正式证书的有效期限为一年,为避免网站因证书过期导致服务中断和安全风险,请注意SSL证书的剩余有效时长,并在证书到期前完成续费。续费后的新证书与旧证书相互独立,证书续费后,需要重新申请并部署续费后的证书。本文将介绍SSL证书续费的具体步骤,并简要介绍签发后的验证与部署流程,帮助您顺利完成证书更新。个人测试证书即将过期时请参考个人测试证书即将过期处理方法处理。
续费流程
SSL证书的“续费”,实际上是续费后重新签发一张新证书,而非直接延长原证书的有效期。新证书签发后,旧证书在有效期内依然可用。此过程包含以下环节:
提交续费申请:完成续费购买后,向证书颁发机构(CA)提交新的证书申请。
验证域名所有权:按照 CA 的要求,完成域名所有权验证。
部署并验证新证书:新证书签发后,必须将其部署到服务器或云产品,替换旧证书。
直接购买并签发的新证书,和旧证书没有任何关联,即旧证书的剩余有效期不会叠加至新证书,因此会导致旧证书有效期的浪费。
续费条件
续费前请先确认以下条件是否满足:
证书状态:
仅支持为有效期内(已签发、即将过期)的证书续费。
重要已过期的证书无法续费,需重新购买。
证书类型:
不支持为个人测试证书、混合域名证书和用户上传的第三方证书(即上传证书)续费,需重新购买。个人测试证书即将过期时请参考个人测试证书即将过期处理方法处理。
规格变更:
新证书将完全沿用原证书的规格,续费时无法更改证书规格(如证书品牌、域名类型等)。如需更改,请重新购买。
剩余有效期补齐规则
CA/Browser Forum(证书颁发机构/浏览器论坛)规定,签发的证书有效期最长为 397 天(约 13 个月)。续费并签发新证书后,旧证书的剩余有效期(最多30天)将叠加到新证书的有效期中,确保新旧证书有效期无缝衔接。
场景示例
本示例基于一张有效期为2024-10-01至2025-10-01的旧证书,展示续费与直接购买的处理差异。
为便于理解,以下示例均假定证书在购买或续费后立即签发成功。
场景1:窗口期内续费(剩余有效期≤30天)
2025-09-10续费并签发,新证书结转旧证书剩余的20天。新证书总有效期为385天(标准365天 + 补齐20天)。
场景2:提前续费(剩余有效期>30天)
2025-08-15提交续费,系统将在旧证书剩余有效期≤30天时自动提交签发(2025-09-01)。新证书结转30天,总有效期395天(标准365天 + 补齐30天)。
场景3:直接购买
2025-08-15直接购买并签发新证书,不结转旧证书的剩余有效期。新证书有效期为365天。
步骤一:提交续费申请
根据旧证书的剩余有效期,续费操作分为两种场景。
窗口期内续费(剩余有效期≤30天):
证书有效期不超过30天时,将被标记为即将过期状态,并开放续费购买入口。续费后将立即向CA机构发起新证书的申请流程。
提前续费(剩余有效期>30天):
续费后阿里云将通过托管服务(收费)管理您的证书,续费费用中包含了证书和托管服务的费用。当证书有效期不超过30天时,阿里云将自动发起续费申请流程。
即将过期证书续费
证书的剩余有效期不超过30天时,表明证书即将到期,请及时进行续费,以保证网站数据传输的安全性。
进入SSL证书管理页面,在正式证书页签下的证书列表中,定位至状态为即将过期的证书,在操作列单击续费购买。
在证书续费面板,确认新证书的CSR生成方式、域名验证方式、续费年限等申请信息,并单击立即续费。
CSR生成方式:
选择 CSR 生成方式,即选择在何处生成私钥。CSR(证书签名请求)是向CA机构申请证书的正式文件,其中包含证书绑定的域名、公钥、主体信息,并由您的私钥签名。
系统生成(默认)
系统将生成并安全托管全新的密钥对(密钥算法与旧证书相同),并使用其创建新的CSR。
说明此方式符合密钥轮换的最佳安全实践。
手动填写
使用自有环境中生成的CSR文件,请将文件内容填写至CSR文件内容一栏。使用此方式签发的证书将不能通过控制台部署至阿里云产品中。如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请确保手动填写的CSR使用的加密算法与旧证书密钥算法一致,否则将无法顺利提交证书审核。可以通过查看CSR工具来确认CSR使用的加密算法,详见证书工具。
请妥善保管私钥文件,阿里云不负责保管私钥,如果私钥丢失,必须重新购买SSL证书。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。
原密钥更新
沿用原证书的密钥对生成新的CSR文件并签发新证书。
重要此方式不符合密钥轮换最佳实践,可能不满足部分行业合规要求。
域名验证方式:
