全部产品
Search

搜索本产品

    数字证书管理服务:创建证书

    文档中心

    数字证书管理服务:创建证书

    更新时间:Jan 02, 2025

    成功购买SSL证书(特指服务器证书,简称SSL证书)后,您需要创建证书以及为证书选择绑定的域名或IP。

    前提条件

    操作步骤

    在购买正式证书并获得相应的证书额度后,下一步是创建证书。在此过程中,您需要选择证书类型,并填写希望保护的域名,例如www.aliyundoc.com。通过这一步,您可以确保申请的证书能够有效绑定并保护指定的域名。以下是操作步骤:

    创建证书(正式证书)

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > SSL证书管理

    3. 正式证书页签,单击数据面板上的创建证书或者证书列

    4. 表上方的创建证书按钮,单击创建证书。

    5. 创建证书面板,完成以下配置。

      配置

      描述

      证书类型

      根据证书要绑定的域名类型,选择对应的证书类型。可选项:

      • 单域名:表示要申请的证书用于绑定1个具体域名(例如,只绑定www.aliyundoc.com)。

      • 多域名:表示要申请的证书用于绑定1~5个单域名。

      • 通配符:表示要申请的证书用于绑定1个通配符域名(例如,绑定*.aliyundoc.com)。

        如需了解更多关于通配符域名匹配和赠送规则,请参见通配符域名证书都支持哪些域名?

      证书规格

      从下拉列表选择要申请的证书品牌及类型。

      下拉列表展示了您当前拥有的不同规格证书资源的个数(即可申请证书的张数)。只有当您已经购买了对应规格的证书资源,才可以在此处进行选择。

      如果您要申请的证书规格不在下拉列表(或者下拉列表为空),您必须先购买对应规格的证书资源。具体操作,请参见购买SSL证书服务

      域名名称

      填写证书用于保护的域名。根据选择的证书类型您需要填写不同类型的域名,以下是详细说明:

      • 如果证书类型选择了单域名,则此处填写1个单域名。

      • 如果证书类型选择了通配符,则此处填写1个通配符域名。

      • 如果证书类型选择了多域名,则此处填写1~5个单域名。多个单域名间使用半角逗号(,)分隔。

      年限

      选择您需要的证书服务年限。

      如果您想获得超过1年的服务年限,必须先购买证书托管服务。您可以消耗托管服务的次数,延长证书服务年限。年限每增加1年,将消耗1次托管服务。

      使用托管服务延长证书服务年限,将获得免费赠送的技术支持服务(包含证书配置指导等)。关于证书托管服务的更多介绍,请参见什么是托管服务

      重要

      证书的有效期默认都是1年(所有CA中心签发的证书的有效期最长均为397天,此处选择的是证书服务的订阅时长),此处延长的是证书服务的年限。例如,年限选择2年,表示申请2张1年期的证书并使用1次托管服务。2年的服务年限表示在第1张证书即将过期时,您无需再次手动提交申请即可获得第2张证书(SSL证书服务自动为您续费并更新证书)。

      快捷签发

      如果您想创建证书后立即发起证书申请,请勾选快捷签发,完善需要填写的信息后,证书管理系统会为您自动发起证书申请。

    6. 如果未勾选快捷签发,完成以上配置后单击确定,完成创建证书的操作流程。

    如果勾选开启快捷签发后,您需要根据您的证书类型填写以下信息,填写完成后单击提交审核,完成创建证书的操作流程。

    EV证书

    image

    配置项

    描述

    联系人

    从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。

    重要

    收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

    如果您未创建过联系人,可以单击新建联系人,新建一个联系人。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

    公司

    从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。

    如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见管理公司信息

    如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。

    营业执照

    选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。

    密钥算法

    选择证书使用的密钥算法。

    该参数也可指定自动生成CSR时使用的密钥算法。可选项:

    • RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。

    • ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。

      相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。

    重要

    目前只有部分品牌及类型的证书支持ECC算法,支持情况,请参见SSL证书选购指引

    CSR生成方式

    CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。

    您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。

    您可以选择以下CSR生成方式:

    • 系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。

    • 手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件

      重要

      CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。

      申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。

      您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。

      请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。

      在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。

    • 选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。

      您必须先使用数字证书管理服务提供的CSR管理工具手动创建CSR或上传已有的CSR,才可以使用该方式。具体操作,请参见管理CSR管理CSR

      重要

      您选择的CSR使用的加密算法需要和您在密钥算法中设置的算法相同,否则您将无法顺利提交证书审核。

    CSR文件内容

    只有在CSR生成方式手动填写选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。

    银行开户许可证

    只有申请GeoTrust、DigiCert品牌证书时,需要提供该信息。

    您需要提前将公司银行开户许可证的扫描件保存在本地计算机,然后单击上传文件,从本地计算机上传所需扫描件。

    说明

    扫描件必须是PNG或JPEG格式,且大小不能超过500 KB。

    OV证书

    image

    配置项

    描述

    证书绑定域名

    填写证书用于保护的网站域名。

    将光标放置在image.png图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。

    重要

    • 域名类型必须与您购买证书时选择的域名类型相同。

    • 填写通配符域名时,一定要加上通配符号(*)。例如,*.aliyundoc.com

    • 如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换

    • 仅Globalsign品牌的OV单域名证书支持绑定IP。

    联系人

    从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。

    重要

    收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

    如果您未创建过联系人,可以单击新建联系人,新建一个联系人。您也可以单击目标联系人的编辑按键,修改现有联系人的信息。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

