申请证书时需要提交的信息

在提交DV、OV、EV证书申请时,您需要根据不同的证书类型填写相应的信息并提交CA机构审核。这些信息涵盖了证书绑定的域名或IP、域名验证方式、证书联系人以及公司和营业执照等内容。本文为您介绍证书申请时需要填写的信息以及所需准备的资料,以便您在申请证书时参考。

说明

阿里云数字证书管理服务会将您提交的申请信息(证书绑定的域名、联系人信息等)发送到CA中心进行审核。如果您申请的是非国产品牌的证书(例如GeoTrust、DigiCert等),您的申请信息会被发送到中国境外的CA公司。关于提交证书申请的具体操作,请参见提交证书申请

DV证书申请信息

提交DV证书申请时,请您参考下表填写申请信息。

image.png

配置项

描述

证书绑定域名

填写证书用于保护的网站域名。

将光标放置在image.png图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。

重要
  • 域名类型必须与您购买证书时选择的域名类型相同。

  • 填写通配符域名时,一定要加上通配符号(*)。例如,*.aliyundoc.com

  • 不支持后缀为特殊词的域名申请个人测试证书。例如.edu.gov.org.jp.pay.bank.live.nuclear.ru等等。GlobalSign、CFCA和vTrus品牌的付费证书无此限制。

  • 如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换

  • 仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。

域名验证方式

选择验证域名持有者身份的方式。

如果当前阿里云账号与域名的云解析DNS服务所在账号一致,则此处自动匹配自动DNS验证方式,无需您手动配置。该方式由阿里云自动为您完成域名验证。

如果当前阿里云账号与域名的云解析DNS服务所在账号不一致,则此处可以选择以下方式:

  • 手动DNS验证:该方式需要您前往域名对应的云解析DNS服务商,将域名验证信息配置到域名解析列表中(添加一条TXT类型的DNS解析记录)。

  • 域名授权自动化验证:该方式需要您前往域名对应的云解析DNS服务商,添加一条阿里云生成的CNAME类型的解析记录。添加成功后,后续申请对应域名的SSL证书时可以直接选择该方式,且无需再添加域名解析记录。

    说明
    • 目前仅DigiCert、GeoTrust、Rapid和CFCA品牌的SSL证书支持域名免验证。

    • 如果您的域名使用西部数码的DNS解析服务,目前暂不支持域名免验证。

  • 文件验证:通过在您域名对应的Web应用服务器上创建指定文件来验证域名的所有权。

关于验证方式的更多信息,请参见域名所有权验证

联系人

从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。

重要

收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

如果您未创建过联系人,可以单击新建联系人,新建一个联系人。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

所在地

选择申请人所在城市或地区。

密钥算法

选择证书使用的密钥算法。

该参数也可指定自动生成CSR时使用的密钥算法。可选项:

  • RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。

  • ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。

    相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。

  • SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,在中国商用密码体系中用来替代RSA算法。

重要

目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见根据证书加密算法选择证书

CSR生成方式

CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。

您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。

您可以选择以下CSR生成方式:

  • 系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。

  • 手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件

    重要
    • CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。

    • 申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。

    • 您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。

    • 请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情

    • 在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。

  • 选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。

    您必须先使用数字证书管理服务提供的CSR管理工具手动创建CSR或上传已有的CSR,才可以使用该方式。具体操作,请参见创建CSR上传CSR

    重要

    您选择的CSR使用的加密算法需要和您在密钥算法中设置的算法相同,否则您将无法顺利提交证书审核。如果您不清楚CSR使用的加密算法或域名,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情

CSR文件内容

只有在CSR生成方式手动填写选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。

OV证书申请信息

提交OV证书申请时,请您参考下表填写申请信息。

image.png

配置项

描述

证书绑定域名

填写证书用于保护的网站域名。

将光标放置在image.png图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。

重要
  • 域名类型必须与您购买证书时选择的域名类型相同。

  • 填写通配符域名时,一定要加上通配符号(*)。例如,*.aliyundoc.com

  • 如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换

  • 仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。

联系人

从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。

重要

收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

如果您未创建过联系人,可以单击新建联系人,新建一个联系人。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

公司

从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。

如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见新建公司信息

如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。

营业执照

选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。

密钥算法

选择证书使用的密钥算法。

该参数也可指定自动生成CSR时使用的密钥算法。可选项:

  • RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。

  • ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。

    相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。

  • SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,在中国商用密码体系中用来替代RSA算法。

重要

目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见根据证书加密算法选择证书

CSR生成方式

CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。

您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。

您可以选择以下CSR生成方式:

  • 系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。

  • 手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件

    重要
    • CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。

    • 申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。

    • 您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。

    • 请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情

    • 在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。

  • 选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。

    您必须先使用数字证书管理服务提供的CSR管理工具手动创建CSR或上传已有的CSR,才可以使用该方式。具体操作,请参见创建CSR上传CSR

    重要

    您选择的CSR使用的加密算法需要和您在密钥算法中设置的算法相同,否则您将无法顺利提交证书审核。如果您不清楚CSR使用的加密算法或域名,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情

CSR文件内容

只有在CSR生成方式手动填写选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。

EV证书申请信息

提交EV证书申请时,请您参考下表(仅关键配置项描述)填写申请信息。

image.png

配置项

描述

证书绑定域名

填写证书用于保护的网站域名。

将光标放置在image.png图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。

重要
  • 域名类型必须与您购买证书时选择的域名类型相同。

  • 填写通配符域名时,一定要加上通配符号(*)。例如,*.aliyundoc.com

  • 如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换

  • 仅Globalsign、GeoTrust、vTrus、CFCA品牌的OV单域名证书支持绑定IP。

联系人

从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。

重要

收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

如果您未创建过联系人,可以单击新建联系人,新建一个联系人。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

公司

从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。

如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见新建公司信息

如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。

营业执照

选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。

密钥算法

选择证书使用的密钥算法。

该参数也可指定自动生成CSR时使用的密钥算法。可选项:

  • RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。

  • ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。

    相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。

  • SM2:中国国家密码管理局发布的ECC椭圆曲线加密算法,在中国商用密码体系中用来替代RSA算法。

重要

目前只有部分品牌及类型的证书支持ECC和SM2算法,支持情况,请参见根据证书加密算法选择证书

CSR生成方式

CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。

您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。

您可以选择以下CSR生成方式:

  • 系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。

  • 手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件

    重要
    • CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。

    • 申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。

    • 您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。

    • 请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情

    • 在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。

  • 选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。

    您必须先使用数字证书管理服务提供的CSR管理工具手动创建CSR或上传已有的CSR,才可以使用该方式。具体操作,请参见创建CSR上传CSR

    重要

    您选择的CSR使用的加密算法需要和您在密钥算法中设置的算法相同,否则您将无法顺利提交证书审核。如果您不清楚CSR使用的加密算法或域名,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情

CSR文件内容

只有在CSR生成方式手动填写选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。

银行开户许可证

只有申请GeoTrust、DigiCert品牌证书时,需要提供该信息。

您需要提前将公司银行开户许可证的扫描件保存在本地计算机,然后单击上传文件,从本地计算机上传所需扫描件。

说明

扫描件必须是PNG或JPEG格式,且大小不能超过500 KB。

仅申请CFCA品牌证书需要填写

  • 申请表

    请参照以下步骤进行操作:

    1. 单击下载模板,将表单模板下载到本地计算机。

    2. 打开表单模板,按照模板要求,编辑其中的内容。

    3. 打印编辑好的表单模板,并按照模板要求,加盖公章。

    4. 扫描纸质表单模板,并将其保存在本地计算机。

    5. 单击上传文件,从本地计算机上传纸质表单模板的扫描件。

  • 律师证

    您需要提前将律师证扫描件保存在本地计算机,然后单击上传文件,从本地计算机上传所需扫描件。

  • 律师函

    请参照以下步骤进行操作:

    1. 单击下载模板,将律师函模板下载到本地计算机。

    2. 打开律师函模板,按照模板要求,编辑其中的内容。

    3. 打印编辑好的律师函模板,并按照模板要求,附上律师证等律师资格证明性文件的复印件。

    4. 扫描纸质律师函模板及附件,并将其保存在本地计算机。

    5. 单击上传文件,从本地计算机上传纸质律师函模板及附件的扫描件。

  • 经办人身份证或护照

    您需要提前将证书申请经办人的身份证或护照扫描件保存在本地计算机,然后单击上传文件,从本地计算机上传所需扫描件。

说明

申请表、律师证、律师函、经办人身份证、经办人护照的扫描件必须是PNG或JPEG格式,且大小不能超过500 KB。

相关问题