客户问题

SSL 证书是否赠送主域名 绝大多数商业 SSL 证书（包括 DV SSL证书、OV SSL证书、EV SSL证书）在购买时默认仅覆盖「一个完全限定域名（FQDN）」，即你申请时填写的主域名（如 example.com 或 www.example.com），不自动赠送其他变体。 需特别注意：example.com 与 www.example.com 在 PKI 体系中被视为两个独立域名。若未明确选择「通配符」或「多域名」类型，单域名证书仅保护其中一个——多数 CA 默认签发 www.example.com（含隐式 SAN example.com）或按 ...

## 单域名证书是否自动包含 www 和主域？ 否。标准的单域名 SSL/TLS 证书（如 DV SSL证书）仅保护证书中 **明确列出的一个完全限定域名（FQDN）**，不自动包含其子域或等效变体。例如，若证书主题备用名称（SAN）中仅填写 `example.com`，则它仅覆盖 `https://example.com`；`www.example.com` 将被浏览器视为不同域名，触发证书不匹配警告。 同理，若证书仅签发给 `www.example.com`，则 `example.com`（裸域）无法通过验证。这是因为 TLS 握手阶段的 ...

通配符证书是否包含主域 是的，标准通配符 SSL 证书（如 *.example.com）**不包含主域（example.com）**，仅覆盖一级子域名（如 www.example.com、mail.example.com、api.example.com），但明确不覆盖裸域（即无前缀的根域名）。 该行为符合 RFC 6125 和主流浏览器（Chrome、Firefox、Safari）的证书验证逻辑：通配符 * 仅匹配单个标签（label），不能跨越点（.），因此 *.example.com 匹配 a.example.com，但不匹配 example.com（零个标签）或 a.b.example.com...

多域名证书是否会赠送域名 不会。多域名 SSL 证书（SAN 证书，Subject Alternative Name）仅提供对多个域名或子域名的 HTTPS 加密支持，本身不包含任何域名注册、续费或赠送服务。域名所有权与 SSL 证书是完全独立的两个资源：前者由域名注册局（如 CNNIC、ICANN 认证注册商）管理，后者由受信任的证书颁发机构（CA）签发。 在实际部署中，用户需自行持有并控制所有拟添加到 SAN 列表中的域名（即能通过 DNS 或 HTTP 方式完成 CA 要求的域名控制验证...

## 通配符证书为什么只能弄一个\*.不能弄主域名 免费通配符 SSL 证书（如 `*.example.com`）在 RFC 6125 和 CA/Browser Forum Baseline Requirements 中明确定义：其通配符 `*` 仅匹配\*\*单个最左侧标签（label）\*\*，且不匹配空标签或父域。因此 `*.example.com` 可覆盖 `www.example.com`、`api.example.com`、`mail.example.com`，但\*\*不覆盖 `example.com`（即裸域/主域名）\*\*，因为该域名不含子标签，通配符无处“匹配”。 技术上，X.509 ...

如何用Java Keytool生成自签名SSL证书 可使用 keytool（JDK 自带工具）通过 -genkeypair 命令直接生成密钥对并自签名证书，无需先生成 CSR。典型命令如下： keytool -genkeypair -alias myserver \ -keyalg RSA -keysize 2048 \ -storetype PKCS12 -keystore server.p12 \ -validity 365 \ -dname "CN=localhost,OU=Dev,O=MyOrg,L=Beijing,ST=Beijing,C=CN" \ -keypass changeit -storepass changeit 该命令生成一个 PKCS#12 格式的密钥...

私钥和证书报错 “私钥和证书报错”通常指 Web 服务器（如 Nginx、Apache）在加载 SSL/TLS 配置时拒绝启动或返回明确错误，常见于以下三类原因： 格式不匹配：私钥与证书的公钥不对应（即非同一密钥对生成），或证书链缺失/顺序错误；可通过 openssl x509 -noout -modulus -in cert.pem | openssl md5 与 openssl rsa -noout -modulus -in key.pem | openssl md5 对比 MD5 值验证是否匹配。 编码或换行问题：私钥未以 -----BEGIN RSA PRIVATE KEY...

sm2和国产根区别是什么 SM2 是一种基于椭圆曲线密码学（ECC）的国密算法标准（GM/T 0003–2012），用于数字签名、密钥交换和公钥加密；而“国产根”指由国家密码管理局（OSCCA）批准的、根证书预置在国产操作系统/浏览器信任库中的**国产 CA 根证书**，例如华测国密CA、CFCA、vTrus（天威诚信）、沃通（WoTrus）等签发的国密根证书。 二者属于不同层级的密码基础设施组件：SM2 是算法层规范，定义数学运算与协议流程；国产根是信任锚（Trust Anchor）层实体，其...

免费Sectigo SSL证书 Sectigo（原Comodo CA）官方不提供永久免费的SSL证书。其商业产品线（如 Sectigo SSL Certificate、Sectigo OV/EV SSL）均为付费签发，无官方免费计划。目前互联网上所谓“免费Sectigo SSL证书”，通常指以下两类情况： Let’s Encrypt 与 Sectigo 的历史关联：2019年前，Let’s Encrypt 的根证书 ISRG Root X1 通过交叉签名由 Sectigo（当时 Comodo）的 AAA Certificate Services 签发，以提升浏览器兼容性。但该交叉签名已于 202...

nginx 部署 在 Nginx 中部署 SSL/TLS 证书，核心是配置 server 块启用 HTTPS，并正确指定证书文件路径。需确保 Nginx 编译时启用了 http_ssl_module（默认开启），且操作系统已安装 OpenSSL 库。 典型配置如下： server { listen 443 ssl http2; server_name example.com; ssl_certificate /path/to/fullchain.pem; # 包含域名证书 + 中间证书（PEM 格式） ssl_certificate_key /path/to/privkey.pem; # 私钥文件（建议权限设为 600） ssl...

