客户问答

购买之前页面显示有效期一年 为什么签发之后的证书有效期只有 6个月 这是由 CA/B 论坛（CA/Browser Forum）自 2020 年 9 月 1 日起强制实施的 Baseline Requirements（BR）第 3.3.1 条 规定所致：所有公开信任的 ssl证书 最长有效期不得超过 398 天（约 13 个月），而自 2023 年 9 月 1 日起，该上限进一步收紧为 397 天；但更重要的是，主流公共信任 CA（如 Lets Encrypt、Sectigo、Digicert、Geotrust 等）在实际策略中普遍将默认签发时长设为 39...

永久免费ssl证书申请 目前不存在真正「永久免费」的 SSL/TLS 证书。所有公开信任的 SSL 证书均受 CA/B 论坛基线要求（Baseline Requirements）约束，强制规定证书有效期不得超过 398 天（自 2020 年 9 月起生效，RFC 9162 明确）。主流浏览器（Chrome、Firefox、Safari）严格拒绝验证有效期超过此限制的证书。 所谓“永久免费”通常源于以下两类误解或特殊场景： 自动续期的免费证书：如 Lets Encrypt 提供的 DV SSL证书，本身免费且无品牌限制，但单次...

OV SSL 证书适合哪些企业网站 OV SSL证书（组织验证型 SSL 证书）适用于需要向用户明确展示真实身份、且对信任等级有中等以上要求的企业网站，典型场景包括：企业官网、品牌电商、SaaS 平台、金融类子站（非核心交易页）、政府及事业单位对外服务系统、B2B 供应商门户等。 与 DV SSL证书（域名验证型）相比，OV 证书在签发前需由 CA 机构人工审核申请单位的工商注册信息、办公地址、电话等组织实体资料，证书中会包含经验证的组织名称（Subject: O=XXX ...

企业官网必须使用 OV 吗 不必须。企业官网是否使用 OV SSL证书 取决于安全需求、品牌信任诉求与合规要求，而非技术强制性。从 TLS 协议和浏览器兼容性角度看，DV（域名验证）、OV（组织验证）甚至自签名证书均可实现 HTTPS 加密通信；但现代浏览器仅要求证书由可信 CA 签发且链路完整，不限制验证等级。 OV 证书的核心价值在于其包含经人工核验的企业注册信息（如公司名称、所在地、统一社会信用代码），该信息在证书详情中可查，并在部分旧版浏览器地...

dns解析 DNS 解析（Domain Name System Resolution）是指将人类可读的域名（如 www.example.com）转换为机器可识别的 IP 地址（如 192.0.2.1 或 2001:db8::1）的过程，是互联网访问资源的前提步骤。 该过程通常遵循递归查询路径：客户端向本地 DNS 服务器（如运营商 DNS 或公共 DNS）发起请求；若本地缓存未命中，则由该服务器逐级向上查询根域名服务器 → 顶级域（TLD）服务器（如 .com）→ 权威域名服务器（Authoritative NS），最终获取目标域名对应的...

BaiduTrust BaiduTrust 是百度于 2015 年推出的第三方网站可信认证服务，非 SSL/TLS 证书，也不属于 PKI 体系中的数字证书。它本质上是百度搜索生态内的一种「商业背书标识」，通过百度审核后在搜索结果页展示「百度可信」标签，用于提升点击率与用户信任感，但不参与 HTTPS 加密、身份验证或浏览器地址栏安全锁显示。 与 ssl证书 的核心区别在于：BaiduTrust 不提供公钥基础设施（PKI）支持，不签发 X.509 证书，不被操作系统或浏览器信任库加载；其...

阿里云 阿里云（Alibaba Cloud）是阿里巴巴集团旗下的云计算及人工智能科技公司，提供包括云服务器（ECS）、对象存储（OSS）、CDN、负载均衡（SLB）、Web应用防火墙（WAF）以及SSL/TLS证书服务等基础设施与安全能力。 在SSL/TLS领域，阿里云提供自有品牌的ssl证书管理控制台，支持一键部署至其ECS、SLB、WAF、CDN等产品；同时兼容第三方CA签发的证书（如Sectigo、Digicert、Geotrust、Lets Encrypt等），并支持国密SM2算法证书（需搭配国密SSL证书兼容环境）。 阿...

金融级SSL “金融级SSL”并非RFC或CA/Browser Forum定义的标准术语，而是行业对满足金融行业强身份验证、高加密强度与合规审计要求的SSL/TLS证书及配套部署实践的统称。其核心特征包括：采用OV SSL证书或EV SSL证书进行组织身份严格核验；支持TLS 1.2+（推荐TLS 1.3）及前向保密（PFS）密钥交换；使用至少RSA 2048位或ECDSA P-256签名算法；禁用弱密码套件（如RC4、SHA-1、TLS 1.0/1.1）；并通常需通过等保三级、PCI DSS或《金融行业网络安全等级保护基...

企业型SSL证书 “企业型SSL证书”通常指面向组织实体验证身份的 SSL/TLS 证书，即 OV SSL证书（Organization Validation）或更高级别的 EV SSL证书（Extended Validation）。这类证书在签发前需由 CA 对申请组织的真实性、合法性和运营状态进行人工审核，验证内容包括营业执照、域名所有权、组织地址与电话等，符合 RFC 3647 和 CA/Browser Forum Baseline Requirements 要求。 与仅验证域名控制权的 DV SSL证书 不同，OV/EV 证书的证书主题...

