本文介绍在阿里云数字证书管理服务中进行SSL证书选型与购买的完整流程,包含基于网站类型、域名数量与品牌的快速选型建议,指定域名购买与按数量购买两种方式的操作步骤,以及证书赠送域名规则和常见问题,指导完成证书选型与购买。
快速选型
您对以下问题的回答,将直接对应购买证书时的配置选项。
问题1:需要保护多少个域名?
单个域名(如
aliyun.com或login.aliyun.com):选择 单域名证书。一个主域名下的所有子域名(如
*.aliyun.com):选择 通配符域名证书。多个不同类型的域名(如
*.aliyun.com,taobao.com):选择 混合域名证书。
购买部分证书时,系统会自动赠送关联域名。详见证书赠送域名规则。
问题2:网站属于哪种类型?
个人网站、开发测试环境:选择 DV(域名验证型)证书。仅验证域名所有权,平均1~15分钟内自动签发,成本较低。
企业官网、内部信息系统:选择 OV(企业验证型)证书。需验证企业身份,安全性更高,证书详情中显示企业名称,平均签发时长为5个自然日。
金融、电商、政府等高安全要求网站:选择 EV(增强验证型)证书。采用极其严格的身份验证标准,是信任级别最高的证书。在证书详情中会显示完整的企业名称,能最大限度地增强用户信任感。平均签发时长为5个自然日。
问题3:如何选择证书品牌?
追求顶级品牌和全球信任:推荐 DigiCert。
寻找稳定可靠的国际品牌:推荐 GeoTrust 或 GlobalSign。
预算有限、追求性价比:推荐 RapidSSL 或 WoSign。
政府及金融合规首选:选择 CFCA。
需要国产合规与国密算法支持:推荐 CFCA、WoSign 或 vTrus。
以上为快速选型建议,更为全面的选型方案,请参见SSL证书选型指引。
购买证书
登录数字证书管理服务控制台。在左侧导航栏,选择。可以通过指定域名购买或按数量购买两种方式购买证书。
指定域名购买:适用于已确定域名的用户。完成购买后,系统将根据填写的证书关联信息,自动向证书颁发机构(CA)提交申请以实现快捷签发。
按数量购买:适用于需要批量采购、预购证书资源,或暂未确定域名的用户。由于购买时无需提供域名,证书申请不会自动提交。购买完成后,需为每个证书资格手动关联域名并提交申请。
指定域名购买
步骤一:填写购买信息
参考以下配置信息,在购买页面完成证书配置。
付费类型
选择输入域名购买。
域名名称
填写证书绑定的网站域名,系统会自动匹配支持的证书类型和品牌。如需填写多个域名,请逐个输入并按回车,每个域名不超过253个字符,每级不超过63个字符,最多可填250个域名。支持填写的域名如下:
单域名:一张SSL证书绑定一个主域名、子域名或公网IP(IPv4)。例如,
aliyun.com、abc.example.com、1.1.X.X等。通配符域名:一张通配符证书用于保护一个主域名及其所有下一级子域名。
匹配规则: 仅匹配同一级别的子域名,不能跨级匹配。例如,
*.aliyun.com的证书可匹配demo.aliyun.com,但不能匹配guide.demo.aliyun.com。使用限制: 一张证书默认仅支持一个通配符域名。如需在单张证书中包含多个通配符域名,请参见证书合并申请。
混合域名:为多个域名(单域名、通配符域名)合并签发一张证书,该证书可用于保护多个域名。域名数量建议不超过200个。
证书类型
选择要购买的证书类型。支持DV(域名型)、OV(企业型)和EV(企业增强型)。
重要仅GlobalSign品牌的证书支持绑定.ru后缀的域名。
证书品牌
选择要购买的证书品牌。关于证书品牌的更多信息,请参见SSL证书选型指引。
其他服务
选择需要购买的人工技术支持服务。
不需要:不购买任何技术支持服务。
申请协助服务:工作日服务时间内(9:00~16:00)协助快速签发SSL证书。
部署服务:工作日服务时间内(9:00~18:00)协助部署RSA或ECC算法证书。
申请协助+部署服务:证书申请和部署全流程协助,支持非工作日服务时间(9:00~20:00),协助快速完成证书签发和部署。
部署服务(国密):工作日服务时间内(9:00~18:00)协助部署国密(SM2)算法证书,解决国密证书部署配置复杂的问题。仅当证书类型为国产品牌证书(CFCA、vTrus、Wosign)时可选。
是否合并签发
默认为否,即为每个域名单独签发证书,此时购买的证书数量与您填写的域名数量一致。如需申请混合域名证书,则需要选择合并签发,即将多个域名合并为一张证书进行保护。
