创建SSL证书

步骤一：填写基本信息

参照如下说明，完成基本信息配置。如果您未勾选“快捷签发”，填写完所有必填信息后单击确定，证书会进入“待申请”状态，您稍后需要向CA（证书颁发机构）提交申请。

• 证书类型

  • 个人测试证书（免费版）：3个月有效期的免费证书。

  • 个人测试证书（pro）：需要付费购买，有效期为一年。

• 证书剩余数量/总数

  在当前证书类型下，能创建的证书数量和证书总数量。若证书数量不足，请参见创建证书时，证书数量（额度）不足怎么办？。

• 域名名称

  • 域名限制：个人测试证书仅支持单域名申请。不支持为公网IP、不支持后缀为特殊词、通配符、混合域名申请个人测试证书，如需要请购买正式证书。

    个人测试证书不支持的特殊后缀都有哪些？

    .edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等。

  • 长度限制：单个域名总长度不得超过253个字符，域名中每个标签（以.分隔的部分）长度不得超过63个字符。

  • 中文域名：如果您绑定的是中文域名，需按照控制台提示转换成Punycode码，才能申请证书。您也可以使用转码工具转换，具体操作请参见中文域名转换。

    说明

    vTrus品牌不支持中文域名。

  • 域名赠送：如果域名符合赠送条件，阿里云会赠送域名。

• 数量

  证书类型为个人测试证书（免费版）时数量为1，且不可更改。

• 年限

  证书类型为个人测试证书（pro）时需要配置年限。

  • 证书的有效期默认都是1年（所有CA中心签发的证书的有效期最长均为397天，此处选择的是证书服务的订阅时长），此处延长的是证书服务的年限。

  • 若想获得超过1年的服务年限，必须先购买证书托管服务，同时保证购买的证书（相同类型和规格）数量大于1。年限每增加1年，将多消耗一张证书和一次托管服务。

  说明

  例如：年限选择2年。

  • 表示消耗2张1年期的证书并使用1次托管服务。

  • 当第1张证书即将过期时，您无需再次手动提交申请即可获得第2张证书（SSL证书服务自动为您续费并更新证书）。

• 快捷签发

  勾选快捷签发后，需要填写申请信息。系统在创建完成后自动向CA提交证书申请，后续需配合完成域名所有权验证。

步骤二（可选）：填写申请信息（“快捷签发”流程）

如果勾选快捷签发，需要完善提交给CA机构审核的详细信息，填写完所有必填信息后，单击提交审核。证书会进入“申请审核中”状态，您需要稍后完成域名所有权验证。配置项说明如下：

• 域名验证方式

  根据不同的账号情况，选择合适的验证方式：

  证书与域名DNS不在同一阿里云账号下

  • 手动DNS验证（推荐）：登录您的域名解析服务平台，添加一条CNAME或TXT类型的DNS解析记录。

  • 文件验证：登录您的网站服务器，在指定目录下创建并上传系统要求的验证文件。

    重要

    通配符域名不支持文件验证方式。

  证书与域名DNS在同一阿里云账号下

  系统将采用自动DNS验证方式，阿里云会自动在云解析DNS控制台对应的域名中添加一条解析记录，用于验证域名所有权，无需人工操作。

• 联系人

  从下拉列表中选择本次证书申请的联系人（包含邮箱、手机号码等联系信息）。

  重要

  • 收到证书申请请求后，CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此，请务必确保联系人信息准确且有效。

  • 联系人手机号码只支持中国内地手机号，境外手机号无法接收验证短信。

  如何创建和修改联系人？

  • 如果您未创建过联系人，可以单击新建联系人，新建一个联系人。

  • 您也可以单击目标联系人的编辑按键，修改现有联系人的信息。数字证书管理服务会保存新建的联系人信息，方便您下次使用。

  • 也可前往综合管理 > 联系人管理管理联系人，具体操作请参见管理联系人。

• 所在地

  选择申请人所在城市或地区。

• 密钥算法

  选择证书使用的密钥算法。

  • RSA（默认）：目前在全球应用广泛的非对称加密算法，兼容性好。

  • ECC：全称为Elliptic Curve Cryptography，表示椭圆曲线加密算法。相比于RSA，ECC是一种更先进和安全的加密算法（加密速度快、效率更高、服务器资源消耗低），目前已在主流浏览器中得到推广。

