SSL证书怎么续签?
SSL证书不能“延长有效期”,必须通过续签(renewal)获取一张全新签发的证书。所有主流CA(如Sectigo、Digicert、锐安信、华测等)均遵循CA/Browser Forum强制规范:单次签发最长398天(约13个月),到期前必须完成续签并重新部署。未及时续签将导致浏览器显示“您的连接不是私密连接”等严重安全警告,直接影响用户信任与SEO排名。
当前时间是2026年3月31日,根据最新行业实践,90天自动续签已成为高可用网站标配——例如GoDaddy已全面推行每季度自动补发机制,而Let’s Encrypt也于2025年起试点6天超短期证书。人工续签仍占中小企业主力,但务必预留至少7个工作日操作窗口,避免因DNS验证延迟或CA人工审核导致服务中断。
SSL证书续签的核心技术机制
证书续签不是简单“延时”,而是完整重签流程
续签本质是发起一次全新证书申请:生成新CSR → 重新完成域名控制验证(DCV)→ CA签发新证书 → 替换服务器旧文件。即使使用相同私钥,证书序列号、签名时间、OCSP响应有效期全部重置。TLS握手过程中,客户端校验的是证书链中每个节点的NotAfter字段,旧证书一旦过期即被拒绝,不存在兼容性回退。
不同验证类型对续签的影响差异显著
DV证书续签最快,通常DNS或HTTP文件验证可在10分钟内完成;OV/EV证书需重新提交企业执照、官网截图及联系人资质,锐安信或CFCA等国产CA平均审核耗时为1–3个工作日。值得注意的是:自2024年12月起,Geotrust与DigiCert已取消WHOIS验证方式,仅支持DNS或邮箱验证,这对历史使用WHOIS验证的老客户构成迁移成本。
证书链完整性决定续签后是否被浏览器信任
续签后若仅部署终端证书(domain.crt),未同步更新中间证书(intermediate.crt),将触发NET::ERR_CERT_AUTHORITY_INVALID错误。TopSSL提供一键下载完整证书链工具,支持自动合并根证书与中间证书。生产环境强烈建议使用OpenSSL命令验证:openssl verify -untrusted intermediate.crt domain.crt,返回OK才代表链完整。
SSL证书续签的工程实践要点
| ** - ** | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 操作时机 | CA/B Forum BR 1.8.1:建议提前30天启动续签 | 实际运维中,我们要求客户在到期前45天启动——预留15天缓冲期应对DNS传播延迟、邮箱验证拦截、或CA临时升级导致的审核排队 |
| CSR处理 | RFC 2986:CSR应含正确SubjectAltName | 禁止复用旧CSR!尤其当子域名结构变更时(如新增api-v2.example.com),必须生成新CSR并确认SAN字段完整覆盖所有业务域名 |
| 部署验证 | Chrome 128+ 强制检查OCSP Stapling状态 | 续签后必须执行三步验证:①SSL证书检查工具扫描链完整性;② curl -I https://yoursite.com 确认HTTP/2与HSTS头生效;③ 使用Chrome开发者工具Security面板确认“Valid”状态 |
常见问题
Q:续签后证书显示只有1年,但我买的是3年? A:符合全球合规要求——自2020年9月起所有CA签发证书最长398天。多年期购买本质是“分批激活”,首年证书到期后,系统自动释放第二年配额并触发续签流程,总有效期按年叠加。
Q:通配符证书(*.example.com)续签时能增加二级子域(如 admin.api.example.com)吗? A:不能。通配符仅覆盖一级子域,新增二级子域必须改用多域名证书(SAN)或单独申请新通配符(*.*.example.com不被任何CA支持)。
Q:续签时可以更换CA品牌吗? A:完全可以。只需确保新CA支持您当前服务器环境(如IIS需PFX格式,Nginx需PEM)。TopSSL平台支持Sectigo→锐安信、Digicert→华测等跨品牌平滑切换,提供免费格式转换与安装指导。
京公网安备11010502031690号
网站经营企业工商营业执照
