SSL 证书选型指南-数字证书管理服务（原SSL证书）-阿里云

选择合适的 SSL 证书对保障网站安全、建立访客信任及满足合规要求至关重要。错误的选型可能导致服务中断、安全漏洞或不必要的成本支出。本文通过业务场景驱动的快速匹配与结构化参数决策流程，帮助精准识别所需证书的验证等级、域名类型、加密算法及品牌，从而高效选出兼顾安全性、兼容性与成本效益的最优方案。

重要

数字证书管理服务已于2024年06月下旬将SSL免费证书更名为个人测试证书（免费版），将升级证书（有效期12个月）变更为个人测试证书（pro）。免费证书更名通知，请参见【通知】免费证书更名。

快速选型

场景一：个人项目、开发测试或非商业性网站

适用场景：个人博客、作品集展示、本地开发环境、CI/CD 测试流水线、教学演示等非商业、非生产用途。
核心需求：低成本、快速部署、无需高可用保障。
推荐证书类型：
- 个人测试证书（免费版）：适用于对成本敏感的用户，有效期为 90 天，每个自然年最多可申请 20 张，到期后需手动重新申请。
- 个人测试证书（pro）：适用于希望降低运维频率的用户，有效期为 1 年，价格较低，可减少续签操作。
说明
个人测试证书（免费版）和个人测试证书（pro）均为 DigiCert 品牌的 DV 单域名证书。
注意事项：
- 两类证书均不提供SLA服务等级协议保障。严禁用于任何对可用性有要求的生产环境业务。
- 两类证书的更多限制和特点可参见个人测试证书与正式证书对比。

场景二：中小型企业官网、电商、小程序等生产业务

适用场景：企业官方网站、中小型电商平台、微信小程序后端服务、SaaS 应用入口等面向公众的生产系统。
核心需求：稳定 HTTPS 加密、适度信任展示、高性价比。
推荐证书类型：DV 通配符证书或 OV 单域名证书。
验证等级：DV 或 OV。
域名支持：通配符（*.aliyundoc.com）或单域名。
推荐品牌：国际品牌（Rapid、GeoTrust、DigiCert）、国产品牌（WoSign、vTrus）。
注意事项：
- 若需保护多个子域名，优先选择通配符证书。
- 若需在证书中展示企业信息以增强用户信任，应选择 OV 证书。

场景三：金融、政府、大型企业或高信任度业务

适用场景：网上银行、证券交易系统、政务服务平台、大型企业客户门户、支付网关等对安全与合规要求极高的关键业务系统。
核心需求：最高信任背书、行业合规性、品牌公信力。
推荐证书类型：EV 证书或 OV 证书。
验证等级：EV / OV。
域名支持：单域名或多域名（依业务架构而定）。EV 证书不支持通配符域名（行业标准限制）；如需通配符证书，请选择 OV 类型。
推荐品牌：国际品牌（GeoTrust、GlobalSign、DigiCert）、国产品牌（CFCA、vTrus）。
注意事项：
- 主流现代浏览器（如 Chrome、Edge、Safari 等）已取消地址栏直接显示企业名称（绿色地址栏）的功能，企业信息现移至证书详情面板中展示。
- EV 证书仍具备最高等级的身份认证标准，具备完整的法律效力，是金融与政务系统防范钓鱼攻击、建立用户信任的首选。

行业案例：

行业	案例	证书品牌	证书类型	加密算法	域名类型
金融、银行	中国银行	DigiCert	EV	RSA	单域名
教育、政府、互联网	阿里云、淘宝、天猫	GlobalSign	OV	RSA	通配符域名
	新浪、今日头条	GeoTrust
	上海黄金交易所	CFCA

