建立認證後,您需要根據不同的認證類型填寫相應的資訊(認證綁定的網域名稱或IP、網域名稱驗證方式、認證連絡人以及公司和營業執照等)並提交認證申請審核。
前提條件
已建立SSL正式認證,認證狀態為待申請。關於如何建立認證,請參見步驟一:建立認證。
申請正式認證
正式認證包含DV、EV、OV三種認證類型,在提交認證申請時,您需要根據不同的認證類型填寫相應的資訊並提交給CA機構審核。這些資訊涵蓋了認證綁定的網域名稱或IP、網域名稱驗證方式、認證連絡人以及公司和營業執照等內容。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
單擊正式認證頁簽,在目標認證操作列的認證申請,或將滑鼠移至上方在目標認證狀態列的
表徵圖,單擊認證申請。
在認證申請面板中,完成以下配置並單擊提交審核。
說明阿里雲數位憑證管理服務會將您提交的申請資訊(認證綁定的網域名稱、連絡人資訊等)發送到CA中心進行審核。
DV認證申請資訊
配置項
描述
認證綁定網域名稱
填寫認證用於保護的網站網域名稱。
將游標放置在
表徵圖上,可以查看支援填寫的網域名稱個數和類型(取決於當前認證的具體配置),以及擷取更多填寫協助。重要網域名稱類型必須與您購買認證時選擇的網域名稱類型相同。
填寫萬用字元網域名稱時,一定要加上萬用字元號(
*)。例如,*.aliyundoc.com。如需瞭解更多關於萬用字元網域名稱匹配和贈送規則,請參見萬用字元網域名稱認證都支援哪些網域名稱?。
DigiCert品牌不支援為尾碼為
.edu、.gov、.org、.jp、.pay、.bank、.live、.nuclear和.ru等特殊詞的網域名稱簽發認證,GlobalSign品牌無此限制。如需綁定中文網域名稱,請使用轉碼工具將中文網域名稱轉碼,再使用轉碼後的資訊申請認證。具體操作,請參見中文網域名稱轉換。
僅Globalsign品牌的OV單網域名稱認證支援綁定IP。
網域名稱驗證方式
選擇驗證網域名稱持有人身份的方式。
如果當前阿里雲帳號與網域名稱的Alibaba Cloud DNS服務所在帳號一致,則此處自動匹配自動DNS驗證方式,無需您手動設定。該方式由阿里雲自動為您完成網域名稱驗證。
如果當前阿里雲帳號與網域名稱的Alibaba Cloud DNS服務所在帳號不一致,則此處可以選擇以下方式:
手動DNS驗證:該方式需要您前往網域名稱對應的Alibaba Cloud DNS服務商,將網域名稱驗證資訊配置到網域名稱解析列表中(添加一條TXT類型的DNS解析記錄)。
檔案驗證:通過在您網域名稱對應的Web應用伺服器上建立指定檔案來驗證網域名稱的所有權。
關於驗證方式的更多資訊,請參見步驟三:網域名稱所有權驗證。
警告請確保DNS中的網域名稱與SSL認證綁定的網域名稱一致,否則會導致驗證失敗。更多關於網域名稱解析失敗的問題,請參見網域名稱所有權驗證相關問題。
聯系人
從下拉式清單中選擇本次認證申請的連絡人(包含郵箱、手機號碼等聯絡資訊)。
重要收到認證申請請求後,CA中心會向連絡人郵箱發送認證申請驗證郵件或者通過連絡人手機號碼溝通審核相關事宜。因此,請務必確保連絡人資訊準確且有效。
如果您未建立過連絡人,可以單擊建立連絡人,建立一個連絡人。您也可以單擊目標連絡人的編輯按鍵,修改現有連絡人的資訊。數位憑證管理服務會儲存建立的連絡人資訊,方便您下次使用。關於建立連絡人的具體配置,請參見管理連絡人。
所在地
選擇申請人所在城市或地區。
密鑰演算法
選擇認證使用的密鑰演算法。
該參數也可指定自動產生CSR時使用的密鑰演算法。可選項:
