SSL证书是用于验证网站身份和加密通信的数字证书，通过CA签发实现HTTPS协议，保障数据传输安全并提升浏览器信任。-数字证书管理服务（原SSL证书）(SSL Certificate)-阿里云帮助中心

SSL 证书（现行行业标准为 TLS 证书）是一种数字证书，用于验证网站身份并加密浏览器与服务器之间的通信。证书由受信任的证书颁发机构 (CA) 签发，是实现 HTTPS 协议、保障数据传输安全与完整性的基础。本文介绍 SSL 证书的核心价值、工作原理和使用流程。

核心价值

部署SSL/TLS证书是现代网站的必要安全措施，主要解决以下问题：

数据加密：通过加密客户端（如浏览器）与 Web 服务器之间的传输数据，防止敏感数据被非法截取或篡改。
身份验证：验证服务器的合法性，防止用户访问仿冒或钓鱼网站。
提升浏览器信任：消除浏览器”不安全”警告，在地址栏显示安全锁标志。SSL 证书在全球范围内通用，但地址栏的显示效果取决于浏览器厂商的安全策略：主流浏览器已不再显示绿色企业名称（绿标），统一显示安全锁标志。点击安全锁图标可查看证书详情。
合规性保障：满足等保 2.0、PCI DSS 等网络安全与数据保护法规的要求。
搜索引擎优化 (SEO)：主流搜索引擎会优先索引 HTTPS 网站，有助于提升搜索排名。

工作原理

SSL/TLS 协议采用混合加密机制：通过非对称加密验证身份，通过对称加密传输数据。

证书签发与验证（信任链构建）

生成请求：服务器生成密钥对（RSA 2048 位或 ECC 256 位），将公钥及组织信息封装为 CSR（证书签名请求）。
CA 签名：CA 验证域名所有权后，从 CSR 中提取公钥和申请者信息，结合颁发者信息、有效期及扩展字段构造证书内容，使用 CA 私钥进行数字签名，生成符合 X.509 标准的证书。
信任传递：浏览器通过预置的根证书逐级验证服务器证书签名，建立信任链。

加密会话建立（TLS 握手）

握手启动：客户端发送 ClientHello 消息，包含支持的协议版本和密码套件列表。
证书传递：服务器响应 ServerHello 消息并发送证书链。
身份验证：客户端验证证书的有效期和域名匹配性，并通过 CRL（证书吊销列表）或 OCSP（在线证书状态协议）确认证书未被吊销。部分部署采用 OCSP Stapling 技术优化此过程。
密钥交换：双方通过密钥交换机制生成会话密钥。
- ECDHE 模式（推荐）：双方各自生成临时密钥对并交换公钥，独立计算出相同的会话密钥。
- RSA 模式（传统）：客户端生成预主密钥，使用服务器公钥加密后传输；服务器解密后，双方派生会话密钥。
对称通信：握手完成后，所有数据使用会话密钥进行对称加密传输。

说明

证书中的公钥（基于 RSA、ECC 或 SM2 算法）用于验证服务器身份和建立密钥交换的安全通道。实际数据传输使用协商生成的对称密钥（如 AES）加密，以保证性能。更多信息，请参见什么是公钥和私钥。

使用流程

购买证书

根据业务需求选择合适的证书类型，详情可参考SSL 证书选型指南。
参考购买正式证书或购买个人测试证书填写证书购买信息。

有效期

SSL 证书存在两个有效期概念：

订阅有效期：指 SSL 证书订单或订阅服务的有效期，也称为证书的购买时长，从证书首次签发时间开始计算。
签发有效期：指 CA 机构认证的有效期，过期会导致信任链断裂，从而引发服务不可用、连接被拒或安全警告。签发有效期从 CA 机构签发日期开始计算。

由于 CA/B 行业安全标准强制约束单次证书的签发有效期，在订阅有效期内，需在签发有效期到期前向 CA 机构重新发起签发申请并部署证书，避免证书到期影响业务。

举例：

在 2026/05/01 购买 1 年的证书（即 1 年订阅有效期），实际 CA 机构的签发日期为 2026/05/10。行业政策要求签发有效期最长不超过 199 天（仅举例），则首张证书签发有效期的到期时间为 2026/11/25。在 2026/11/25 之前需要重新申请签发新证书，新证书的到期时间为 2027/05/10，到达 1 年订阅有效期。

