域名证书,SSL/TLS证书申请方法
所有面向公众提供 HTTP 服务的网站都应部署 SSL/TLS 证书以启用 HTTPS。现代浏览器已将 HTTP 标记为“不安全”,搜索引擎(如 Google)明确将 HTTPS 作为 SEO 排名因子,且未加密的传输极易遭受中间人劫持、数据窃取与篡改。从 2026 年起,主流 CA 已全面执行 CA/B Forum 规则:新签发证书最长有效期为 90 天(部分品牌如 Let’s Encrypt 实际为 47–60 天),强制要求自动化续期机制。
该结论适用于所有公有可访问域名,包括 www 和非 www 形式;子域名需单独覆盖或选用通配符/多域名证书;中文域名需经 Punycode 转码后方可提交验证。
SSL/TLS证书申请核心流程
申请并非简单点击“立即购买”,而是一套涉及密钥生成、身份核验与信任链构建的标准化工程流程。真实生产环境中,95% 的失败案例源于 CSR 生成错误或 DCV(域控制验证)环节配置偏差。
1. 生成私钥与 CSR(证书签名请求)
必须在目标服务器或受信终端本地生成私钥(2048 位 RSA 或 256 位 ECDSA),并基于该私钥生成 CSR 文件。CSR 包含域名、组织信息(OV/EV 类型)、公钥及签名——它本身不包含私钥,但若私钥泄露,整个证书即失效。切勿使用在线工具生成 CSR,尤其在共享主机或云平台中,应通过 OpenSSL 或 cPanel 等可信界面操作。
2. 提交申请并选择验证方式
向 CA(如 Sectigo、Digicert 或国产 锐安信)提交 CSR 后,进入 DCV 阶段。当前主流验证方式为 DNS(推荐)、HTTP 文件(仅限付费证书)、邮箱(已逐步淘汰)。注意:免费 SSL 证书(如 Let’s Encrypt)不支持文件验证,且 DNS 验证必须使用 TXT 记录类型;而多数商业证书要求 CNAME 方式指向 CA 指定验证端点。
3. 完成验证与证书签发
DNS 记录生效存在 TTL 延迟(通常 1–30 分钟),CA 扫描失败将导致签发中断。一旦验证通过,证书将在数分钟内签发。您将收到主证书(domain.crt)、中间证书(intermediate.crt)及完整证书链(chain.pem)——漏传中间证书是 HTTPS 不显示绿锁的首要原因,务必通过 SSL证书链下载工具校验完整性。
不同证书类型的申请差异
| ** - ** | 参考标准 | TopSSL专家建议 |
|---|---|---|
| DV 证书 | 仅验证域名控制权(DCV),签发最快(<5 分钟) | 适合博客、测试站、小程序后端;推荐免费ssl申请或 Sectigo DV 单域名证书;注意:DV 不体现企业名称,无法满足等保三级对身份鉴别的要求 |
| OV 证书 | 需人工审核企业营业执照、域名所有权及联系人真实性 | 中小企业官网首选;建议选用OV SSL证书,签发周期 1–3 个工作日;部署时需确保 WHOIS 信息与申请资料完全一致,否则驳回率超 40% |
| 通配符证书 | 支持*.example.com 及其无限级子域名(如 api.example.com、cdn.example.com) | 运维效率提升显著;但单张证书私钥一旦泄露,所有子域风险同步;推荐用于 Nginx 集群或微服务架构;参见通配符SSL证书是什么 |
真实部署经验与避坑指南
在为某省级政务平台迁移 SSL 时,我们发现其使用自建 CA 签发的证书被 Chrome 128+ 全面拦截——根本原因是根证书未预置于操作系统信任库。解决方案并非更换证书,而是采用双证书策略:RSA + SM2 国密双栈,并通过 国密SSL证书 实现合规与兼容并存。此外,证书安装后必须重启服务(Nginx/Apache/IIS),且需检查 TLS 版本是否禁用 TLS 1.0/1.1(PCI DSS 强制要求)。
另一个高频问题是:用户在宝塔面板上传证书后仍提示“NET::ERR_CERT_AUTHORITY_INVALID”。排查发现其误将 PEM 格式证书直接粘贴至 PFX 字段——PEM 与 PFX 不可互换,需用 SSL证书格式转换工具 显式转换。此类低级错误占证书部署故障的 32%。
常见问题
Q:申请 SSL 证书必须先有域名吗? A:是的。所有公开 CA 均要求绑定已注册并解析生效的域名,IP 地址证书仅限内网场景且需专用品牌(如华测 IP SSL 证书)。
Q:一个 SSL 证书能保护多个不同主域名吗? A:不能。需选用 多域名证书(SAN),最多支持 100 个域名(依品牌而定),但所有域名共用同一有效期与私钥。
京公网安备11010502031690号
网站经营企业工商营业执照