场景四：特殊需求（国密合规或IP地址）

需满足国密 SM2 合规要求（如政务、金融）

适用场景：依据《商用密码管理条例》需采用国密算法（SM2）的政务云平台、金融信息系统、关键基础设施等。
推荐证书类型：SM2 国密证书。
验证等级：OV / EV（依品牌而定）。
域名支持：单域名 / 通配符。
推荐品牌：vTrus、CFCA、WoSign。
注意事项：使用 SM2 证书前，请确保服务器端已部署支持国密 SSL/TLS 协议栈的软件（如 Tongsuo、国密版 Nginx）。

服务通过公网 IP 地址访问（无域名）

适用场景：直接通过公网 IPv4 地址提供服务的设备或系统（如 IoT 网关、边缘服务器、遗留系统），且无法配置域名。
推荐证书类型：OV 单域名证书（支持 IP）。
验证等级：OV。
域名支持：公网 IPv4 地址（仅限特定品牌）。
推荐品牌：国际品牌（GlobalSign、DigiCert、GeoTrust）、国产品牌（vTrus、CFCA）。
注意事项：仅GlobalSign、DigiCert、GeoTrust、vTrus、CFCA品牌的OV单域名类型证书支持绑定IP。

说明

如果以上示例仍无法匹配您的实际业务需求，您可以继续阅读下方的进阶选型章节。也可以访问产品详情页或通过产品控制台的专家一对一服务入口，进行技术专家评测咨询。

选型参数详解

选型流程

根据实际的业务需求，按以下步骤逐步确定所需证书的核心参数：

第一步：确定证书分类
- 仅用于个人项目、开发测试、学习演示？ → 选择个人测试证书（免费版或 Pro 版）。
  说明
  个人测试证书（免费版或 Pro 版）仅支持 DV 验证等级和RSA 加密算法。
- 用于生产环境、对外提供服务？ → 选择正式证书，进入第二步。
第二步：确定验证等级
- 仅需基础 HTTPS 加密，无需展示企业信息？ → 选择 DV（域名验证型）。
- 希望在证书中展示企业身份以增强用户信任？ → 选择 OV（组织验证型）。
- 属于金融、政务、支付等高合规要求场景？ → 选择 EV（扩展验证型）。
说明
EV 证书不支持通配符域名。
第三步：确定域名类型
- 仅保护单个域名（如 www.example.com）？ → 选择单域名证书。
- 需保护同一主域下的所有子域名（如 *.example.com）？ → 选择通配符证书。
- 需保护多个不同域名（如 a.com + b.com）？ → 选择多域名证书。
- 需混合保护通配符和单域名？ → 选择混合域名证书。
- 服务通过公网 IP 地址直接访问（无域名）？ → 需选择支持 IP 地址的证书（仅部分 OV 证书支持）。
第四步：确定加密算法
- 追求最广泛的兼容性（兼容老旧设备和浏览器）？ → 选择RSA 算法。
- 追求更高性能和更强安全性（适合移动端、IoT 等）？ → 选择ECC 算法。
- 业务有国密合规要求（政务、金融、国企等）？ → 选择SM2 算法（需配合国产品牌）。
说明
若无特殊要求，推荐选择 RSA 算法以获得最佳兼容性。
第五步：确定证书品牌
根据预算和偏好，参考价格信息，在证书品牌中进行最终选择。

证书分类（个人测试证书 / 正式证书）

数字证书管理服务（原 SSL 证书）提供两类证书：个人测试证书（原免费证书）和正式证书。其中，个人测试证书（原免费证书）包括：个人测试证书（免费版）和个人测试证书（pro）。

相关概念：

剩余有效期补齐：在旧证书到期前续费购买相同品牌和类型的新证书时，新证书的有效期将自动包含旧证书的剩余有效天数。例如：待续费的旧证书于2024年08月01日过期，若在2024年07月20日完成续费购买和签发，那么新证书的有效期为2024年07月20日~2025年08月01日。
证书合并申请：将多个品牌和验证等级相同的证书（域名）合并为一张证书进行申请和签发，简化多证书的申请和管理流程。详情可参见证书合并申请。
OCSP 稳定性：OCSP 是实时验证证书是否被吊销的协议。其稳定性指 CA 提供的查询服务是否高可用、响应快速，确保不会因服务不可用导致网站访问延迟或连接失败。