创建证书

重要

仅适用于SSL证书管理（V1.0 停止新购），SSL证书管理 V2.0中购买后无需创建证书。

若购买时未绑定域名，需创建证书，将购买的额度与域名进行关联。在创建过程中，系统提供快捷签发选项：

勾选快捷签发：需要填写申请信息。创建完成后，系统将自动向CA提交证书申请，后续只需配合完成域名所有权验证。
未勾选快捷签发：创建完成后，需要登录证书控制台手动填写并提交申请，具体操作可参见向CA（证书颁发机构）提交申请。

说明

证书列表仅显示已成功绑定域名的证书，未绑定域名的证书在完成“创建证书”操作后即可见。

申请证书

向 CA（证书颁发机构）提交申请

需要根据不同的证书类型填写相应的信息（证书绑定的域名或IP、联系人、公司和营业执照等）后，提交证书申请至CA。具体操作请参见申请证书。
域名所有权验证

向CA提交申请时，需验证您对域名的所有权。更多内容参见域名所有权验证。
- DV证书：支持自动DNS验证、手动DNS验证和文件验证三种方式。
- EV/OV证书：根据CA中心发送域名验证邮件内容，配合完成验证。
CA 审核

提交申请并完成域名所有权验证后，需等待CA审核。查看审核进度及审核结果，请参考CA审核结果处理。DV（域名型）证书平均签发时长为1~15分钟，OV（企业型）、EV（企业增强型）证书平均签发时长为5个自然日。

部署证书

当 CA 审核通过且证书状态变为”已签发”时，证书已具备使用条件。要使证书实际生效，需满足以下条件：

证书已正确部署到 Web 服务器（例如 Nginx、Apache 或 IIS）或云产品中，并已重启服务。
客户端（如浏览器）信任该证书的颁发机构（CA）。

部署完成后，站点即可启用 HTTPS 功能。具体操作请参见。

重要

若服务器位于中国内地则需进行ICP备案，否则将导致网站无法访问。

如果您使用的是阿里云服务器，请前往阿里云备案系统进行网站备案，具体操作请参见ICP备案流程。
如果您使用的不是阿里云服务器，请前往服务器提供商的备案系统或工信部备案官网进行备案。

后续操作

证书续费

重要

SSL证书管理 V2.0暂不支持证书续费，该功能将在后续更新中推出。

SSL 证书到期后需及时续费或重新申请，同时安装新的 SSL 证书来继续保持网站的加密连接和安全性。具体操作请参见SSL证书续费与到期处理。

证书升级

重要

SSL证书管理 V2.0不再支持个人测试证书（原免费证书）升级，如有需要可直接购买个人测试证书（pro）。

若个人测试证书（原免费证书）无法满足当前需求，可选择以下方案：

升级至个人测试证书（pro）版：个人测试证书（pro）提供更长的证书服务时间，详情参见个人测试证书（免费版）升级个人测试证书（pro）。
升级至HTTPS加速网关：HTTPS加速网关提供一站式 HTTPS 解决方案，实现一键接入域名与证书自动续期。详情参见个人测试证书升级HTTPS加速网关。

证书吊销

若证书不再使用可对其进行吊销。具体操作请参见吊销和删除SSL证书。

警告

证书吊销操作不可逆。吊销后，证书颁发机构（CA）将通过证书吊销列表（CRL）或在线证书状态协议（OCSP）发布该证书的吊销状态。浏览器及客户端在进行证书有效性校验时将判定其无效，并触发安全警告提示。

常见问题

购买后证书找不到怎么办？

若您购买时未填写域名信息，购买完成后得到是证书创建资格，不会直接在证书列表中展示。您需要创建SSL证书，绑定域名后才能在列表中看到。

SSL证书支持中文域名吗？

支持。如果您绑定的是中文域名，需按照控制台提示转换成Punycode码，才能申请证书。您也可以使用转码工具转换，具体操作请参见中文域名转换。

域名解析供应商不是阿里云，是否可申请阿里云SSL证书？

可以。您只需完成域名所有权验证即可，这与域名服务商无关。

方案	操作方法	优点
在原服务商配置	登录您当前域名平台，添加从阿里云获取SSL证书验证记录 (CNAME/TXT)。说明若有疑问请联系您的域名解析供应商。	快速直接，无需转移域名。
将域名转入阿里云	参考域名转入阿里云完成转入后，在云解析DNS控制台完成DNS解析配置。重要域名转入时您需交纳一年的续费费用，即域名转入价格为域名续费一年的价格。	方便未来证书续签和域名统一管理。