    公司

    从下拉列表中选择本次证书申请的公司信息(包含名称、电话、地址)。

    如果您未创建过公司信息,可以单击新建公司,新建一条公司信息。您也可以单击目标公司的编辑按键,修改现有公司的信息。数字证书管理服务会保存新建的公司信息,方便您下次使用。关于新建公司的具体配置,请参见管理公司信息

    如果您为.gov后缀的域名申请OV类型的证书,域名WHOIS注册人联系方式需与公司企业名称保持一致。

    营业执照

    选择公司后,系统自动识别该公司信息中已上传的营业执照图片。如果您在新建公司时没有上传营业执照,则营业执照为空。为确保CA中心快速审核通过,建议您上传公司营业执照。

    密钥算法

    选择证书使用的密钥算法。

    该参数也可指定自动生成CSR时使用的密钥算法。可选项:

    • RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。

    • ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。

      相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。

    重要

    目前只有部分品牌及类型的证书支持ECC算法,支持情况,请参见SSL证书选购指引

    CSR生成方式

    CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。

    您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。

    您可以选择以下CSR生成方式:

    • 系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。

    • 手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件

      重要

      CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。

      申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。

      您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。

      请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。

      在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。

    • 选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。

      您必须先使用数字证书管理服务提供的CSR管理工具手动创建CSR或上传已有的CSR,才可以使用该方式。具体操作,请参见管理CSR管理CSR

      重要

      您选择的CSR使用的加密算法需要和您在密钥算法中设置的算法相同,否则您将无法顺利提交证书审核。

    CSR文件内容

    只有在CSR生成方式手动填写选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。

    DV证书

    image

    配置项

    描述

    证书绑定域名

    填写证书用于保护的网站域名。

    将光标放置在image.png图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。

    重要

    • 域名类型必须与您购买证书时选择的域名类型相同。

    • 填写通配符域名时,一定要加上通配符号(*)。例如,*.aliyundoc.com

    • 如需绑定中文域名,请使用转码工具将中文域名转码,再使用编转码后的信息申请证书。具体操作,请参见中文域名转换

    • 仅Globalsign品牌的OV单域名证书支持绑定IP。

    联系人

    从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。

    重要

    收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

    如果您未创建过联系人,可以单击新建联系人,新建一个联系人。您也可以单击目标联系人的编辑按键,修改现有联系人的信息。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

    密钥算法

    选择证书使用的密钥算法。

    该参数也可指定自动生成CSR时使用的密钥算法。可选项:

    • RSA(默认):目前在全球应用广泛的非对称加密算法,兼容性好。

    • ECC:全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。

      相比于RSA,ECC是一种更先进和安全的加密算法(加密速度快、效率更高、服务器资源消耗低),目前已在主流浏览器中得到推广。

    重要

    目前只有部分品牌及类型的证书支持ECC算法,支持情况,请参见SSL证书选购指引

    CSR生成方式

    CSR(Certificate Signing Request)文件是您的证书请求文件。该文件包含您的SSL证书信息,例如,证书绑定的域名、证书持有主体的名称及地理位置信息等。

    您向CA中心提交证书申请时,必须提供CSR。CA中心审核通过您的证书申请后,将使用其根CA私钥为您提供的CSR签名,生成SSL证书公钥(即签发给您的SSL证书)。SSL证书的私钥即您在生成CSR时同时生成的私钥。

    您可以选择以下CSR生成方式:

    • 系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。

    • 手动填写:表示您是使用OpenSSL或Keytool等工具手动生成的CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件

      重要

      CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。

      申请国密算法证书且选择手动填写CSR时,由于私钥不在阿里云,获得的加密证书需要私钥配合完成解密,请您联系私钥生成方协助完成解密工作。

      您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。

      请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。

      在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。

    • 选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR或上传的CSR中,选择与证书绑定域名相匹配的CSR。

      您必须先使用数字证书管理服务提供的CSR管理工具手动创建CSR或上传已有的CSR,才可以使用该方式。具体操作,请参见管理CSR管理CSR

      重要

      您选择的CSR使用的加密算法需要和您在密钥算法中设置的算法相同,否则您将无法顺利提交证书审核。

    CSR文件内容

    只有在CSR生成方式手动填写选择已有的CSR时,需要配置该参数。在此处填写您的CSR文件内容。

    后续操作

    情况一:勾选了快捷签发。在填写信息并提交审批后系统将为当前证书向CA机构发起证书申请,您可以将鼠标悬停在证书状态栏的状态标签图标上,在提示信息框中单击查看进度证书进度面板查看当前证书审核的具体进度。域名校验的详细步骤请参考域名所有权验证

    image

    情况二:没有勾选快捷签发。创建证书后,您可以在证书列表中查看新增的证书。此时,该证书的状态待申请(如下图所示),您还需要将证书申请提交到CA中心审核。只有当CA中心审核通过您的证书申请后,才会为您签发证书。详情请参见步骤二:申请证书

    image