RSA(預設):目前在全球應用廣泛的非對稱式加密演算法,相容性好。
ECC:全稱為Elliptic Curve Cryptography,表示橢圓曲線密碼編譯演算法。
相比於RSA,ECC是一種更先進和安全的密碼編譯演算法(加密速度快、效率更高、伺服器資源消耗低),目前已在主流瀏覽器中得到推廣。
SM2:中國國家密碼管理局發布的ECC橢圓曲線密碼編譯演算法,在中國商用密碼體系中用來替代RSA演算法。
重要目前只有部分品牌及類型的認證支援ECC和SM2演算法,支援情況,請參見根據認證密碼編譯演算法選擇認證。
CSR產生方式
CSR(Certificate Signing Request)檔案是您的認證請求檔案。該檔案包含您的SSL認證資訊,例如,認證綁定的網域名稱、認證持有主體的名稱及地理位置資訊等。
您向CA中心提交認證申請時,必須提供CSR。CA中心審核通過您的認證申請後,將使用其根CA私密金鑰為您提供的CSR簽名,產生SSL認證公開金鑰(即簽發給您的SSL認證)。SSL認證的私密金鑰即您在產生CSR時同時產生的私密金鑰。
您可以選擇以下CSR產生方式:
系統產生:表示由數位憑證管理服務自動使用您在密鑰演算法指定的密碼編譯演算法產生CSR檔案(您可以在認證簽發後下載認證和私密金鑰)。推薦您使用該方式。
手動填寫:表示您是使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案,並將CSR內容複寫粘貼到CSR檔案內容(私密金鑰檔案由您自行保管)。關於如何製作CSR和私密金鑰檔案,請參見如何製作CSR檔案。
重要您提供的CSR內容正確與否直接關係到認證申請流程是否能順利完成,建議您使用數位憑證管理服務自動產生的CSR(即選擇系統產生方式),避免因提供的CSR內容不正確導致認證審核失敗。
請確保您手動填寫的CSR使用的密碼編譯演算法與密鑰演算法中選擇的演算法相同,否則您將無法順利提交認證審核。
在製作CSR檔案時請務必儲存好您的私密金鑰檔案。私密金鑰和SSL認證一一對應,一旦私密金鑰丟失,您的SSL認證也將不可使用。阿里雲不負責保管您的私密金鑰,如果您的私密金鑰丟失,您必須重新購買SSL認證。
選擇已有的CSR:表示從您在數位憑證管理服務控制台建立的CSR或上傳的CSR中,選擇與認證綁定網域名稱相匹配的CSR。
CSR檔案內容
只有在CSR產生方式為手動填寫或選擇已有的CSR時,需要配置該參數。在此處填寫您的CSR檔案內容。
OV認證申請資訊
配置項
描述
認證綁定網域名稱
填寫認證用於保護的網站網域名稱。
將游標放置在
表徵圖上,可以查看支援填寫的網域名稱個數和類型(取決於當前認證的具體配置),以及擷取更多填寫協助。重要網域名稱類型必須與您購買認證時選擇的網域名稱類型相同。
填寫萬用字元網域名稱時,一定要加上萬用字元號(
*)。例如,*.aliyundoc.com。如需綁定中文網域名稱,請使用轉碼工具將中文網域名稱轉碼,再使用轉碼後的資訊申請認證。具體操作,請參見中文網域名稱轉換。
僅Globalsign品牌的OV單網域名稱認證支援綁定IP。
聯系人
從下拉式清單中選擇本次認證申請的連絡人(包含郵箱、手機號碼等聯絡資訊)。
重要收到認證申請請求後,CA中心會向連絡人郵箱發送認證申請驗證郵件或者通過連絡人手機號碼溝通審核相關事宜。因此,請務必確保連絡人資訊準確且有效。
如果您未建立過連絡人,可以單擊建立連絡人,建立一個連絡人。您也可以單擊目標連絡人的編輯按鍵,修改現有連絡人的資訊。數位憑證管理服務會儲存建立的連絡人資訊,方便您下次使用。關於建立連絡人的具體配置,請參見管理連絡人。
公司
