要获得SSL证书,您需要到证书中心订购一个SSL证书并向证书颁发机构(CA)提交证书请求。收到您的证书请求后,CA会审核您的证书请求信息。完成审核后,CA将为您签发证书。证书签发后,您可以从证书中心控制台下载证书并开始使用该证书保护您的网站。
CSR(Certificate Signing Request)表示证书签名请求文件。CSR包含了公钥和标识名称。标识名称是一组证书相关的信息,如域名、企业信息等。
要获得SSL证书,您需要先生成CSR并将该CSR提交给CA。CA审核标识名称中包含的信息后,才会为您签发证书。具体来说,CA使用自己根证书的私钥对您的CSR进行签名从而生成签发给您的证书。
信息模板表示证书请求信息的模板。当您分别请求多个证书时,可能需要输入重复的信息,如联系人姓名、联系电话、公司信息等。通过信息模板,您可以将证书请求信息保存下来,以便在下次请求证书时复用这些信息。请求证书时,您只需选择信息模板,即可使用信息模板中保存的信息。
不会。信息模板只是为了方便您在请求证书时快速输入信息,与已经提交的证书请求没有关联。
DNS验证和文件验证是域名验证的两种方式。
注意
如果您使用火山引擎TrafficRoute为域名提供DNS服务,DNS验证将会自动完成。您无需手动创建DNS记录。
注意
CA只支持向80或443端口发送验证请求。选择该方式前,请确保您的Web服务器已经开放了80或443端口。
您需要按照CA的要求完成以下操作:
不同CA所采用的组织验证或扩展验证方式有差异。通常CA将通过您提供的电话或邮件通知您验证的方法。请保持电话畅通并注意查收邮件。更多信息,请参见证书请求审核流程。
请先确认您是否已经完成了域名验证。
如果您请求的是OV或者EV证书,在完成域名验证后,您还需要等待CA验证您的企业或组织的身份。验证过程可能需要3~5天。请您耐心等待。
CA在处理您的证书请求时,除了验证您对域名的所有权,还会检查域名的CAA(Certification Authority Authorization)记录。如果您的域名配置了CAA解析记录,则只有CAA记录中指定的CA允许为您的域名签发证书。
当CA发现自己没有为您的域名签发证书的权限时,会停止处理证书请求。这时,您在证书中心会看到订单进度停留在 “等待域名验证” 阶段。
关于CAA记录的详细说明,请参见 CAA记录。
如果您已经完成了域名验证的配置,但是证书请求进度仍然长时间停留在 “等待域名验证” 阶段,您可以通过以下方式验证是否因为CAA记录检查失败导致域名验证未能通过。
运行dig caa <your_domain_name>
命令,检查域名是否配置了CAA记录,以及CAA记录是否包含您向其请求证书的CA。
说明
“主域名”的CAA记录对所有的子域名是生效的。例如,假设您有一个针对example.com
的CAA记录,则这个记录对example.com
对应的所有子域名都是生效的。
以下图为例。返回结果中包含一条CAA记录。该记录表示只有GlobalSign允许为您的域名签发证书。
如果确认因为CAA记录检查失败导致域名验证未能通过,您可以选择以下方法之一来解决此问题:
如果CA认为您提供的证书请求信息与您的身份信息不匹配,或者您在提交证书请求后的30个自然日没有完成域名验证,那么CA就会拒绝您的证书请求。
请检查您是否在证书中心控制台的顶部导航栏左侧正确选择了项目。证书概览 页面的证书统计数据和 证书管理 页面的证书列表,均只展示选定项目的数据。
在火山引擎证书中心,每本证书都隶属于某个特定的项目。
不需要。一般情况下,无论您为“主域名”(如example.com
)或者“www前缀的子域名”(如www.example.com
)申请证书,得到的证书同时适用于“主域名”和“www前缀的子域名”。您可以将此视为CA机构针对单域名证书(DV/OV/EV)提供的“买一送一”优惠。但是需要注意以下内容:
若为“www前缀的子域名”申请证书,得到的证书也适用于“主域名”。
以下图为例。①表示提交证书申请时,设置了“www前缀的子域名”。②表示签发的证书也适用于“主域名”。
若为“主域名”申请证书,那么只有采用DNS验证方式完成域名所有权验证,得到的证书才会同时适用于“www前缀的子域名”。
以下图为例。①表示提交证书申请时,设置了“主域名”。②表示通过DNS验证完成域名所有权验证。③表示签发的证书也适用于“www前缀的子域名”。
关于证书适用于哪些域名,请以证书签发后,在证书列表页展示的“绑定域名”为准。
有时,当您的证书还未签发,“绑定域名”只展示您在提交证书申请时填写的一个域名,但当证书签发后,“绑定域名”则会展示您填写的域名以及赠送的域名(两个域名)。