重要选择合并签发证书并完成购买后,所购证书不支持退款。
步骤二(可选):填写证书关联信息和高级选项
证书关联信息
打开证书关联信息即表示开启快捷签发,开启后,证书购买完成后会自动提交证书申请,证书状态为“申请审核中”。证书关联信息与证书申请信息必须一致,不同类型的证书配置信息各有不同。
DV证书
申请信息说明如下:
域名验证方式
证书与域名DNS不在同一阿里云账号下
手动DNS验证(推荐):登录您的域名解析服务平台,添加一条CNAME或TXT类型的DNS解析记录。
文件验证:登录您的网站服务器,在指定目录下创建并上传系统要求的验证文件。
重要通配符域名不支持文件验证方式。
证书与域名DNS在同一阿里云账号下
系统将采用自动DNS验证方式,阿里云会自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权,无需人工操作。
联系人
从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
重要收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。
联系人手机号码只支持中国内地手机号,境外手机号无法接收验证短信。
所在地
选择申请人所在城市或地区。
密钥算法
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,适用于政府机构、事业单位、大型国企、金融银行等行业客户的国产化改造和国密算法合规需求。
重要目前只有部分品牌及类型的证书支持ECC和SM2算法,详情请参见SSL证书选型指引。
CSR生成方式
系统生成(推荐)
阿里云将为您自动创建CSR和私钥。证书签发后,可直接下载包含私钥的完整文件。
手动填写
可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件(由您自行保管),并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请务必妥善保管您的私钥。如果私钥丢失,将无法在服务器上使用该证书,且私钥无法恢复,需要重新生成密钥对并申请重签发证书。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作(Wosign品牌除外)。
CSR的加密算法必须与上方选择的“密钥算法”一致。如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情。
此方式签发的证书不支持一键部署到阿里云其他产品。
选择已有的CSR
在数字证书管理服务控制台已创建或上传的CSR中,选择与证书绑定域名相匹配的CSR。如何创建和上传CSR,请参见创建CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
OV证书
申请信息说明如下:
联系人
从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
重要收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。
联系人手机号码只支持中国内地手机号,境外手机号无法接收验证短信。
公司
从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。
如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。您也可以单击目标公司的编辑按键,修改现有公司的信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见管理公司信息。
如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。
营业执照
选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。
密钥算法
选择证书使用的密钥算法。
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,适用于政府机构、事业单位、大型国企、金融银行等行业客户的国产化改造和国密算法合规需求。
重要目前只有部分品牌及类型的证书支持ECC和SM2算法,详情请参见SSL证书选型指引。
CSR生成方式
系统生成(推荐)
阿里云将为您自动创建CSR和私钥。证书签发后,可直接下载包含私钥的完整文件。
