创建SSL证书

步骤一：填写基本信息

参照如下说明，完成基本信息配置。如果您未勾选“快捷签发”，填写完所有必填信息后单击确定，证书会进入“待申请”状态，您稍后需要向CA（证书颁发机构）提交申请。

• 证书类型

  • 个人测试证书（免费版）：3个月有效期的免费证书。

  • 个人测试证书（pro）：需要付费购买，有效期为一年。

• 证书剩余数量/总数

  在当前证书类型下，能创建的证书数量和证书总数量。若证书数量不足，请参见创建证书时，证书数量（额度）不足怎么办？。

• 域名名称

  • 域名限制：个人测试证书仅支持单域名申请。不支持为公网IP、不支持后缀为特殊词、通配符、混合域名申请个人测试证书，如需要请购买正式证书。

    个人测试证书不支持的特殊后缀都有哪些？

    .edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等。

  • 长度限制：单个域名总长度不得超过253个字符，域名中每个标签（以.分隔的部分）长度不得超过63个字符。

  • 中文域名：如果您绑定的是中文域名，需按照控制台提示转换成Punycode码，才能申请证书。您也可以使用转码工具转换，具体操作请参见中文域名转换。

    说明

    vTrus品牌不支持中文域名。

  • 域名赠送：如果域名符合赠送条件，阿里云将赠送域名。

• 数量

  证书类型为个人测试证书（免费版）时数量为1，且不可更改。

• 年限

  证书类型为个人测试证书（pro）时需要配置年限。

  • 证书的有效期默认都是1年（所有CA中心签发的证书的有效期最长均为397天，此处选择的是证书服务的订阅时长），此处延长的是证书服务的年限。

  • 若想获得超过1年的服务年限，必须先购买证书托管服务，同时保证购买的证书（相同类型和规格）数量大于1。年限每增加1年，将多消耗一张证书和一次托管服务。

  说明

  例如：年限选择2年。

  • 表示消耗2张1年期的证书并使用1次托管服务。

  • 当第1张证书即将过期时，您无需再次手动提交申请即可获得第2张证书（SSL证书服务自动为您续费并更新证书）。

• 快捷签发

  勾选快捷签发后，需要填写申请信息。系统在创建完成后自动向CA提交证书申请，后续需配合完成域名所有权验证。

步骤二（可选）：填写申请信息（“快捷签发”流程）

如果勾选快捷签发，需要完善提交给CA机构审核的详细信息，填写完所有必填信息后，单击提交审核。证书会进入“申请审核中”状态，您需要稍后完成域名所有权验证。配置项说明如下：

• 域名验证方式

  根据不同的账号情况，选择合适的验证方式：

  说明

  • 证书购买账号：在数字证书管理服务控制台中购买目标 SSL 证书的阿里云账号。

  • DNS解析账号：在云解析DNS中配置目标域名解析的阿里云账号。

  证书购买账号与DNS解析账号不一致

  • 手动DNS验证（推荐）：登录您的域名解析服务平台，添加一条CNAME或TXT类型的DNS解析记录。

  • 文件验证：登录您的网站服务器，在指定目录下创建并上传系统要求的验证文件。

    重要

    通配符域名不支持文件验证方式。

  证书购买账号与DNS解析账号一致

  系统将采用自动DNS验证方式，阿里云自动在云解析DNS对应的域名中添加一条解析记录，用于验证域名所有权，无需人工操作。

• 联系人

  选择本次证书申请的联系人（包含邮箱、手机号码等联系信息）。如需新建或修改联系人，可单击新建联系人或编辑，或前往联系人管理。

  重要

  收到证书申请后，CA中心将向联系人邮箱发送证书申请验证邮件，或通过联系人手机号码（仅限中国内地）沟通审核相关事宜。请务必确保联系人信息准确且有效。

• 所在地

  选择申请人所在城市或地区。

• 密钥算法

  选择证书使用的密钥算法。

  • RSA（默认）：目前在全球应用广泛的非对称加密算法，兼容性好。

  • ECC：全称为Elliptic Curve Cryptography，表示椭圆曲线加密算法。相比于RSA，ECC是一种更先进和安全的加密算法（加密速度快、效率更高、服务器资源消耗低），目前已在主流浏览器中得到推广。