证书文件格式错误 “证书文件格式错误”通常指 Web 服务器（如 Nginx、Apache、IIS）在加载 SSL/TLS 证书时，因文件编码、结构或内容不符合 PEM/DER 标准而拒绝解析。常见原因包括：证书未以 -----BEGIN CERTIFICATE----- 开头、缺少结尾标记、混入不可见控制字符（如 Windows CRLF 在 Linux 环境下引发解析失败）、私钥与证书内容错位，或误将 PFX/P12 文件直接当作 PEM 使用。 PEM 格式要求严格：证书必须为 Base64 编码的 DER 数据，包裹在标准分隔...

私钥不匹配怎么办 私钥不匹配是指服务器配置的私钥文件与当前部署的 SSL证书 不构成数学配对（即证书中公钥无法由该私钥推导出），导致 TLS 握手失败，浏览器报错如 ERR_SSL_VERSION_OR_CIPHER_MISMATCH、SSL_ERROR_BAD_CERT_DOMAIN 或 OpenSSL 提示 key values mismatch。 根本原因是：X.509 证书绑定的是某次 CSR（Certificate Signing Request）生成时对应的公钥，而该公钥仅能由唯一对应的私钥解密/签名。若私钥被替换、截断、编码错误（如...

自动续签 自动续签（Auto-renewal）是指在 SSL/TLS 证书到期前，由客户端工具（如 Certbot、acme.sh）或托管平台（如云服务商控制台、CDN 控制台）主动发起 ACME 协议流程，完成域名验证、证书申请与部署的全过程，无需人工干预。 该机制依赖于 ACME 协议（RFC 8555）实现，核心步骤包括：检测证书剩余有效期（通常 ≤30 天触发）、执行 HTTP-01 或 DNS-01 挑战验证、向 CA 提交 CSR、下载新证书及中间证书、替换服务器上的旧证书文件并重载服务（如 Nginx...

Digicert SSL证书申请 DigiCert SSL证书申请需通过其授权的合作伙伴（如 TopSSL）完成，DigiCert 官方不直接面向终端用户开放自助申请入口。申请流程本质是「验证 + 签发」两阶段：用户提交域名与组织信息 → 合作伙伴初审并提交至 DigiCert → DigiCert 执行域名控制权验证（DCV）及/或组织真实性验证（OV/EV）→ 验证通过后签发证书。 申请前需明确证书类型：DV SSL证书 仅需验证域名控制权（如 DNS TXT 记录、HTTP 文件或邮箱验证）；OV SSL证书 和 ...

免费泛域名证书 目前主流公开信任的 CA 中，Let’s Encrypt 不提供泛域名（Wildcard）证书的免费签发服务。自 2018 年起，Let’s Encrypt 支持通过 DNS-01 挑战方式签发 *.example.com 类型的泛域名证书，但该能力仅限于 ACME 协议自动化流程，并非“无条件免费”——其核心限制在于：必须能对目标域名的 DNS 区域实施自动化 TXT 记录写入（如通过 API 集成 Cloudflare、阿里云、腾讯云等支持 DNS API 的服务商），且需自行维护 ACME 客户端（如...

企业部署ssl注意什么？ 企业部署 SSL/TLS 证书需兼顾安全性、合规性、运维可持续性与终端兼容性，而非仅完成 HTTPS 启用。核心关注点包括证书类型选择、私钥生命周期管理、协议与密码套件配置、证书链完整性、以及自动化续期机制。 首先，证书验证等级应匹配业务风险：面向公众的官网、登录页、支付接口等必须使用 OV SSL证书 或 EV SSL证书，以通过组织身份核验并提升用户信任；内部系统或 API 可酌情采用 DV SSL证书，但须确保不混用于高敏感场景。...

买EV SSL 证书有意义吗 在当前（2026年）主流浏览器环境下，购买 EV SSL证书 对绝大多数网站已无实际安全或显示价值。 EV（Extended Validation）证书的核心设计目标是通过严格组织身份核验，在地址栏显示绿色公司名称（如早期 Chrome、Firefox 所示）。但自 2019 年起，Chrome 宣布移除地址栏中的 EV 标识；Firefox、Safari 和 Edge 随后跟进。目前所有主流浏览器均不再以视觉方式区分 EV 与其他类型证书（如 OV SSL证书 或 DV SSL证书），仅在证书...

华测国密CA 华测国密CA（全称：华测认证（深圳）有限公司国密SSL证书签发服务）是经国家密码管理局（SM2/SM3/SM4）和工信部许可的商用密码认证机构，提供符合《GM/T 0024-2014 SSL VPN技术规范》及《GB/T 38636-2020 信息安全技术 传输层密码协议（TLCP）》标准的国密SSL证书。 其证书采用SM2椭圆曲线公钥算法签名、SM3杂凑算法生成摘要，并支持双证书链部署（SM2 + RSA混合信任链），适配国密浏览器（如红莲花、360安全浏览器国密版）、政务云平台、金融信...

多域名证书可以后期增加域名吗？ 不可以。SSL/TLS 多域名证书（SAN 证书）在签发时已将所有域名（Subject Alternative Name 条目）固化于证书的 subjectAltName 扩展字段中，该字段不可修改。证书一旦由 CA 签发并部署，其包含的域名列表即为静态快照，任何新增、删除或修改域名的操作都必须重新申请并签发新证书。 这一限制源于 X.509 标准（RFC 5280）与 PKI 信任模型的设计原则：证书是数字签名的不可变声明，私钥持有者无法单方面扩展其授权范...