个人测试证书与正式证书对比：

重要

个人测试证书（含免费版、pro 版）禁止用于生产环境。企业级业务应使用正式证书。
个人测试证书（免费版）和个人测试证书（pro）均为 DigiCert 品牌的 DV 单域名证书。

对比项	个人测试证书（免费版、pro）	正式证书
适用场景	个人网站、开发测试。	所有生产环境业务。
SLA保障	无	提供，详情可参考相关协议。
OCSP稳定性	较弱。不保证稳定性。	高。保障稳定验证。
CA中心安全保险赔付	不支持	支持
有效期	免费版：90天 pro：1年	最长397天。
支持的加密算法	RSA	RSA、ECC，部分品牌支持 SM2。
兼容性	一般	高
多年期证书	不支持	支持最长3年的服务时长。详情可参考购买多年期SSL证书。
剩余有效期补齐	不支持	支持
证书数量限制	免费版：每个自然年可免费申请20张。 pro：无限制。	无限制
支持的域名类型	仅支持单域名。不支持后缀为特殊词的域名申请个人测试证书。例如`.edu`、`.gov`、`.org`、`.jp`、`.pay`、`.bank`、`.live`、`.nuclear`和`.ru`等。	单域名、通配符域名、多域名、混合域名。
IP证书	不支持	仅GlobalSign、DigiCert、GeoTrust、vTrus、CFCA品牌的OV单域名类型证书支持绑定IP。
支持的验证等级	DV	DV、OV、EV
支持的证书品牌	DigiCert	国际品牌：DigiCert、GeoTrust、GlobalSign、Rapid。国产品牌：vTrus、CFCA、WoSign。
证书合并申请	不支持	支持
人工客服支持	免费版：不支持。 pro：支持。	支持

验证等级（DV / OV / EV）

SSL 证书按验证等级可分为：DV（域名验证型）、OV（组织验证型）、EV（扩展验证型）。不同验证等级在审核材料、签发时长、信任展示等方面存在差异。

说明

对于不具备公司信息的个人网站，仅可申请个人测试证书或 DV（域名型）SSL 证书。

对比项	DV（域名验证型）	OV（组织验证型）	EV（扩展验证型）
适用场景	个人网站、App服务、企业测试。	政府组织、中小型企业或教育机构等。	大型企业、金融机构、电商等涉及交易支付和隐私数据的高私密网站。
验证等级	低，CA（证书颁发机构）仅验证域名所有权。	中，CA验证企业真实身份。	高，CA严格审核企业及法律身份。
验证方式及资料	DNS验证。	邮件或电话。需提交验证域名、公司信息、营业执照等。	邮件或电话。需提交验证域名、公司信息、营业执照等。 GeoTrust、DigiCert品牌还需提交银行开户许可证。 CFCA品牌还需提交申请表、律师证、律师函经办人护照。
平均签发时长	1~15分钟。	5个自然日	5个自然日

域名类型（单域名 / 通配符 / 多域名）

SSL证书需与绑定的域名或IP地址配合使用方可生效。网站所绑定的域名类型及数量，直接决定所需申请的SSL证书类型和数量。阿里云支持申请以下类型的SSL证书：单域名、多域名、通配符域名（泛域名）以及混合域名证书。下表列出了各类域名的区别及相关证书说明。