從下拉式清單中選擇本次認證申請的公司資訊(包含名稱、電話、地址)。
如果您未建立過公司資訊,可以單擊新建公司,建立一條公司資訊。您也可以單擊目標公司的編輯按鍵,修改現有公司的資訊。數位憑證管理服務會儲存建立的公司資訊,方便您下次使用。關於建立公司的具體配置,請參見管理公司資訊。
如果您為.gov尾碼的網域名稱申請OV類型的認證,網域名稱WHOIS註冊人連絡方式需與公司企業名稱保持一致。
營業執照
選擇公司後,系統自動識別該公司資訊中已上傳的營業執照圖片。如果您在建立公司時沒有上傳營業執照,則營業執照為空白。為確保CA中心快速審核通過,建議您上傳公司營業執照。
密鑰演算法
選擇認證使用的密鑰演算法。
該參數也可指定自動產生CSR時使用的密鑰演算法。可選項:
RSA(預設):目前在全球應用廣泛的非對稱式加密演算法,相容性好。
ECC:全稱為Elliptic Curve Cryptography,表示橢圓曲線密碼編譯演算法。
相比於RSA,ECC是一種更先進和安全的密碼編譯演算法(加密速度快、效率更高、伺服器資源消耗低),目前已在主流瀏覽器中得到推廣。
SM2:中國國家密碼管理局發布的ECC橢圓曲線密碼編譯演算法,在中國商用密碼體系中用來替代RSA演算法。
重要目前只有部分品牌及類型的認證支援ECC和SM2演算法,支援情況,請參見根據認證密碼編譯演算法選擇認證。
CSR產生方式
CSR(Certificate Signing Request)檔案是您的認證請求檔案。該檔案包含您的SSL認證資訊,例如,認證綁定的網域名稱、認證持有主體的名稱及地理位置資訊等。
您向CA中心提交認證申請時,必須提供CSR。CA中心審核通過您的認證申請後,將使用其根CA私密金鑰為您提供的CSR簽名,產生SSL認證公開金鑰(即簽發給您的SSL認證)。SSL認證的私密金鑰即您在產生CSR時同時產生的私密金鑰。
您可以選擇以下CSR產生方式:
系統產生:表示由數位憑證管理服務自動使用您在密鑰演算法指定的密碼編譯演算法產生CSR檔案(您可以在認證簽發後下載認證和私密金鑰)。推薦您使用該方式。
手動填寫:表示您是使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案,並將CSR內容複寫粘貼到CSR檔案內容(私密金鑰檔案由您自行保管)。關於如何製作CSR和私密金鑰檔案,請參見如何製作CSR檔案。
重要您提供的CSR內容正確與否直接關係到認證申請流程是否能順利完成,建議您使用數位憑證管理服務自動產生的CSR(即選擇系統產生方式),避免因提供的CSR內容不正確導致認證審核失敗。
請確保您手動填寫的CSR使用的密碼編譯演算法與密鑰演算法中選擇的演算法相同,否則您將無法順利提交認證審核。
在製作CSR檔案時請務必儲存好您的私密金鑰檔案。私密金鑰和SSL認證一一對應,一旦私密金鑰丟失,您的SSL認證也將不可使用。阿里雲不負責保管您的私密金鑰,如果您的私密金鑰丟失,您必須重新購買SSL認證。
選擇已有的CSR:表示從您在數位憑證管理服務控制台建立的CSR或上傳的CSR中,選擇與認證綁定網域名稱相匹配的CSR。
CSR檔案內容
只有在CSR產生方式為手動填寫或選擇已有的CSR時,需要配置該參數。在此處填寫您的CSR檔案內容。
EV認證申請資訊
配置項
描述
認證綁定網域名稱
填寫認證用於保護的網站網域名稱。
將游標放置在
表徵圖上,可以查看支援填寫的網域名稱個數和類型(取決於當前認證的具體配置),以及擷取更多填寫協助。重要網域名稱類型必須與您購買認證時選擇的網域名稱類型相同。
填寫萬用字元網域名稱時,一定要加上萬用字元號(
