本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
创建证书后,您需要根据不同的证书类型填写相应的信息(证书绑定的域名或IP、域名验证方式、证书联系人以及公司和营业执照等)并提交证书申请审核。审核通过后,才会为您签发证书。
前提条件
已创建SSL正式证书或个人测试证书,且证书状态为待申请。关于如何创建证书,请参见步骤一:创建证书。
申请正式证书
正式证书包含DV、EV、OV三种证书类型,在提交证书申请时,您需要根据不同的证书类型填写相应的信息并提交给CA机构审核。这些信息涵盖了证书绑定的域名或IP、域名验证方式、证书联系人以及公司和营业执照等内容。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
单击正式证书页签,在目标证书操作列的证书申请,或将鼠标悬停在目标证书状态列的
图标,单击证书申请。
在证书申请面板中,完成以下配置并单击提交审核。
说明阿里云数字证书管理服务会将您提交的申请信息(证书绑定的域名、联系人信息等)发送到CA中心进行审核。如果您申请的是非国产品牌的证书(例如GeoTrust、DigiCert等),您的申请信息会被发送到中国境外的CA公司。
DV证书申请信息
配置项
描述
证书绑定域名
填写证书用于保护的网站域名。
将光标放置在
图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。重要域名类型必须与您购买证书时选择的域名类型相同。
填写通配符域名时,一定要加上通配符号(
*)。例如,*.aliyundoc.com。如需了解更多关于通配符域名匹配和赠送规则,请参见通配符域名证书都支持哪些域名?。
仅GlobalSign品牌的证书支持绑定
.ru后缀的域名。如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换。
仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。
域名验证方式
选择验证域名持有者身份的方式。
如果当前阿里云账号与域名的云解析DNS服务所在账号一致,则此处自动匹配自动DNS验证方式,无需您手动配置。该方式由阿里云自动为您完成域名验证。
警告请确保DNS中的域名与SSL证书绑定的域名一致,否则会导致验证失败。更多关于域名解析失败的问题,请参见域名所有权验证相关问题。
联系人
从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
重要收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。
如果您未创建过联系人,可以单击新建联系人,新建一个联系人。您也可以单击目标联系人的编辑按键,修改现有联系人的信息。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人。
所在地
选择申请人所在城市或地区。
密钥算法
选择证书使用的密钥算法。
该参数也可指定自动生成CSR时使用的密钥算法。可选项:
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。
相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,在中国商用密码体系中用来替代RSA算法。
重要目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见根据证书加密算法选择证书。
CSR生成方式
CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。
您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。
您可以选择以下CSR生成方式:
系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。
手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。
您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。
请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情。
在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。
选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
OV证书申请信息
配置项
描述
证书绑定域名
填写证书用于保护的网站域名。
将光标放置在
图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。重要域名类型必须与您购买证书时选择的域名类型相同。
填写通配符域名时,一定要加上通配符号(
*)。例如,*.aliyundoc.com。如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换。
仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。
联系人
从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
重要收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。
如果您未创建过联系人,可以单击新建联系人,新建一个联系人。您也可以单击目标联系人的编辑按键,修改现有联系人的信息。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人。
公司
从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。
如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。您也可以单击目标公司的编辑按键,修改现有公司的信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见管理公司信息。
如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。
营业执照
选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。
密钥算法
选择证书使用的密钥算法。
该参数也可指定自动生成CSR时使用的密钥算法。可选项:
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。
相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,在中国商用密码体系中用来替代RSA算法。
重要目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见根据证书加密算法选择证书。
CSR生成方式
CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。
您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。
您可以选择以下CSR生成方式:
系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。
手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。
您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。
请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情。
在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。
选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
EV证书申请信息
配置项
描述
证书绑定域名
填写证书用于保护的网站域名。
将光标放置在
图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。重要域名类型必须与您购买证书时选择的域名类型相同。
填写通配符域名时,一定要加上通配符号(
*)。例如,*.aliyundoc.com。如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换。
仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。
联系人
从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
重要收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。
