企业SSL证书怎么买?
企业SSL证书必须通过具备WebTrust认证资质的CA机构购买,不能自行生成或从非授权渠道获取。主流选择包括锐安信、Digicert、GlobalSign、CFCA等品牌,需完成企业身份核验(如营业执照、统一社会信用代码、法人信息等),整个流程通常需1–3个工作日。购买后需正确部署证书链与私钥,并确保服务器支持TLS 1.2+及现代加密套件。
企业SSL证书不是简单下单即可生效的数字商品,而是一套信任凭证交付过程。CA机构依据CA/Browser Forum Baseline Requirements对申请主体做严格验证,尤其OV/EV类证书要求人工审核企业注册真实性、联系方式有效性及域名控制权。我们曾协助某省级政务平台完成CFCA EV SSL采购,因工商系统数据延迟导致首次验证失败,最终通过提交加盖公章的《单位授权书》+《域名使用声明》补审通过——这类真实卡点在自动化申请中极易被忽略。
企业SSL证书类型与适用场景
企业应根据业务属性、合规要求与用户信任预期选择对应等级证书:
- DV证书:仅验证域名控制权,适合内部系统、测试环境或初创官网,不体现企业身份;
- OV证书:验证企业合法存续性,证书详情页显示公司全称,是中小企业官网、电商平台、SaaS服务的主流选择;
- EV证书:执行最严尽职调查(含实地核查),地址栏显示绿色企业名称,适用于银行、支付网关、政府门户等高敏感场景。
采购关键步骤与工程注意事项
1. 域名与服务器准备
确认需保护的域名结构:单域名(单域名证书)、多子域(选通配符SSL证书)或跨域(选多域名证书)。注意:通配符证书不覆盖根域(如*.example.com ≠ example.com),需额外添加主域或选用SAN方案。
2. 企业材料预审
提前在“国家企业信用信息公示系统”或“企查查”核对营业执照信息是否一致。我们发现超60%的OV/EV驳回案例源于注册地址/电话与第三方平台不匹配。若使用英文名申请,需确保商务部备案或境外注册文件可同步验证。
3. CSR生成与密钥安全
必须在目标服务器上生成CSR(Certificate Signing Request),私钥严禁导出至公网设备。曾有客户在Windows IIS导出PFX后误传至GitHub私有库,导致私钥泄露风险——建议使用OpenSSL命令行本地生成,并立即设置400权限:chmod 400 private.key。
| - | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 有效期 | CA/B Forum强制≤398天(约13个月) | 优先选2年期分段签发方案,避免集中续期运维压力;2026年起行业正向47天过渡,需规划自动化轮换机制 |
| 加密算法 | RSA 2048+ 或 ECC secp256r1+ | 新部署禁用SHA-1及RSA 1024;金融类系统建议启用国密SM2双证书(国密SSL证书) |
| 证书链完整性 | 必须包含中间证书(Intermediate CA) | Nginx需合并crt文件;Apache需单独配置SSLCertificateChainFile;IIS须导入完整证书链否则iOS Safari报错 |
常见问题
Q:企业SSL证书可以在多个服务器上安装吗?
A:可以。商业证书授权允许无限次部署,但需确保每台服务器私钥独立保管,禁止共用同一份PFX文件。
Q:OV证书验证失败常见原因有哪些?
A:第三方平台查无企业登记信息、注册电话无法接通、域名DNS未指向当前服务器、邮箱未配置MX记录导致DCV邮件验证失败。
Q:是否必须购买付费证书?免费SSL证书能用于企业官网吗?
A:Let’s Encrypt等免费DV证书技术上可行,但缺乏企业身份展示、无保险赔付、不支持客户端证书及OCSP Stapling高级特性,且2026年起90天有效期将显著增加运维成本——申请免费SSL证书仅建议用于临时项目。
京公网安备11010502031690号
网站经营企业工商营业执照