手动填写
可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件(由您自行保管),并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请务必妥善保管您的私钥。如果私钥丢失,将无法在服务器上使用该证书,且私钥无法恢复,需要重新生成密钥对并申请重签发证书。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作(Wosign品牌除外)。
CSR的加密算法必须与上方选择的“密钥算法”一致。如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情。
此方式签发的证书不支持一键部署到阿里云其他产品。
选择已有的CSR
在数字证书管理服务控制台已创建或上传的CSR中,选择与证书绑定域名相匹配的CSR。如何创建和上传CSR,请参见创建CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
EV证书
申请信息说明如下:
联系人
从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
重要收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。
联系人手机号码只支持中国内地手机号,境外手机号无法接收验证短信。
公司
从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。
如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。您也可以单击目标公司的编辑按键,修改现有公司的信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见管理公司信息。
如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。
营业执照
选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。
密钥算法
选择证书使用的密钥算法。
RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。
ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。
SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,适用于政府机构、事业单位、大型国企、金融银行等行业客户的国产化改造和国密算法合规需求。
重要目前只有部分品牌及类型的证书支持ECC和SM2算法,详情请参见SSL证书选型指引。
CSR生成方式
系统生成(推荐)
阿里云将为您自动创建CSR和私钥。证书签发后,可直接下载包含私钥的完整文件。
手动填写
可使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件(由您自行保管),并将CSR内容复制到CSR文件内容配置项中。关于如何制作CSR和私钥文件,请参见如何制作CSR文件。
重要请务必妥善保管您的私钥。如果私钥丢失,将无法在服务器上使用该证书,且私钥无法恢复,需要重新生成密钥对并申请重签发证书。
申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作(Wosign品牌除外)。
CSR的加密算法必须与上方选择的“密钥算法”一致。如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情。
此方式签发的证书不支持一键部署到阿里云其他产品。
选择已有的CSR
在数字证书管理服务控制台已创建或上传的CSR中,选择与证书绑定域名相匹配的CSR。如何创建和上传CSR,请参见创建CSR。
CSR文件内容
只有在CSR生成方式为手动填写或选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。
银行开户许可证
只有申请GeoTrust、DigiCert品牌证书时,需要提供该信息。
您需要提前将公司银行开户许可证的扫描件保存在本地计算机,然后单击上传文件,从本地计算机上传所需扫描件。
说明扫描件必须是PNG或JPEG格式,且大小不能超过500 KB。
