旧证书有效期不变。旧证书有效期小于30个自然日时,未激活证书将进入证书申请阶段,完成域名所有权验证且审核通过后,将会签发新证书。
说明未激活的新证书将在前一张证书有效期小于30天时,自动通过托管服务进入证书申请阶段。
如果取消未激活状态的证书,系统将返还相应的证书额度和托管服务次数。
如果第一张证书部署过云产品资源,第二张证书将继承该证书部署的云产品资源列表,并自动创建并启动托管部署任务。新证书签发后,将通过云产品托管部署自动部署至对应的云产品。
步骤二:验证域名所有权
提交续费申请后,需完成域名所有权验证。
未激活状态的证书将在旧证书有效期不足30天时,自动通过托管服务进入申请流程,届时需要您配合完成域名所有权验证。
步骤三:部署并验证新证书
续费证书签发后,必须将其部署到Web应用服务器或云产品上以替换旧证书,新证书才能生效。
部署新证书
请参考SSL 证书部署方案选型文档,将新签发的证书部署至Web应用服务器或云产品上,替换掉即将过期的旧证书。
验证部署结果
续费证书部署至Web服务器后,可使用浏览器访问网站,通过浏览器的证书查看器查看证书的有效期。以Chrome浏览器为例,查询步骤如下:
在浏览器地址栏输入域名访问网站。
https://yourdomain #将yourdomain替换为您的实际域名单击
图标,然后单击连接是安全的。
单击证书有效。如果证书有效期已显示为新证书的有效期,即表示续费证书已完成更新。
常见问题
续费与重新购买的区别是什么?
主要区别在于是否补齐旧证书的有效期。
证书续费:通过续费操作签发的新证书,可以叠加旧证书最长30天的剩余有效期,实现新、旧证书的平滑过渡。
直接购买:直接购买新证书,证书的有效期将从签发日开始计算,且无法叠加旧证书的剩余有效期,造成证书有效期的浪费。
续费并支付成功后,为什么网站访问时仍然提示证书即将过期?
续费完成后签发的是一张全新的证书,必须将新证书部署到Web应用服务器或云产品上,替换即将过期的旧证书。更多相关内容,详见步骤三:部署并验证新证书。
为什么在证书列表找不到“续费购买”或续费入口?
请检查当前证书是否符合续费条件章节中列出的要求。可能有以下几种常见原因:
证书已过期,无法续费。
证书类型不支持续费(如混合域名证书、个人测试证书和用户上传的证书)。
我的证书已过期导致服务中断,如何进行紧急处理以快速恢复服务?
如果因证书过期导致网站或应用无法访问,请遵循以下应急步骤,以最快速度恢复服务:
立即购买新证书
为尽快恢复服务,请立即下单购买一张支持快速验证和签发的DV(域名验证型)证书。
选择 DNS 验证方式
在申请证书的验证环节,请优先选择 DNS 验证。此方式的验证速度最快,系统通常可在 1-10 分钟内自动完成域名所有权校验。
准备部署工作
在等待证书签发(通常为1-15分钟)的间隙,请提前准备服务器的部署工作。例如,定位到旧证书的存储目录,以便新证书签发后能立即进行替换操作。
签发后立即部署
一旦收到证书签发的通知,请立即下载新的证书文件,并将其部署到 Web 应用服务器(如 Nginx、Apache 等)或云产品上。替换完成后,重启相关服务使新证书生效,并立即验证您的网站/服务是否已恢复正常访问。
(重要)规划替换临时证书
以上恢复方案中购买的 DV 证书仅作为临时应急方案,缺乏原有证书(如 OV/EV 型)所具备的安全等级和严格企业身份验证。服务恢复后须立即重启原规格证书的申请流程,并在新证书签发后尽快替换临时的DV证书,以使业务完全恢复。