  • SM2：中国国家密码管理局发布的ECC椭圆曲线加密算法，适用于政府机构、事业单位、大型国企、金融银行等行业客户的国产化改造和国密算法合规需求。

  重要

  目前只有部分品牌及类型的证书支持ECC和SM2算法，详情请参见SSL证书选型指引。

• CSR生成方式

  CSR（证书签名请求）是申请SSL证书时提交给证书颁发机构（CA）的申请文件，包含您的域名、组织信息及公钥（对应的私钥需妥善保管）。

  系统生成（推荐）

  阿里云将为您自动创建CSR和私钥。证书签发后，可直接下载包含私钥的完整文件。

  手动填写

  可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件（由您自行保管），并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件，请参见如何制作CSR文件。

  重要

  • 请务必妥善保管您的私钥。如果私钥丢失，将无法在服务器上使用该证书，且私钥无法恢复，需要重新生成密钥对并申请重签发证书。

  • 申请国密算法证书且选择手动填写CSR时，由于私钥不在阿里云，获得的加密证书需要私钥配合完成解密，请您联系私钥生成方协助完成解密工作（Wosign品牌除外）。

  • CSR的加密算法必须与上方选择的“密钥算法”一致。如果您不清楚CSR使用的加密算法，您可以通过查看CSR工具查看，具体操作，请参见查看CSR详情。

  • 此方式签发的证书不支持一键部署到阿里云其他产品。

  选择已有的CSR

  在数字证书管理服务控制台已创建或上传的CSR中，选择与证书绑定域名相匹配的CSR。如何创建和上传CSR，请参见创建CSR。

• CSR文件内容

  只有在CSR生成方式为手动填写或选择已有的CSR时，需要配置该参数。在此处填写您的CSR文件内容。

步骤一：填写基本信息

参照如下说明，完成基本信息配置。如果您未勾选“快捷签发”，填写完所有必填信息后单击确定，证书会进入“待申请”状态，您稍后需要向CA（证书颁发机构）提交申请。

• 证书类型

  系统会展示您购买后可创建的证书类型（最多支持单域名、多域名、通配符三种）。仅当您已购买对应类型的证书资源时，方可在此处选择该类型。

• 证书规格

  显示您已购买的证书规格及其可用数量。若无所需规格，请先购买正式证书。

• 域名名称

  • 域名要求

    • 类型需匹配：填写的域名类型（单域名/多域名/通配符）须与您购买的证书一致。

    • 长度限制：单个域名总长度不得超过253个字符，域名中每个标签（以.分隔的部分）长度不得超过63个字符。

  • 特殊格式要求：

    • 通配符：必须以 * 开头，如 *.example.com。

    • 中文域名：如果您绑定的是中文域名，需按照控台提示转换成Punycode码（例如，阿里云.公司 -> xn--fhq546a.xn--55qx5d）。您也可以使用转码工具转换，具体操作，请参见中文域名转换。

      说明

      vTrus品牌不支持中文域名。

    • IP地址：仅部分OV单域名证书支持（品牌：GlobalSign、GeoTrust、vTrus、CFCA）。

  • 域名后缀须知：仅GlobalSign品牌的证书支持绑定.ru后缀的域名。

  • 域名赠送：如果域名符合赠送条件，阿里云将赠送域名。

• 年限

  选择您需要的证书服务年限。

  • 证书的有效期默认都是1年（所有CA中心签发的证书的有效期最长均为397天，此处选择的是证书服务的订阅时长），此处延长的是证书服务的年限。

  • 若想获得超过1年的服务年限，必须先购买证书托管服务，同时保证购买的证书（相同类型和规格）数量大于1。年限每增加1年，将多消耗一张证书和一次托管服务。

  说明

  例如：年限选择2年。

  • 表示消耗2张1年期的证书并使用1次托管服务。

  • 当第1张证书即将过期时，您无需再次手动提交申请即可获得第2张证书（SSL证书服务自动为您续费并更新证书）。

• 快捷签发

  勾选快捷签发后，需要填写申请信息。系统在创建完成后自动向CA提交证书申请，后续需配合完成域名所有权验证，无需二次提交申请。

步骤二（可选）：填写申请信息（“快捷签发”流程）

如果勾选快捷签发，需要完善提交给CA机构审核的详细信息，填写完所有必填信息后，单击提交审核。证书会进入“申请审核中”状态，您需要稍后完成域名所有权验证。不同类别（DV/OV/EV）的证书所需信息不同，配置项说明如下：

GlobalSign

• DV（域名型）：域名验证方式必须为DNS验证。

• OV（企业型）：无特殊限制。

• EV（企业增强型）：域名级别必须为二级域名。

DigiCert、GeoTrust、RapidSSL、CFCA、vTrus、WoSign

• DV（域名型）：域名验证方式必须为DNS验证。

• OV（企业型）、EV（企业增强型）：域名级别必须为二级域名。