CFCA品牌证书专属配置项
说明申请表、律师证、律师函、经办人身份证、经办人护照的扫描件必须是PNG或JPEG格式,且大小不能超过500 KB。
证书关联信息列表项收起时,表示不开启快捷签发功能。购买后证书状态为“待申请”,需向CA(证书颁发机构)提交申请。
证书关联信息列表项展开后,证书购买信息默认锁定。如需修改,请收起列表项。
证书关联信息无法配置时,表示当前的证书购买配置不支持。
高级选项
高级选项用于配置证书生命周期相关的消息提醒服务。
提醒开关:默认开启。
提醒方式:可配置邮箱、短信、站内信、钉钉/企业微信/飞书。
提醒内容:可配置业务提醒、异常告警、产品变更通知三种类型的提醒消息。
到期提醒频率:配置提醒频率策略,可选择:仅提醒一次、每天提醒、3天提醒、5天提醒、7天提醒。
到期提醒时间:配置提前多少天提醒,可选择:到期前15天、到期前30天、到期前60天、到期前90天。
消息提醒功能服务周期随绑定SSL证书的有效期,SSL证书过期之后将自动结束该服务。
步骤三:选择证书服务时长
在购买页右侧确认订单信息,并选择要购买的证书服务时长。
1年:包含1张有效期为1年的证书,不含托管服务。
2年:包含2张有效期为1年的证书和1次托管服务。首次签发1张,证书有效期不足30天时自动申请第2张。
3年:包含3张有效期为1年的证书和2次托管服务。首次签发1张,证书有效期不足30天时自动申请后续证书。
多年期(证书服务时长为2年或3年)证书在新证书签发完成后,已部署在阿里云产品的证书可实现自动更新。更多关于多年期SSL证书说明,请参见购买多年期SSL证书。
步骤四:确认订单并支付
仔细阅读并同意证书服务服务协议和证书技术支持服务须知,单击立即购买并完成支付。完成购买后,可在查询已购买的SSL证书订单。
步骤五:查看已购买的证书
购买完成后证书将显示在证书列表中,其状态为“待申请”或“申请审核中”。
打开证书关联信息(开启快捷签发)
后续步骤
如需修改证书申请信息,可执行撤回操作。撤回后证书的状态变更为“待申请”,可重新填写证书申请信息后向CA(证书颁发机构)提交申请。
收起证书关联信息(未开启快捷签发)
后续步骤
购买后如需修改证书信息,可执行取消申请操作。取消申请后会返还一个证书额度,可在证书数据面板的未使用区域查看证书额度。您可使用返还的证书额度在创建证书时重新填写证书信息,详情请参见创建SSL证书。
按数量购买
步骤一:填写购买信息
参考以下配置信息,在购买页面完成证书配置。
付费类型:
选择证书数量购买。
证书数量:
选择需要购买的证书个数。单次购买的最大支持数量为100个。
域名类型:
选择SSL证书要绑定的域名类型规格:
单域名:一张SSL证书绑定一个主域名、子域名或公网IP(IPv4)。例如,
aliyun.com、abc.example.com、1.1.X.X等。通配符域名:一张通配符证书用于保护一个主域名及其所有下一级子域名。
匹配规则: 仅匹配同一级别的子域名,不能跨级匹配。例如,
*.aliyun.com的证书可匹配demo.aliyun.com,但不能匹配guide.demo.aliyun.com。使用限制: 一张证书默认仅支持一个通配符域名。如需在单张证书中包含多个通配符域名,请参见证书合并申请。
多域名:用于同时绑定多个单域名,最多支持5个。仅支持绑定单域名,不支持绑定通配符域名。
证书类型:
选择要购买的证书类型。不同的域名类型,对应可选的证书类型不同。
通配符域名:可选DV(域名型)、OV(企业型)。
单域名:可选DV(域名型)、OV(企业型)和EV(企业增强型)。
多域名:OV(企业型)和EV(企业增强型)。
证书品牌:
选择要购买的证书品牌。关于证书品牌的更多信息,请参见SSL证书选型指引。
其他服务
选择需要购买的人工技术支持服务。
不需要:不购买任何技术支持服务。
申请协助服务:工作日服务时间内(9:00~16:00)协助快速签发SSL证书。
部署服务:工作日服务时间内(9:00~18:00)协助部署RSA或ECC算法证书。
申请协助+部署服务:证书申请和部署全流程协助,支持非工作日服务时间(9:00~20:00),协助快速完成证书签发和部署。
部署服务(国密):工作日服务时间内(9:00~18:00)协助部署国密(SM2)算法证书,解决国密证书部署配置复杂的问题。仅当证书类型为国产品牌证书(CFCA、vTrus、Wosign)时可选。
步骤二:选择证书服务时长
在购买页右侧确认订单信息,并选择要购买的证书服务时长。
1年:包含1张有效期为1年的证书,不含托管服务。
