开启证书托管后, 我需要做什么？_数字证书管理服务-阿里云帮助中心

开启证书托管后，在旧证书到期前30天（自然日），数字证书管理服务会为您自动申请新的证书。为了确保新证书顺利签发投入使用，您需要配合CA中心进行资质认证，并为新证书选择合适的部署方式。本文介绍开启证书托管后，您需要进行的具体操作。

托管服务时效说明

数字证书管理服务在旧证书过期之前会对该证书一直进行托管。旧证书到期之后，数字证书管理服务不再对该证书进行托管，对应的新证书会进入申请失败状态。您需要在数字证书管理服务控制台上自行申请新的证书。关于申请证书的具体操作，请参见提交证书申请。

您可以在数字证书管理服务控制台证书管理页面，定位到已托管的证书，单击其状态栏的状态图标图标，并在提示信息对话框单击查看进度，即可在证书进度面板查看已托管证书的生命周期，进度流程图中的证书到期时间即是本次证书托管服务的到期时间。托管服务有效期

说明

预计托管证书到期时间是指托管服务顺利帮您申请并签发新证书的情况下，新证书的到期时间。旧证书到期前30天内，您需要配合CA中心进行新证书的资质认证。只有在旧证书到期前30天至旧证书到期这段时间内，新证书顺利签发，预计托管证书到期时间才会生效。旧证书到期后，托管服务会失效。此时如果新证书仍未签发，您需要自行申请新证书，同时预计托管证书到期时间会失效，新证书的到期时间为新证书签发时间后1年。

配合CA中心进行新证书的资质认证

在旧证书到期前30天，数字证书管理服务会自动向CA中心发送新证书申请。由于CA中心审核DV、OV、EV证书的方式不同，在此阶段您需要执行不同的操作来配合CA中心进行资质认证，确保新证书能顺利签发。以下表格描述了您需要执行的具体操作。

重要

部分类型的证书不支持补齐旧证书的剩余有效期，为了避免旧证书剩余有效期的浪费，数字证书管理服务会在该类证书到期前15天自动向CA中心发送新证书申请。该类证书具体包括DigiCert DV通配符证书、免费证书和上传证书。

证书类型

需要执行的操作

DV证书

您需要配合CA中心验证域名所有权，根据您的域名类型参考以下说明进行域名所有权验证：

如果旧证书绑定的域名在托管证书的阿里云账号的域名服务控制台的域名列表中，您无需进行任何操作，新证书会自动完成签发。
如果旧证书绑定的域名不在托管证书的阿里云账号的域名服务控制台的域名列表中，您需要根据旧证书申请时选择的域名验证方式配合CA中心验证域名的所有权：
- 手工DNS验证：该方式需要您登录域名的管理控制台，将域名验证信息配置到域名解析列表中（添加一条TXT类型的DNS解析记录）。您需要域名解析的管理权限，才可以完成验证。
- 文件验证：通过在您域名服务器上创建指定文件来验证域名的所有权。您需要域名服务器的管理员权限，才可以完成验证。
关于两种验证方式的更多信息，请参见域名所有权验证。域名所有权验证成功后，CA中心将会在1~2个工作日内自动签发新证书。

OV、EV证书

CA中心在收到数字证书管理服务自动发送的新证书申请后，开始证书资质的验证。只有验证通过后，CA中心才会为您签发新证书。不同CA中心的要求有区别，验证所需时间不完全相同。OV、EV证书一般会在3~7个工作日内完成审核和签发。

您需要配合CA中心审核人员完成以下验证：

域名验证：CA中心收到证书申请后，将向您提交旧证书申请时填写的联系人邮箱发送一封域名验证邮件。您需要按照如下流程进行域名验证。
说明
如果未完成域名验证，证书审核将无法通过，证书状态将保持为审核中。
可选：电话验证：根据CA中心的要求不同，CA中心工作人员可能会通过联系人电话联系您（提交旧证书申请时填写的联系人），验证您的证书申请信息。请保持联系人电话畅通，能够正常接听CA中心的验证电话。

证书申请验证通过后，您可以在证书列表中查看新证书的状态。新证书签发后，证书状态将变更为已签发。

如果新证书申请验证不通过，您可以在证书状态中查看失败原因。您需要根据失败原因，修改导致审核失败的申请信息（尤其是企业资质审核信息），然后自行提交证书申请。

选择新证书部署方式

开启证书托管服务后，数字证书管理服务不会将新签发的证书自动部署到Web服务器或者阿里云产品。为了保证您的业务不受影响，新证书签发后，您需要做以下操作：

新证书应用于Web服务器
在专属客服的指导下，手动将新证书安装到您的Web服务器（替换旧证书）。关于安装证书的具体操作，请参见SSL证书安装指南。
新证书应用于阿里云产品
在旧证书到期之前，您可以在托管服务页面为旧证书开启到期自动部署。只有开启自动部署功能并且新证书在旧证书到期前完成签发，数字证书管理服务才会自动将新证书部署到阿里云产品上，否则您需要手动将新证书部署到阿里云产品中。关于开启到期自动部署的具体操作，请参见开启到期自动部署。