域名类型	选型说明	注意事项
单域名	一张证书仅绑定一个完整域名（如 `www.aliyundoc.com`）。	支持 DV、OV、EV 三种验证等级。
多域名	一张证书可绑定多个不同域名或 IP（默认至多5个，购买后可追加至250个）。	如需包含 IP 地址，需使用上述支持 IP 的 OV 证书品牌。
通配符域名	使用 `.aliyundoc.com` 形式，可匹配所有同级子域名。它仅能匹配通配符 `` 所在位置的单一层级。例如：通配符域名 `*.aliyundoc.com` 可以匹配 `www.aliyundoc.com`、`a.aliyundoc.com` 等子域名，但不能匹配 `a.b.aliyundoc.com`、`c.d.aliyundoc.com` 等多级子域名。	仅支持DV和OV证书。购买申请阶段，一张证书仅能包含一个通配符域名。说明如需将多张通配符域名证书合并为一张证书使用，请参见：证书合并申请。
混合域名	同一张证书中包含不同类型的域名（如 `*.aliyundoc.com`和`demo.example.com`）。说明在购买或申请证书阶段，均支持合并多个品牌及类型相同的证书，生成混合域名证书。具体操作请参见购买正式证书或证书合并申请。	OV和EV证书：所有品牌均支持合并。 DV证书：仅WoSign、GlobalSign品牌支持。 GlobalSign品牌的DV混合域名证书要求所有域名的主域名必须一致。例如，若主域名为 `aliyundoc.com`，则仅允许合并其子域名（如 `a.aliyundoc.com、a.b.aliyundoc.com`），不支持合并其他主域名（如 `aliyundoc.cn、aliyundoc01.com`）。
IP	一张证书绑定一个公网 IPv4 地址。	仅GlobalSign、DigiCert、GeoTrust、vTrus、CFCA品牌的OV单域名类型证书支持绑定IP。

说明

证书购买并完成签发后，如符合相关条件，将在该证书中免费包含额外域名。具体规则请参见证书赠送域名规则。

加密算法（RSA / ECC / SM2）

国际标准算法

RSA：一种广泛应用的非对称加密算法，在兼容性和普遍适用性上表现最好。
ECC（椭圆曲线加密算法）：晚于RSA出现，和RSA相比更先进、更安全，且加密速度快、效率更高、资源消耗更低，已在主流浏览器中得到推广。

对比项	RSA算法	ECC算法
安全性与密钥长度	长度要求较高。支持的密钥长度为2048位和4096位。	相对较小的密钥长度即可达到相同安全级别。 256位：相当于RSA 2048位密钥所提供的安全性。 384位：相当于RSA 3072位密钥所提供的安全性。
性能效率/加解密速度	慢。	快。尤其在有限资源环境下表现更优，例如移动设备、物联网（IoT）设备等。
内存和CPU占用	高。	低。
兼容性	好。	较好，稍逊于RSA。

国密标准算法

SM2：中国国家密码管理局发布的ECC椭圆曲线公钥密码算法，在中国商用密码体系中用来替代RSA算法。SM2算法的SSL证书适用于满足国密合规的用户。

各品牌及类型的SSL证书所支持的加密算法如下：

证书品牌	证书类型	RSA				ECC				SM2
		签名算法		密钥长度		签名算法		密钥长度		签名算法	密钥长度
		SHA256withRSA	SHA384withRSA	2048	4096	SHA256withECDSA	SHA384withECDSA	prime256v1	secp384r1	SM3withSM2	sm2p256v1
DigiCert	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持	不支持	不支持
	OV	支持	支持	支持	支持	支持	支持	支持	支持	不支持	不支持
	EV	支持	支持	支持	支持	支持	支持	支持	支持	不支持	不支持
GeoTrust	OV	支持	支持	支持	支持	支持	支持	支持	支持	不支持	不支持
GeoTrust	EV	支持	支持	支持	支持	支持	支持	支持	支持	不支持	不支持
GlobalSign	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持	不支持	不支持
GlobalSign	OV	支持	支持	支持	支持	支持	支持	支持	支持	不支持	不支持
Rapid	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持	不支持	不支持
vTrus （国产品牌）	DV	支持	不支持	支持	不支持	不支持	不支持	不支持	不支持	支持	支持
vTrus （国产品牌）	OV	支持	不支持	支持	不支持	不支持	不支持	不支持	不支持	支持	支持
CFCA （国产品牌）	OV	支持	不支持	支持	支持	不支持	不支持	不支持	不支持	支持	支持
CFCA （国产品牌）	EV	支持	不支持	支持	支持	不支持	不支持	不支持	不支持	不支持	不支持
WoSign （国产品牌）	DV	支持	支持	支持	支持	不支持	不支持	不支持	不支持	支持	支持