  • SM2：中国国家密码管理局发布的ECC椭圆曲线加密算法，适用于政府机构、事业单位、大型国企、金融银行等行业客户的国产化改造和国密算法合规需求。

  重要

  目前只有部分品牌及类型的证书支持ECC和SM2算法，详情请参见SSL证书选型指引。

• CSR生成方式

  什么是CSR？

  CSR (Certificate Signing Request) 是一个包含您域名、组织信息等数据的加密文本文件，是申请SSL证书时必须向证书颁发机构(CA)提交的凭证。

  CA中心会使用其根证书私钥对您的CSR文件进行签名，从而生成最终的公钥证书。与您的CSR一同生成的私钥 (Private Key)，则是您服务器安全配置的核心，必须与公钥证书配对使用。

  系统生成（推荐）

  阿里云将为您自动创建CSR和私钥。证书签发后，可直接下载包含私钥的完整文件。

  手动填写

  可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件（由您自行保管），并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件，请参见如何制作CSR文件。

  重要

  • 请妥善保管您的私钥，丢失后证书将失效且无法恢复。

  • 申请国密算法证书且选择手动填写CSR时，由于私钥不在阿里云，获得的加密证书需要私钥配合完成解密，请您联系私钥生成方协助完成解密工作（Wosign品牌除外）。

  • CSR的加密算法必须与上方选择的“密钥算法”一致。如果您不清楚CSR使用的加密算法，您可以通过查看CSR工具查看，具体操作，请参见查看CSR详情。

  • 此方式签发的证书不支持一键部署到阿里云其他产品。

  选择已有的CSR

  在数字证书管理服务控制台已创建或上传的CSR中，选择与证书绑定域名相匹配的CSR。如何创建和上传CSR，请参见创建CSR。

• CSR文件内容

  只有在CSR生成方式为手动填写或选择已有的CSR时，需要配置该参数。在此处填写您的CSR文件内容。

步骤一：填写基本信息

参照如下说明，完成基本信息配置。如果您未勾选“快捷签发”，填写完所有必填信息后单击确定，证书会进入“待申请”状态，您稍后需要向CA（证书颁发机构）提交申请。

• 证书类型

  系统会展示您购买后可创建的证书类型（最多支持单域名、多域名、通配符三种）。仅当您已购买对应类型的证书资源时，方可在此处选择该类型。

• 证书规格

  显示您已购买的证书规格及其可用数量。若无所需规格，请先购买正式证书。

• 域名名称

  • 域名要求

    • 类型需匹配：填写的域名类型（单域名/多域名/通配符）须与您购买的证书一致。

    • 长度限制：单个域名总长度不得超过253个字符，域名中每个标签（以.分隔的部分）长度不得超过63个字符。

  • 特殊格式要求：

    • 通配符：必须以 * 开头，如 *.example.com。

    • 中文域名：如果您绑定的是中文域名，需按照控台提示转换成Punycode码（例如，阿里云.公司 -> xn--fhq546a.xn--55qx5d）。您也可以使用转码工具转换，具体操作，请参见中文域名转换。

      说明

      vTrus品牌不支持中文域名。

    • IP地址：仅部分OV单域名证书支持（品牌：GlobalSign、GeoTrust、vTrus、CFCA）。

  • 域名后缀须知：仅GlobalSign品牌的证书支持绑定.ru后缀的域名。

  • 域名赠送：如果域名符合赠送条件，阿里云会赠送域名。

• 年限

  选择您需要的证书服务年限。

  • 证书的有效期默认都是1年（所有CA中心签发的证书的有效期最长均为397天，此处选择的是证书服务的订阅时长），此处延长的是证书服务的年限。

  • 若想获得超过1年的服务年限，必须先购买证书托管服务，同时保证购买的证书（相同类型和规格）数量大于1。年限每增加1年，将多消耗一张证书和一次托管服务。

  说明

  例如：年限选择2年。

  • 表示消耗2张1年期的证书并使用1次托管服务。

  • 当第1张证书即将过期时，您无需再次手动提交申请即可获得第2张证书（SSL证书服务自动为您续费并更新证书）。

• 快捷签发

  勾选快捷签发后，需要填写申请信息。系统在创建完成后自动向CA提交证书申请，后续需配合完成域名所有权验证，无需二次提交申请。

步骤二（可选）：填写申请信息（“快捷签发”流程）

如果勾选快捷签发，需要完善提交给CA机构审核的详细信息，填写完所有必填信息后，单击提交审核。证书会进入“申请审核中”状态，您需要稍后完成域名所有权验证。不同类别（DV/OV/EV）的证书所需信息不同，配置项说明如下：