在开启托管服务后,若您已授权域名免验证,在旧证书到期前30天(自然日),阿里云将自动为您申请并签发新的证书。若未授权域名免验证,在旧证书到期前30天(自然日),您需配合CA中心进行域名所有权验证,以确保新证书顺利签发。本文介绍在开启证书托管后如何授权域名免验证实现证书在到期前的自动签发能力、如何配合CA中心完成新证书的域名所有权验证以及如何选择新证书的部署方式。
托管服务时效说明
数字证书管理服务会在旧证书过期之前持续对该证书进行托管。旧证书到期之后,数字证书管理服务不再对该证书进行托管,对应的新证书会进入申请失败状态。您需要在数字证书管理服务控制台上自行申请新的证书。关于申请证书的具体操作,请参见提交证书申请。
您可以登录数字证书管理服务控制台,在SSL证书管理页面,定位到已托管的证书,单击其状态栏的
图标,并在提示信息对话框单击查看进度,即可在证书进度面板查看已托管证书的生命周期,进度流程图中的证书到期时间即是本次证书托管服务的到期时间。
预计托管证书到期时间是指托管服务顺利帮您申请并签发新证书的情况下,新证书的到期时间。旧证书到期前30天内,您需要配合CA中心进行新证书的资质认证。只有在旧证书到期前30天至旧证书到期这段时间内,新证书顺利签发,预计托管证书到期时间才会生效。旧证书到期后,托管服务会失效。此时如果新证书仍未签发,您需要自行申请新证书,同时预计托管证书到期时间会失效,新证书的到期时间为新证书签发时间后1年。
授权域名免验证
每次申请SSL证书时都需要配合CA机构验证域名所有权,因此通常会因为验证不及时而导致证书签发不成功或签发时间过长。为了解决该问题,阿里云提供了域名免验证授权解决方案,您可以在域名所在的DNS解析服务商添加阿里云生成的CNAME类型的解析记录,添加完成并在数字证书管理服务控制台验证通过后,该域名在后续申请SSL证书时将不再重复DNS验证。具体操作,请参见添加并授权免DNS验证的域名。
配合CA中心进行新证书的资质认证
在旧证书到期前30天,数字证书管理服务会自动向CA中心发送新证书申请。由于CA中心审核DV、OV、EV证书的方式不同,在此阶段您需要执行不同的操作来配合CA中心进行资质认证,确保新证书能顺利签发。以下表格描述了您需要执行的具体操作。
上传的第三方证书和个人测试证书不支持补齐旧证书的剩余有效期,为了避免旧证书剩余有效期的浪费,数字证书管理服务会在该类证书到期前15天自动向CA中心发送新证书申请。
证书类型 | 需要执行的操作 |
DV证书 | 您需要配合CA中心验证域名所有权,根据您的域名类型参考以下说明进行域名所有权验证:
|
OV、EV证书 | CA中心在收到数字证书管理服务自动发送的新证书申请后,开始证书资质的验证。只有验证通过后,CA中心才会为您签发新证书。不同CA中心的要求有区别,验证所需时间不完全相同。OV、EV证书一般会在3~7个工作日内完成审核和签发。 您需要配合CA中心审核人员完成以下验证:
证书申请验证通过后,您可以在证书列表中查看新证书的状态。新证书签发后,证书状态将变更为已签发。 如果新证书申请验证不通过,您可以在证书状态中查看失败原因。您需要根据失败原因,修改导致审核失败的申请信息(尤其是企业资质审核信息),然后自行提交证书申请。 |
选择新证书部署方式
开启证书托管服务后,数字证书管理服务会将新签发的证书自动部署至对应的阿里云产品,但不会自动部署至Web应用服务器。为了保证您的业务不受影响,新证书签发后,您需要做以下操作:
新证书部署至Web应用服务器
在专属客服的指导下,手动将新证书安装到您的Web服务器(替换旧证书)。关于安装证书的具体操作,请参见SSL证书安装指南。
新证书部署至阿里云产品
开通证书托管服务后,阿里云将自动创建并启动关联旧证书的托管部署任务,该任务默认自动继承旧证书的资源列表。在新证书签发后,数字证书管理服务将自动为您部署至对应的云产品资源。
重要只有启动托管部署任务并且新证书在旧证书到期前完成签发,数字证书管理服务才会自动将新证书部署到阿里云产品,所以请务必确保新证书已签发。