如果您未创建过联系人,可以单击新建联系人,新建一个联系人。您也可以单击目标联系人的编辑按键,修改现有联系人的信息。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人。
公司
从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。
如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。您也可以单击目标公司的编辑按键,修改现有公司的信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见管理公司信息。
如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。
营业执照
选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。
密钥算法
选择证书使用的密钥算法。
该参数也可指定自动生成CSR时使用的密钥算法。可选项:
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。
相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,在中国商用密码体系中用来替代RSA算法。
重要目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见根据证书加密算法选择证书。
CSR生成方式
CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。
您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。
您可以选择以下CSR生成方式:
系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。
手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。
您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。
请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情。
在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。
选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
银行开户许可证
只有申请GeoTrust、DigiCert品牌证书时,需要提供该信息。
您需要提前将公司银行开户许可证的扫描件保存在本地计算机,然后单击上传文件,从本地计算机上传所需扫描件。
说明扫描件必须是PNG或JPEG格式,且大小不能超过500 KB。
申请表
律师证
律师函
经办人身份证或护照
只有申请CFCA品牌证书需要填写:
说明申请表、律师证、律师函、经办人身份证、经办人护照的扫描件必须是PNG或JPEG格式,且大小不能超过500 KB。
确认证书申请信息后,您需要进行域名所有权验证。不同证书类型域名验证方式不同,关于域名所有权验证的更多介绍,请参见域名所有权验证。
申请个人测试证书
个人测试证书是阿里云为个人网站、开发测试或企业用户建设之初提供的SSL证书,以满足其对HTTPS数据加密传输的基本要求,目前个人测试证书类型仅支持DV类型。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在个人测试证书(原免费证书)页签,单击目标证书操作列的证书申请,或将鼠标悬停在目标证书状态列的
图标,单击证书申请。在证书申请面板中,完成以下配置并单击提交审核。
配置项
描述
证书绑定域名
填写证书用于保护的网站域名。申请个人测试证书时,此处只可以填写一个单域名,例如,
aliyundoc.com。重要不支持后缀为特殊词的域名申请个人测试证书。例如
.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等等。不支持为公网IP申请个人测试证书。
不支持申请通配符、混合域名证书。
如需为特殊域名或公网IP申请证书,或申请通配符及混合域名证书,请购买正式证书。具体操作,请参见购买SSL证书(额度)。
域名验证方式
联系人
从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。创建、修改和删除联系人,请参见管理联系人。
重要该联系人信息后续将用于证书申请的验证和审核、技术支持沟通和证书业务相关提醒等,请您务必提供真实、有效的联系人信息。
所在地
选择申请人所在城市或地区。
密钥算法
选择证书使用的密钥算法。
该参数也可指定自动生成CSR时使用的密钥算法。可选项:
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。
相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,在中国商用密码体系中用来替代RSA算法。
重要目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见根据证书加密算法选择证书。
CSR生成方式
CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。
您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。
您可以选择以下CSR生成方式:
系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。
手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。
您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。
请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情。
在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。
选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
按照验证信息中的提示,完成域名所有权的验证。
域名所有权验证成功后,个人测试证书通常会在1~15分钟内完成签发。证书签发后,证书状态将变更为已签发。如果在2个自然日内未完成签发自动审核失败,请您检查DNS验证配置是否正确。域名所有权验证更多信息和常见报错,请参见域名所有权验证。
证书审核时长
证书类型 | 审核签发时长 |
DV(域名型) | 提交证书申请后,在信息填写正确的情况下,证书平均签发时长为1~15分钟。 说明 如果证书在2个自然日内未签发,则自动审核失败。 |
OV(企业型)、EV(企业增强型) | 提交证书申请后,在信息填写正确且积极配合CA中心验证的情况下,证书平均签发时长为5个自然日。 重要
|
相关操作
证书签发前
在证书签发前,如果您需要修改证书申请信息,可以撤回申请,并在修改申请信息后重新提交申请。证书签发后将无法撤回申请。
提交证书申请后,您可以在证书状态栏查看证书审核的具体进度。单击
图标后,在提示信息对话框中单击查看进度,查看当前证书审核的具体进度。
由于CA中心审核DV、OV、EV证书的具体方式不同,在此阶段您需要执行不同的操作来配合CA中心进行资质认证,确保证书能顺利签发。以下表格描述了您需要执行的具体操作。
证书类型
后续步骤
DV证书
耐心等待CA中心审核您的证书申请,并在审核通过后为您签发证书。
您可以在证书列表中查看证书的状态。证书签发后,证书状态将变更为已签发。
OV、EV证书
CA中心将在收到您的证书申请后,开始证书资质的验证。只有验证通过后,CA中心才会为您签发证书。不同CA中心的要求有区别,验证所需时间不完全相同。
成功提交证书申请后,您需要配合CA中心审核人员完成以下验证:
域名验证:CA中心收到您的证书申请后,将向您的联系人邮箱发送一封域名验证邮件。您需要按照如下流程进行域名验证。
电话验证:根据CA中心的要求不同,CA中心工作人员可能会通过联系人电话联系您,验证您的证书申请信息。请保持联系人电话畅通,能够正常接听CA中心的验证电话。
证书申请验证通过后,您可以在证书列表中查看证书的状态。证书签发后,证书状态将变更为已签发。
如果证书申请验证不通过,证书状态将变更为审核失败。您可以在状态列,单击
图标,并在提示信息对话框中单击查看原因,即可在创建证书面板查看当前证书审核失败的原因。您需要根据失败原因,修改导致审核失败的申请信息(尤其是企业资质审核信息),然后重新提交证书申请。如果您根据失败信息仍然定位不到问题,您可以在状态列,单击
图标,并在提示信息对话框中单击申请协助服务,在申请协助服务页签购买协助申请服务。证书签发后
证书签发后,证书状态将变更为已签发。您可以在操作列,单击更多,查看证书详情或下载证书。
相关文档
如果您证书状态在申请审核中,但是因为业务调整不再需要此证书,完成支付后的7个自然日内可申请退款,退款详细流程请查看证书退款指引。