You need to enable JavaScript to run this app.
导航
证书中心
  • 文档首页
    • /证书中心/SSL证书/用户指南/证书申请/提交SSL证书请求
提交SSL证书请求
最近更新时间:2024.11.19 17:22:04首次发布时间:2022.06.17 20:11:06
我的收藏
有用
有用
无用
无用

CA(Certificate Authority)是颁发在互联网上可被信任的SSL证书的权威组织。您可以通过证书中心控制台向CA提交SSL证书请求。CA审核通过您的证书请求后会为您签发证书。本文介绍向CA提交SSL证书请求的方法。

前提条件

您拥有处于 待申请 状态的证书实例。
如果您在创建SSL证书订单时选择 购买方式证书数量购买(即没有立即提交证书请求),那么在证书订单创建后,您将获得一个或多个处于 待申请 状态的证书实例。您可以随时使用这些实例提交证书请求。更多信息,请参见创建SSL证书订单

操作步骤

  1. 登录证书中心控制台

  2. 在左侧导航栏,选择 SSL证书 > 证书管理
  3. 在证书实例列表,找到您的证书实例,然后单击 操作 列的 申请证书

    说明

    申请证书 操作只在证书实例的状态是 待申请 时才会出现。您可以单击列表上方的 待申请,展示所有处于 待申请 状态的证书实例。

  4. 申请证书 页面,根据配置说明完成相关配置,然后单击 提交

证书请求后提交,对应证书实例的状态将从 待申请 变为 验证中

配置说明

配置项

说明

密钥算法

选择证书使用的密钥算法。

  • 证书标准国际标准 时,支持以下算法:
    • RSA(默认):RSA全称为Rivest, Shamir, Adleman,是目前在全球应用广泛的非对称加密算法,兼容性好。
    • ECC:ECC全称为Elliptic Curve Cryptography,表示椭圆曲线加密算法。相比RSA,ECC是一种更先进和安全的加密算法。ECC加密速度更快、效率更高、服务器资源消耗也更低。目前主流浏览器都支持ECC。
  • 证书标准国密标准 时,支持以下算法:
    • SM2:SM2是中国国家密码局发布的一种公开密钥加密标准。SM2是基于ECC的,SM2在安全性和性能上都比RSA更具优势。

CSR生成方式

选择CSR文件的生成方式。CSR(Certificate Signing Request)是您的证书签名请求文件,包含证书公钥以及您的域名、企业名称等信息。CSR需要提交给CA审核。可选项:

  • 自动(推荐):表示证书中心使用您指定的密钥算法自动为您生成CSR和私钥。CA为您签发证书后,您可以从证书中心控制台下载证书和私钥文件。

    注意

    只有CSR内容正确,证书请求才能成功。建议您选择自动生成CSR,避免由于CSR内容不正确导致证书请求失败。

  • 手动:表示您手动生成CSR和私钥,并将CSR内容填写到 CSR文件内容 输入框。您可以使用 OpenSSL、Keytool、火山引擎证书工具等生成CSR和私钥。
    为便于统一管理,您还可以将手动生成的私钥内容粘贴到 证书私钥文件 输入框。这样,您的私钥也由证书中心帮助您管理。如果不提供私钥,您需自行保管私钥。

    注意

    • 您填写的CSR中的信息与您选择的 信息模板 内容必须匹配。
    • 请务必保管好您的私钥。一旦私钥泄露,您的证书将变得不再安全。

CSR文件内容

填写CSR的内容。

说明

该输入框只在 CSR生成方式手动 时才会出现。

证书私钥文件

填写私钥的内容。

说明

该输入框只在 CSR生成方式手动 时才会出现。

域名(CN)

按照输入框内的说明,输入证书颁发给的域名。该配置对应于证书的CN(Common Name,公用名称)字段。
根据您在订购证书时选择的 域名类型,允许输入的内容不同。

  • 如果 域名类型单域名,您可以输入一个单域名或者一个IP地址。示例:example.comwww.example.com1.XX.XX.1

    说明

    只有当请求部分品牌的单域名SSL证书时,您才可以输入IP地址。更多信息,请参见支持IP证书的证书品牌

  • 如果 域名类型泛域名,您可以输入一个通配符域名。示例:*.example.com
  • 如果 域名类型混合多域名,请参见请求混合多域名证书

注意

如果您的域名有DNS CAA记录,那么请确保CAA记录中包含您选择的CA(由“证书品牌”决定)。CAA记录指定了允许为域名签发证书的CA。如果您选择的CA不在CAA记录中,那么当证书请求提交给CA后,CA将不予处理。这会导致您的证书请求一直处于“验证中”状态。更多信息,请参见检查CAA记录

备用域名(SAN)

按照输入框内的说明,输入证书要保护的其他对象。该配置对应于证书的SAN(Subject Alternative Name,主题备用名称)字段。
此处输入的对象不能与 域名(CN) 中的对象重复。更多说明,请参见请求混合多域名证书

说明

该输入框只在证书实例的 域名类型混合多域名 时才会出现。

选择信息模板

选择要使用的信息模板。信息模板分为 个人企业 类型。

  • 个人 类型的信息模板包含联系人的姓名、手机、邮箱。
  • 企业 类型的信息模板除了包含联系人的姓名、手机、邮箱,还包含企业的信息。
    如果您没有创建过信息模板,可以单击 新建模板,先创建一个信息模板。信息模板会保存在证书中心,方便重复使用。

注意

  • 请求OV/EV证书时,您必须选择 企业 类型的信息模板。
  • 请确保信息模板中提供的联系人信息准确,否则可能导致证书请求失败。
  • 您提交证书请求后,证书中心会向联系人手机和邮箱发送相关的验证通知。

域名验证方式

只有当证书实例的 域名类型单域名泛域名 时,您才需要配置该参数。
选择验证域名所有权的方式。可选项:

  • DNS验证(推荐):该方式要求您登录DNS服务商的系统,为域名创建一条DNS TXT/CNAME记录。CA定期检查指定的记录是否存在。当CA确认指定的记录存在时,DNS验证将会通过。

    说明

    如果您使用火山引擎TrafficRoute为域名提供DNS服务,DNS验证将会自动完成。您无需手动创建DNS记录。

  • 文件验证:该方式要求您添加指定的验证文件到Web服务器的指定路径。CA定期检查指定的文件是否能够访问。当CA确认指定的文件能够访问时,文件验证将会通过。

    说明

    • 文件验证 方式只有在证书实例的 域名类型单域名 时才会出现。

    注意

    • 选择该方式前,您必须确保Web服务器的地址(域名或IP)能够通过互联网访问。如果Web服务向中国内地用户提供服务,您必须完成ICP备案。推荐您使用火山引擎备案中心提交ICP备案申请。
    • CA只支持向80、443端口发送验证请求。选择该方式前,请确保您的Web服务器已经开放了80、443端口。
    • 如果为“主域名”(如example.com)或带有www前缀的子域名(如www.example.com)请求证书,在文件验证方式下,您必须同时为主域名以及对应带有www前缀的子域名都完成文件验证。您获得的证书将同时适用于主域名以及对应带有www前缀的子域名。更多信息,请参见我需要为“主域名”和“www前缀的子域名”分别申请一张证书吗?

后续操作

提交证书请求后,您需要配合CA完成证书信息验证。您可以单击证书实例的ID,进入证书详情页。证书详情页右侧的 订单进度 区域会显示证书请求的处理进度。

  • 请按照要求尽快完成域名验证。相关操作,请参见域名验证
  • 如果您请求的是OV/EV证书,CA还需要进行组织验证。在验证期间,请注意接听电话。更多信息,请参见组织验证