说明

SSL证书签名算法默认采用SHA256withRSA或SHA256withECDSA，暂不支持在数字证书管理服务控制台选择哈希函数为SHA384的签名算法，如需使用该签名算法签发证书，您需要本地创建CSR文件并将CSR文件上传至控制台。具体操作，请参见如何制作CSR文件和上传CSR。

证书品牌

在选择证书品牌时，需考虑品牌支持的验证等级、域名类型、加密算法以及价格等因素，并结合自身的业务需求和预算进行综合考量。

说明

若仍无法确定证书品牌，可通过售前/售后人工服务联系技术专家咨询，详情可参考专家一对一服务。

国际品牌

证书品牌	说明	优势
DigiCert	Digicert（原Symantec）是全球领先的数字证书颁发机构（CA），值得信赖的SSL证书品牌。	支持诺顿安全认证签章支持RSA/ECC加密算法
Rapid	Rapid是DigiCert旗下的子品牌，前身GeoTrust DV证书，于2022年1月下旬证书更名为Rapid，详情请参见【变更】关于GeoTrust DV证书名称变更的通知。	支持RSA加密算法
GeoTrust	Geotrust品牌是DigiCert（原Symantec）旗下子品牌，全球第二大数字证书颁发机构（CA）。	服务稳定支持诺顿安全认证签章支持RSA/ECC加密算法
GlobalSign	GlobalSign是较早的数字证书认证机构之一，一直致力于网络安全认证及数字证书服务，是一个备受信赖的CA和SSL数字证书提供商。天猫、淘宝等大型电商网站采用了GlobalSign品牌证书。	支持诺顿安全认证签章支持RSA/ECC加密算法

国产品牌

证书品牌	说明	优势
CFCA	中国金融认证中心（CFCA）通过 WebTrust 国际认证，遵循全球统一鉴证标准，是国际 CA/Browser Forum 成员。该品牌满足政府、金融等行业对 SSL 证书国产化的合规要求。	全球信任与兼容性：根证书预置于 Microsoft、Apple、Google Android、Mozilla 等主流平台，由中国权威数字证书认证机构签发，具备全球信任能力。多算法支持：支持 RSA、ECC 及 SM2 加密算法。服务保障：提供 7×24 小时金融级安全支持及完善的风险承保计划。业务规则透明化：提供中文版《电子认证业务规则》（CPS），明确证书生命周期中的权利与义务。说明 CFCA 品牌证书不支持 iOS 10.1 及更早版本、Android 6.0 及更早版本。
vTrus	天威诚信推出的国产 SSL 证书品牌。基于国际信任根，兼顾国产化合规需求与全球主流环境的兼容性。	兼容性强：兼容主流操作系统与浏览器。多算法支持：支持 RSA 和 SM2 加密算法。
WoSign	国产 SSL 证书品牌，适用于对成本控制有较高要求的场景。	方案灵活：提供多档价格方案以适应不同预算。多算法支持：支持 RSA 和 SM2 加密算法。