SSL 证书是否赠送主域名 绝大多数商业 SSL 证书（包括 DV SSL证书、OV SSL证书、EV SSL证书）在购买时默认仅覆盖「一个完全限定域名（FQDN）」，即你申请时填写的主域名（如 example.com 或 www.example.com），不自动赠送其他变体。 需特别注意：example.com 与 www.example.com 在 PKI 体系中被视为两个独立域名。若未明确选择「通配符」或「多域名」类型，单域名证书仅保护其中一个——多数 CA 默认签发 www.example.com（含隐式 SAN example.com）或按 ...

## 单域名证书是否自动包含 www 和主域？ 否。标准的单域名 SSL/TLS 证书（如 DV SSL证书）仅保护证书中 **明确列出的一个完全限定域名（FQDN）**，不自动包含其子域或等效变体。例如，若证书主题备用名称（SAN）中仅填写 `example.com`，则它仅覆盖 `https://example.com`；`www.example.com` 将被浏览器视为不同域名，触发证书不匹配警告。 同理，若证书仅签发给 `www.example.com`，则 `example.com`（裸域）无法通过验证。这是因为 TLS 握手阶段的 ...

通配符证书是否包含主域 是的，标准通配符 SSL 证书（如 *.example.com）**不包含主域（example.com）**，仅覆盖一级子域名（如 www.example.com、mail.example.com、api.example.com），但明确不覆盖裸域（即无前缀的根域名）。 该行为符合 RFC 6125 和主流浏览器（Chrome、Firefox、Safari）的证书验证逻辑：通配符 * 仅匹配单个标签（label），不能跨越点（.），因此 *.example.com 匹配 a.example.com，但不匹配 example.com（零个标签）或 a.b.example.com...

多域名证书是否会赠送域名 不会。多域名 SSL 证书（SAN 证书，Subject Alternative Name）仅提供对多个域名或子域名的 HTTPS 加密支持，本身不包含任何域名注册、续费或赠送服务。域名所有权与 SSL 证书是完全独立的两个资源：前者由域名注册局（如 CNNIC、ICANN 认证注册商）管理，后者由受信任的证书颁发机构（CA）签发。 在实际部署中，用户需自行持有并控制所有拟添加到 SAN 列表中的域名（即能通过 DNS 或 HTTP 方式完成 CA 要求的域名控制验证...

## 通配符证书为什么只能弄一个\*.不能弄主域名 免费通配符 SSL 证书（如 `*.example.com`）在 RFC 6125 和 CA/Browser Forum Baseline Requirements 中明确定义：其通配符 `*` 仅匹配\*\*单个最左侧标签（label）\*\*，且不匹配空标签或父域。因此 `*.example.com` 可覆盖 `www.example.com`、`api.example.com`、`mail.example.com`，但\*\*不覆盖 `example.com`（即裸域/主域名）\*\*，因为该域名不含子标签，通配符无处“匹配”。 技术上，X.509 ...

如何用Java Keytool生成自签名SSL证书 可使用 keytool（JDK 自带工具）通过 -genkeypair 命令直接生成密钥对并自签名证书，无需先生成 CSR。典型命令如下： keytool -genkeypair -alias myserver \ -keyalg RSA -keysize 2048 \ -storetype PKCS12 -keystore server.p12 \ -validity 365 \ -dname "CN=localhost,OU=Dev,O=MyOrg,L=Beijing,ST=Beijing,C=CN" \ -keypass changeit -storepass changeit 该命令生成一个 PKCS#12 格式的密钥...

私钥和证书报错 “私钥和证书报错”通常指 Web 服务器（如 Nginx、Apache）在加载 SSL/TLS 配置时拒绝启动或返回明确错误，常见于以下三类原因： 格式不匹配：私钥与证书的公钥不对应（即非同一密钥对生成），或证书链缺失/顺序错误；可通过 openssl x509 -noout -modulus -in cert.pem | openssl md5 与 openssl rsa -noout -modulus -in key.pem | openssl md5 对比 MD5 值验证是否匹配。 编码或换行问题：私钥未以 -----BEGIN RSA PRIVATE KEY...

sm2和国产根区别是什么 SM2 是一种基于椭圆曲线密码学（ECC）的国密算法标准（GM/T 0003–2012），用于数字签名、密钥交换和公钥加密；而“国产根”指由国家密码管理局（OSCCA）批准的、根证书预置在国产操作系统/浏览器信任库中的**国产 CA 根证书**，例如华测国密CA、CFCA、vTrus（天威诚信）、沃通（WoTrus）等签发的国密根证书。 二者属于不同层级的密码基础设施组件：SM2 是算法层规范，定义数学运算与协议流程；国产根是信任锚（Trust Anchor）层实体，其...

免费Sectigo SSL证书 Sectigo（原Comodo CA）官方不提供永久免费的SSL证书。其商业产品线（如 Sectigo SSL Certificate、Sectigo OV/EV SSL）均为付费签发，无官方免费计划。目前互联网上所谓“免费Sectigo SSL证书”，通常指以下两类情况： Let’s Encrypt 与 Sectigo 的历史关联：2019年前，Let’s Encrypt 的根证书 ISRG Root X1 通过交叉签名由 Sectigo（当时 Comodo）的 AAA Certificate Services 签发，以提升浏览器兼容性。但该交叉签名已于 202...

nginx 部署 在 Nginx 中部署 SSL/TLS 证书，核心是配置 server 块启用 HTTPS，并正确指定证书文件路径。需确保 Nginx 编译时启用了 http_ssl_module（默认开启），且操作系统已安装 OpenSSL 库。 典型配置如下： server { listen 443 ssl http2; server_name example.com; ssl_certificate /path/to/fullchain.pem; # 包含域名证书 + 中间证书（PEM 格式） ssl_certificate_key /path/to/privkey.pem; # 私钥文件（建议权限设为 600） ssl...