2年:包含2张有效期为1年的证书和1次托管服务。首次签发1张,证书有效期不足30天时自动申请第2张。
3年:包含3张有效期为1年的证书和2次托管服务。首次签发1张,证书有效期不足30天时自动申请后续证书。
多年期(证书服务时长为2年或3年)证书在新证书签发完成后,已部署在阿里云产品的证书可实现自动更新。更多关于多年期SSL证书说明,请参见购买多年期SSL证书。
步骤三:确认订单并支付
仔细阅读并同意证书服务服务协议和证书技术支持服务须知,单击立即购买并完成支付。完成购买后,可在查询已购买的SSL证书订单。
步骤四:查看已购买的证书
购买完成后的证书资源是未使用状态,不会直接出现在证书列表中,可在正式证书数据面板的未使用区域,查看已购买的证书资源。
后续步骤
创建证书:
未使用状态的证书,需要执行创建证书的操作,并为其绑定相应的域名或IP地址。
提交证书申请:
“待申请”状态的证书,需要向CA(证书颁发机构)提交申请,CA中心审批通过后,将会签发证书。
进行域名所有权验证:
“申请审核中”状态的证书,需按照不同的证书类型,完成域名所有权验证。
DV证书
提交DV证书申请后,请添加指定的DNS记录以完成域名所有权验证。系统检测到正确的解析记录后,证书通常会在1至15分钟内自动签发。关于DNS及其他验证方式的详细说明,请参考域名所有权验证。
说明DNS解析生效有延迟,可能导致 DNS 验证失败。通常无需额外操作,耐心等待即可。更多验证失败相关问题,请参见域名所有权验证相关问题。
OV证书、EV证书
成功提交证书申请后,需要配合CA中心审核人员完成以下验证:
域名验证:
CA中心收到证书申请后,将向申请联系人邮箱发送一封域名验证邮件。您需要按照如下流程进行域名验证。
如果未完成域名验证,证书审核将无法通过,证书状态将保持为申请审核中。
电话验证:
根据不同证书颁发机构(CA)的要求,CA工作人员可能致电申请联系人核验证书申请信息。请确保登记电话准确可用并保持畅通,及时接听验证来电。
说明OV、EV平均签发时长为5个自然日,超过30个自然日自动审核失败。更多审核失败情况,请参见SSL证书审核失败的原因及处理方法。
修改证书申请信息:
购买后如需修改证书信息,可执行取消申请操作。取消申请后会返还一个证书额度,可在证书数据面板的未使用区域查看证书额度。您可使用返还的证书额度在创建证书时重新填写证书信息,详情请参见创建SSL证书。
证书赠送域名规则
购买证书时,若满足赠送条件,系统将自动赠送一个关联域名。
域名赠送条件
本文中的“二级域名”指形如aliyun.com 的域名(.com为顶级域名)。www.aliyun.com、demo.aliyun.com 为三级域名,demo.doc.aliyun.com 为四级域名,以此类推。
GlobalSign
DV(域名型):域名验证方式必须为DNS验证。
OV(企业型):无特殊限制。
EV(企业增强型):域名级别必须为二级域名。
DigiCert、GeoTrust、RapidSSL、CFCA、vTrus、WoSign
DV(域名型):域名验证方式必须为DNS验证。
OV(企业型)、EV(企业增强型):域名级别必须为二级域名。
域名赠送规则
单域名证书:
绑定主域名,自动赠送
www子域名。如:绑定aliyun.com时赠送www.aliyun.com。绑定
www子域名,自动赠送主域名。如:绑定www.aliyun.com时赠送aliyun.com。
通配符证书:
绑定通配符域名,自动赠送对应的主域名。如:绑定
*.aliyun.com时赠送aliyun.com。
混合域名证书:
仅当第一个域名满足赠送条件时,自动赠送与第一个域名相关的域名。例如,证书绑定了
a.aliyun.com和b.aliyun.com,仅赠送www.a.aliyun.com。
常见问题
如果购买了错误的证书规格,应如何处理?
若证书规格(如域名类型、品牌、域名数量等)选择错误,请根据证书状态和购买时间按以下方式处理:
购买后7天内且证书未签发:可前往订单退款管理页面申请退款,然后重新购买。
购买后超过7天或证书已签发:不支持退款。出于安全性考虑,已签发的证书可以吊销和删除SSL证书。
如果购买或提交证书申请时域名填写错误,应如何处理?
如果购买或提交证书申请时域名拼写错误,但证书规格信息无误时,可执行取消申请操作。取消申请后,相应的证书额度将返还,并可在证书数据面板的未使用区域查看。使用返还的证书额度在创建证书时重新填写证书信息即可,详情请参见创建SSL证书。