各品牌证书支持的算法和域名类型：
若已了解证书类型、域名类型、加密算法及证书品牌等相关信息，可参考下表快速确定选购需求。

证书品牌	证书类型	加密算法	域名类型
DigiCert	DV（个人测试证书）	RSA	单域名
	OV	RSA、ECC	单域名、多域名、通配符域名
	EV	RSA	单域名、多域名
GeoTrust	OV	RSA、ECC	单域名、多域名、通配符域名
GeoTrust	EV	RSA	单域名、多域名
GlobalSign	DV	RSA	单域名、通配符域名
GlobalSign	OV	RSA、ECC	单域名、多域名、通配符域名
Rapid	DV	RSA	单域名、通配符域名
vTrus（国产品牌）	DV	RSA、SM2	单域名、通配符域名
vTrus（国产品牌）	OV	RSA、SM2	单域名、多域名、通配符域名
CFCA（国产品牌）	OV	RSA、SM2	单域名、多域名、通配符域名
CFCA（国产品牌）	EV	RSA	单域名、多域名
WoSign（国产品牌）	DV	RSA、SM2	单域名、通配符域名

价格参考

SSL证书的价格和证书类型、验证等级、域名类型、证书品牌等因素有关，请根据实际需求和预算选购。

重要

以下证书零售价格仅供参考，实际证书价格请以证书服务购买页为准。

品牌类别	证书品牌	验证等级	域名类型	价格（元/张/年）	备注
品牌类别	证书品牌	验证等级	域名类型	价格（元/张/年）	备注
国际品牌	DigiCert	个人测试证书（免费版）	单域名	免费	有效期90天。
		个人测试证书（pro）	单域名	68	有效期12个月。升级购买请参见个人测试证书升级。
		DV	通配符域名	2,000	/
		OV	单域名	DigiCert：5,600 DigiCert Pro：8,992	/
		OV	通配符域名	40,000	/
		EV	单域名	DigiCert：8,992 DigiCert Pro：16,800	/
	GeoTrust	OV	单域名	2,778	/
			通配符域名	7,278	/
			多域名	12,290	默认包含5个单域名。
		EV	单域名	6,000	/
		EV	多域名	19,260	默认包含5个单域名。
	GlobalSign	DV	单域名	1,980	/
		DV	通配符域名	6,930	/
		OV	单域名	3,728	/
		OV	通配符域名	13,048	/
	Rapid	DV	单域名	378	/
	Rapid	DV	通配符域名	1,788	/
国产品牌（SM2）	vTrus	DV	单域名	1,200	/
		DV	通配符域名	3,000	/
		OV	单域名	4,000	/
		OV	通配符域名	12,000	/
	CFCA	OV	单域名	4,000	/
		OV	通配符域名	15,000	/
		EV	单域名	10,000	/
	WoSign	DV	单域名	880	/
	WoSign	DV	通配符域名	2,640	/

购买证书

个人测试证书：购买个人测试证书
正式证书：购买正式证书

常见问题

个人测试证书（免费版）到期了怎么办？

个人测试证书不支持自动续费。需在证书到期前，登录数字证书管理服务（原 SSL 证书）控制台手动重新申领一张新证书，并替换掉服务器上的旧证书。

说明

若本自然年申请的张数已达上限（20张），可选择购买正式证书。

我只有公网IP地址，没有域名，应该选择哪种证书？

请选择支持IP地址的 OV单域名证书。在购买时，选择 GlobalSign、DigiCert、GeoTrust、vTrus 或 CFCA 品牌的OV证书，并在申请时填写公网IP地址。

续费或重新签发了证书，需要重新部署吗？

需要。每次续费或重新签发后，将得到一张全新的证书。必须将新的证书文件下载并重新部署到Web服务器上，以替换旧证书。

说明

若续费购买了多年期证书，且前一张证书已通过云产品部署将证书部署至阿里云云产品（如ALB、WAF、CDN、DDoS等），则当前证书签发后，数字证书管理服务（原 SSL 证书）将通过云产品托管部署自动在相关云产品中部署。若部署失败，系统将通过短信、邮件及站内信发送通知。

通配符证书（例如 `*.aliyundoc.com`）包含主域名（`aliyundoc.com`）吗？

绑定通配符域名，自动赠送对应的主域名。如：绑定*.aliyundoc.com时赠送aliyundoc.com。

说明