*)。例如,*.aliyundoc.com。如需綁定中文網域名稱,請使用轉碼工具將中文網域名稱轉碼,再使用轉碼後的資訊申請認證。具體操作,請參見中文網域名稱轉換。
僅Globalsign品牌的OV單網域名稱認證支援綁定IP。
聯系人
從下拉式清單中選擇本次認證申請的連絡人(包含郵箱、手機號碼等聯絡資訊)。
重要收到認證申請請求後,CA中心會向連絡人郵箱發送認證申請驗證郵件或者通過連絡人手機號碼溝通審核相關事宜。因此,請務必確保連絡人資訊準確且有效。
如果您未建立過連絡人,可以單擊建立連絡人,建立一個連絡人。您也可以單擊目標連絡人的編輯按鍵,修改現有連絡人的資訊。數位憑證管理服務會儲存建立的連絡人資訊,方便您下次使用。關於建立連絡人的具體配置,請參見管理連絡人。
公司
從下拉式清單中選擇本次認證申請的公司資訊(包含名稱、電話、地址)。
如果您未建立過公司資訊,可以單擊新建公司,建立一條公司資訊。您也可以單擊目標公司的編輯按鍵,修改現有公司的資訊。數位憑證管理服務會儲存建立的公司資訊,方便您下次使用。關於建立公司的具體配置,請參見管理公司資訊。
如果您為.gov尾碼的網域名稱申請OV類型的認證,網域名稱WHOIS註冊人連絡方式需與公司企業名稱保持一致。
營業執照
選擇公司後,系統自動識別該公司資訊中已上傳的營業執照圖片。如果您在建立公司時沒有上傳營業執照,則營業執照為空白。為確保CA中心快速審核通過,建議您上傳公司營業執照。
密鑰演算法
選擇認證使用的密鑰演算法。
該參數也可指定自動產生CSR時使用的密鑰演算法。可選項:
RSA(預設):目前在全球應用廣泛的非對稱式加密演算法,相容性好。
ECC:全稱為Elliptic Curve Cryptography,表示橢圓曲線密碼編譯演算法。
相比於RSA,ECC是一種更先進和安全的密碼編譯演算法(加密速度快、效率更高、伺服器資源消耗低),目前已在主流瀏覽器中得到推廣。
SM2:中國國家密碼管理局發布的ECC橢圓曲線密碼編譯演算法,在中國商用密碼體系中用來替代RSA演算法。
重要目前只有部分品牌及類型的認證支援ECC和SM2演算法,支援情況,請參見根據認證密碼編譯演算法選擇認證。
CSR產生方式
CSR(Certificate Signing Request)檔案是您的認證請求檔案。該檔案包含您的SSL認證資訊,例如,認證綁定的網域名稱、認證持有主體的名稱及地理位置資訊等。
您向CA中心提交認證申請時,必須提供CSR。CA中心審核通過您的認證申請後,將使用其根CA私密金鑰為您提供的CSR簽名,產生SSL認證公開金鑰(即簽發給您的SSL認證)。SSL認證的私密金鑰即您在產生CSR時同時產生的私密金鑰。
您可以選擇以下CSR產生方式:
系統產生:表示由數位憑證管理服務自動使用您在密鑰演算法指定的密碼編譯演算法產生CSR檔案(您可以在認證簽發後下載認證和私密金鑰)。推薦您使用該方式。
手動填寫:表示您是使用OpenSSL或Keytool等工具手動產生的CSR和私密金鑰檔案,並將CSR內容複寫粘貼到CSR檔案內容(私密金鑰檔案由您自行保管)。關於如何製作CSR和私密金鑰檔案,請參見如何製作CSR檔案。
重要您提供的CSR內容正確與否直接關係到認證申請流程是否能順利完成,建議您使用數位憑證管理服務自動產生的CSR(即選擇系統產生方式),避免因提供的CSR內容不正確導致認證審核失敗。
請確保您手動填寫的CSR使用的密碼編譯演算法與密鑰演算法中選擇的演算法相同,否則您將無法順利提交認證審核。
在製作CSR檔案時請務必儲存好您的私密金鑰檔案。私密金鑰和SSL認證一一對應,一旦私密金鑰丟失,您的SSL認證也將不可使用。阿里雲不負責保管您的私密金鑰,如果您的私密金鑰丟失,您必須重新購買SSL認證。