选择验证域名持有者身份的方式,默认与旧证书的验证方式一致。
联系人:
新证书提交审核后,CA机构会向此联系人邮箱发送证书申请验证邮件,或直接通过手机号码沟通审核相关事宜,请务必确保联系人信息准确有效。
续费年限:
续费完成后,不同续费年限对应的证书状态如下:
1年
旧证书下方将会生成一个状态为申请审核中的新证书,旧证书有效期不变。请及时完成域名所有权验证,等待CA机构审核通过后签发新证书即可。
说明续费购买时默认选择与旧证书完全相同的购买配置。
2年或3年
以续费2年为例,续费后将在旧证书下方生成一个状态为申请审核中的新证书和一个未激活的新证书,旧证书有效期不变。
说明未激活的新证书将在前一张证书有效期小于30天时,自动通过托管服务进入证书申请阶段。
取消未激活的证书后会返还证书额度和托管服务次数。
如果第一张证书部署过云产品资源,第二张证书将继承该证书部署的云产品资源列表,自动创建并启动托管部署任务。新证书签发后,将通过云产品托管部署自动部署至对应的云产品。
提前续费
旧证书的剩余有效期大于30天时,阿里云将通过托管服务管理您的证书。旧证书即将到期(有效期小于30天)时自动申请新的证书,并补齐旧证书剩余有效期。
进入SSL证书管理页面,在正式证书页签下的证书列表中,定位至状态为已签发的证书,在操作列单击续费。
说明如果操作列未找到续费,请单击。
在续费页签,单击立即购买,在证书续费面板,选择续费年限后,单击立即续费。
说明续费将消耗已有证书和托管服务额度,额度不足时会提示您支付购买。
续费后旧证书下方将生成一个状态为未激活的新证书,旧证书有效期不变。旧证书有效期小于30个自然日时,未激活证书将进入证书申请阶段,完成域名所有权验证且审核通过后,将会签发新证书。
说明未激活的新证书将在前一张证书有效期小于30天时,自动通过托管服务进入证书申请阶段。
如果取消未激活状态的证书,系统将返还相应的证书额度和托管服务次数。
如果第一张证书部署过云产品资源,第二张证书将继承该证书部署的云产品资源列表,并自动创建并启动托管部署任务。新证书签发后,将通过云产品托管部署自动部署至对应的云产品。
步骤二:验证域名所有权
提交续费申请后,证书状态变为申请审核中时,需完成域名所有权验证。
未激活状态的证书将在旧证书有效期不足30天时,自动通过托管服务进入申请流程,届时需要您配合完成域名所有权验证。
步骤三:部署并验证新证书
续费证书签发后,必须将其部署到Web应用服务器或云产品上以替换旧证书,新证书才能生效。
部署新证书
请参考SSL 证书部署方案选型文档,将新签发的证书部署至Web应用服务器或云产品上,替换掉即将过期的旧证书。
验证部署结果
续费证书部署至Web服务器后,可使用浏览器访问网站,通过浏览器的证书查看器查看证书的有效期。以Chrome浏览器为例,查询步骤如下:
在浏览器地址栏输入域名访问网站。
https://yourdomain #将yourdomain替换为您的实际域名单击
图标,然后单击连接是安全的。
单击证书有效。如果证书有效期已显示为新证书的有效期,即表示续费证书已完成更新。
常见问题
续费与重新购买的区别是什么?
主要区别在于是否补齐旧证书的有效期。
证书续费:通过续费操作签发的新证书,可以叠加旧证书最长30天的剩余有效期,实现新、旧证书的平滑过渡。
直接购买:直接购买新证书,证书的有效期将从签发日开始计算,且无法叠加旧证书的剩余有效期,造成证书有效期的浪费。
续费并支付成功后,为什么网站访问时仍然提示证书即将过期?
续费完成后签发的是一张全新的证书,必须将新证书部署到Web应用服务器或云产品上,替换即将过期的旧证书。更多相关内容,详见步骤三:部署并验证新证书。
为什么在证书列表找不到“续费购买”或续费入口?
请检查当前证书是否符合续费条件章节中列出的要求。可能有以下几种常见原因:
证书已过期,无法续费。
证书类型不支持续费(如混合域名证书、个人测试证书和用户上传的证书)。
我的证书已过期导致服务中断,如何进行紧急处理以快速恢复服务?
若因证书过期导致服务中断,请遵循以下应急流程快速恢复服务,后续再替换为正式证书。
申请临时证书:立即申请一张DV(域名验证型)证书作为应急方案。DV证书验证简单,签发速度最快。
选择DNS验证:在验证环节优先选择DNS验证方式,通常可在10分钟内完成域名所有权校验。
准备部署:在等待证书签发期间,定位服务器上旧证书的存储位置,为后续替换做准备。
部署新证书:新证书签发后,立即将其部署到 Web 应用服务器(如 Nginx、Apache 等)或云产品中,使新证书生效。
替换为正式证书:DV证书仅为临时应急方案。服务恢复后,请尽快申请原规格证书(如OV/EV型)并进行替换。