如何购买SSL证书
购买SSL证书前,需要先确定网站类型、保护域名数量以及是否需要企业身份验证。
对于个人网站,可选择DV SSL证书;
对于企业官网、电商平台和业务系统,则建议选择OV或EV SSL证书。
完成申请、域名验证和部署后,即可启用HTTPS加密访问。
现在的的网站在启用 HTTPS 加密后,发现购买本身只是第一步。真实工程实践中,很多证书部署失败源于证书类型选错、域名验证遗漏或证书链未完整部署。
所以购买前需明确:
- 是否需保护 www 与非 www 域名、
- 是否含子域名、
- 是否需企业身份展示、
- 是否兼容国密算法。
这些直接决定应选单域名证书、多域名证书还是通配符SSL证书。
SSL证书购买流程
SSL证书购买不是简单下单,而是包含技术确认、合规验证与部署准备的闭环过程。
从申请到生效,典型周期为 5 分钟(DV)至 3 个工作日(OV/EV)。
所有正规 CA(如 Sectigo、Digicert、锐安信)均要求通过域控制验证(DCV)确认申请人对域名的实际管理权,浏览器信任完全依赖该验证强度。
1. 明确业务需求与证书类型
不加区分地购买最贵证书是常见误区。
中小企业官网若仅需基础加密与绿锁显示,DV SSL证书已足够;
如果需在地址栏显示企业名称并增强用户信任(如金融、电商类网站),必须选择 OV SSL证书 或 EV SSL证书;
如果需统一保护 api.example.com、shop.example.com 等多个子域,通配符SSL证书 是唯一经济方案。
注意:自 2021 年起,CA/B Forum 明确禁止通配符证书使用文件验证方式,仅支持 DNS 或邮箱验证。
2. 选择合规且受信的CA机构
浏览器信任 ≠ 所有CA都可用。
国内主流浏览器(Chrome、Edge、Firefox)默认信任根证书主流浏览器仅信任经过严格审计并纳入根证书计划的CA机构。
2026 年起,部分国际 CA(如 Entrust)签发的新证书已被 Chrome 逐步停止信任。
所以建议优先选用同时具备 WebTrust 和国密 SM2 双认证的CA,兼顾全球兼容与国产化适配。
3. 提交申请与完成域名验证
购买后立即进入域名验证环节,这是证书签发前的强制步骤。
DV 类型支持三种方式:
- 管理员邮箱验证(仅限 hostmaster@、admin@ 等预设邮箱)
- DNS TXT 记录添加(推荐,响应快且可自动化)
- HTTP 文件上传(仅限根域,不适用于通配符)。
OV/EV 需提交
- 营业执照
- 组织代码证
等材料供人工审核。
特别提醒: 若使用 CDN 或 WAF,如果采用HTTP文件验证,需要确保验证文件能够被CA访问; 若使用DNS验证,则需正确添加指定TXT记录,不然就会卡在“验证中”状态。 另外DV的验证当前主流CA更推荐DNS验证和文件验证方式,邮箱验证的适用范围正在逐步缩小。
4. 下载、安装与链完整性检查
证书签发后,务必下载完整的证书包(含站点证书、中间证书、根证书),而非仅 .crt 文件。
Nginx/Apache 需合并中间证书与站点证书;
IIS 需导入 PFX(含私钥);
Tomcat 需 JKS 格式。
部署后用 SSL证书检查工具 验证证书链是否完整——链断裂会导致 Safari、iOS 设备显示“此连接不安全”,而 Chrome 可能静默降级。
| 维度 | 参考标准 | 部署建议** |
|---|---|---|
| 证书有效期 | 行业正在持续缩短证书有效期,因此证书生命周期管理越来越重要 | 优先选择支持自动续签的证书;免费 SSL默认 90 天,运维成本高 |
| 加密套件支持 | TLS 1.2+ 强制启用,TLS 1.0/1.1 已被主流浏览器废弃 | Nginx 配置中禁用弱加密套件,启用 ECDHE + AES-GCM |
| 国密合规性 | 《密码法》要求关键信息基础设施须支持 SM2/SM3/SM4 | 政务、金融类网站建议部署国密SSL证书,搭配红莲花、360 等国产浏览器 |
SSL证书价格怎么选?
SSL证书的选择可以从三个维度判断:验证等级、覆盖方式和使用场景。
1. 按验证等级选择
| 类型 | 安全等级 | 适用场景 |
|---|---|---|
| DV SSL | 基础加密 | 个人网站、博客、测试环境 |
| OV SSL | 企业认证 | 企业官网、SaaS平台 |
| EV SSL | 高级认证 | 金融、电商、政务系统 |
2. 按域名覆盖方式选择
| 类型 | 覆盖范围 | 适用场景 |
|---|---|---|
| 单域名SSL | 1个域名 | 小型网站 |
| 通配符SSL | 无限子域名 | 多子站系统 |
| 多域名SSL(SAN) | 多个独立域名 | 集团站点 |
3. 按成本与使用方式选择
| 类型 | 特点 | 适用人群 |
|---|---|---|
| 免费SSL | 90天自动续期 | 个人/开发者 |
| 商业SSL | 稳定+支持 | 企业网站 |
| 企业PKI/国密SSL | 合规要求 | 政务/金融 |
至于价格需要根据选择类型赖确定实际价格几百元至几千元不等。
SSL证书部署常见陷阱
有客户在 ECS 上部署 DV 证书后,Chrome 显示绿锁但微信内置浏览器报 ERR_SSL_VERSION_OR_CIPHER_MISMATCH。
排查发现其 Nginx 未关闭 TLS 1.0 且未启用 OCSP Stapling,导致移动端握手失败。
真实生产环境必须在 Chrome、Safari、微信、支付宝四端交叉验证。
另需注意:
同一域名不可混用不同 CA 的证书,否则易触发证书吊销误判; 通配符证书无法保护顶级域(如 *.example.com 不覆盖 example.com),需额外申请主域证书或选用 SAN 证书。
常见问题
SSL证书在哪里买最可靠?
选择正规CA授权服务商或官方渠道。
SSL证书价格越贵越安全吗?
不一定。
加密强度通常相同。
差异主要在:
- 身份验证等级
- 品牌信任
- 技术服务
- 保险保障
SSL证书买几年最划算?
现在多数证书采用订阅模式,但可一次购买多年服务并自动续签。
购买 SSL 证书需要提供营业执照吗?
DV 证书仅需域名控制权验证;
OV/EV 证书必须提交企业资质,EV 还需电话核实。
一张 SSL 证书能保护多个不同域名吗?
可以,
需选择多域名证书(SAN SSL证书),最多支持 100+ 域名,但所有域名共用同一有效期与私钥。
免费 SSL 证书能用于企业官网吗?
技术上可行,
但缺乏企业身份背书、不支持客户端证书、无专业技术支持,且 90 天有效期大幅增加运维风险,不建议长期用于生产环境。
京公网安备11010502031690号
网站经营企业工商营业执照