選擇已有的CSR:表示從您在數位憑證管理服務控制台建立的CSR或上傳的CSR中,選擇與認證綁定網域名稱相匹配的CSR。
CSR檔案內容
只有在CSR產生方式為手動填寫或選擇已有的CSR時,需要配置該參數。在此處填寫您的CSR檔案內容。
確認認證申請資訊後,您需要進行網域名稱所有權驗證。不同認證類型網域名稱驗證方式不同,關於網域名稱所有權驗證的更多介紹,請參見步驟三:網域名稱所有權驗證。
認證審核時間長度
認證類型 | 審核簽發時間長度 |
DV(網域名稱型) | 提交認證申請後,在資訊填寫正確的情況下,認證平均簽發時間長度為1~15分鐘。 說明 如果認證在2個自然日內未簽發,則自動審核失敗。 |
OV(企業型)、EV(企業增強型) | 提交認證申請後,在資訊填寫正確且積極配合CA中心驗證的情況下,認證平均簽發時間長度為5個自然日。 重要
|
相關操作
認證簽發前
在認證簽發前,如果您需要修改認證申請資訊,可以撤回申請,並在修改申請資訊後重新提交申請。認證簽發後將無法撤回申請。
提交認證申請後,您可以在認證狀態欄查看認證審核的具體進度。單擊
表徵圖後,在提示資訊對話方塊中單擊查看進度,查看當前認證審核的具體進度。
由於CA中心審核DV、OV、EV認證的具體方式不同,在此階段您需要執行不同的操作來配合CA中心進行資質認證,確保認證能順利簽發。以下表格描述了您需要執行的具體操作。
認證類型
後續步驟
DV認證
耐心等待CA中心審核您的認證申請,並在審核通過後為您簽發認證。
您可以在認證列表中查看認證的狀態。認證簽發後,認證狀態將變更為已簽發。
OV、EV認證
CA中心將在收到您的認證申請後,開始認證資質的驗證。只有驗證通過後,CA中心才會為您簽發認證。不同CA中心的要求有區別,驗證所需時間不完全相同。
成功提交認證申請後,您需要配合CA中心審核人員完成以下驗證:
網域名稱驗證:CA中心收到您的認證申請後,將向您的連絡人郵箱發送一封網域名稱驗證郵件。您需要按照如下流程進行網域名稱驗證。
電話驗證:根據CA中心的要求不同,CA中心工作人員可能會通過連絡人電話聯絡您,驗證您的認證申請資訊。請保持連絡人電話暢通,能夠正常接聽CA中心的驗證電話。
認證申請驗證通過後,您可以在認證列表中查看認證的狀態。認證簽發後,認證狀態將變更為已簽發。
如果認證申請驗證不通過,認證狀態將變更為審核失敗。您可以在狀態列,單擊
表徵圖,並在提示資訊對話方塊中單擊查看原因,即可在建立認證面板查看當前認證審核失敗的原因。您需要根據失敗原因,修改導致審核失敗的申請資訊(尤其是企業資質審核資訊),然後重新提交認證申請。認證簽發後
認證簽發後,認證狀態將變更為已簽發。您可以在操作列,單擊更多,查看認證詳情或下載認證。
撤銷申請
若您出現密碼編譯演算法選擇錯誤,連絡人選擇錯誤等情況,需要變更申請資訊。您可參考以下操作完成資訊的變更:
若認證狀態為申請審核中即尚未簽發,您可執行撤回操作。撤回後重新填寫正確資訊後,再次提交認證申請等待簽發即可。
若認證狀態為已簽發,您只能吊銷認證操作。如果認證簽發時間未超過28個自然日且未執行過網域名稱變更操作(例如追加、更換網域名稱等),憑證撤銷後系統會返還認證額度。您可使用該額度建立新的認證,重新填寫正確資訊後,提交認證申請等待簽發即可,詳情請參考吊銷和刪除SSL認證。
相關文檔
如果您認證狀態在申請審核中,但是因為業務調整不再需要此認證,完成支付後的7個自然日內可申請退款,退款詳細流程請查看認證退款指引。
如果申請中遇到問題,可參考SSL認證申請相關問題尋找解決方案。