企业级SSL证书申请指南(2026实操版)
企业级SSL证书申请必须通过组织验证(OV)或扩展验证(EV)流程,不能仅靠域名控制验证(DCV)。真实企业需提交营业执照、法人身份证明、域名所有权及实际运营信息,由CA机构人工审核。整个过程通常需1–5个工作日,不支持全自动签发。未完成资质核验的申请将被中止,且部分国产CA(如华测、CFCA)要求提供加盖公章的授权书。
什么是企业级SSL证书?
企业级SSL证书指经过严格组织身份核验的OV SSL证书与EV SSL证书,区别于仅验证域名归属的DV证书。它在HTTPS加密基础上,向用户明确展示企业全称、注册地址、行业类别等可信信息,浏览器地址栏可显示绿色公司名称(EV)或证书详情页可查组织字段(OV)。该类证书是金融、政务、电商等高信任场景的合规基线,也是等保三级、GDPR、PCI DSS等标准的推荐配置项。
OV与EV的核心差异
OV证书验证企业合法存续与域名控制权,签发后可在证书详情中查看Organization字段;EV证书则执行CA/B Forum EV Guidelines全部27项核查,包括实体物理地址现场核验、电话回访、政府数据库比对等,浏览器直接渲染绿色企业标识。2026年起,主流浏览器已取消EV绿标UI,但EV证书仍具法律效力与更高吊销响应优先级。
浏览器信任机制依赖根证书预置
所有企业级SSL证书必须由操作系统或浏览器内置信任的根CA签发。例如华测OV证书使用GlobalSign R3交叉签名链,锐安信OV证书采用Domestic Root+Let’s Encrypt ISRG交叉链,确保Chrome/Firefox/Safari/Edge及国产红莲花、360等均默认信任。若使用私有根或未入根国产CA,则需手动部署根证书,不适用于面向公众的网站。
企业级SSL证书申请全流程
第一步:确认资质——准备三证合一营业执照扫描件、法人身份证正反面、域名WHOIS信息截图(需与营业执照名称一致)、企业官网截图及联系人手机号/固话;第二步:生成CSR——使用OpenSSL或服务器面板生成2048位以上RSA或ECDSA密钥对,禁止使用弱算法(SHA1、RSA1024);第三步:提交验证——选择CA(如华测OV SSL证书、锐安信OV SSL证书),上传材料并配合电话核验;第四步:安装部署——获取证书链后,按Nginx/Apache/IIS规范配置,务必包含中间证书,否则将触发“证书链不完整”警告。
部署限制与真实运维经验
多台服务器共用同一张OV证书无需额外授权,但通配符OV证书(如*.example.com)无法覆盖二级子域(如a.b.example.com),此为RFC 6125硬性限制。曾遇某银行客户因误用单级通配符保护三级内网系统,导致iOS 17设备TLS握手失败——最终改用多域名OV证书(含12个显式子域)解决。另需注意:2026年Q2起,所有新签OV/EV证书有效期上限为398天,超期自动截断。
| 环节 | 参考标准 | TopSSL专家建议 |
|---|---|---|
| 企业资质文件 | CA/B Forum BR v2.0 §3.2.2 | 营业执照需在有效期内,经营范围须含网站所属业务;境外企业需提供使馆认证文件 |
| CSR密钥强度 | RFC 8659 §4.1 | 禁用RSA1024;推荐ECDSA secp384r1或RSA3072;密钥必须本地生成,严禁CA代管 |
| 证书链完整性 | CA/B Forum SCWG §7.1 | 必须部署完整链(End Entity → Intermediate → Root),缺失中间证书将致Android 8+设备报ERR_CERT_AUTHORITY_INVALID |
常见问题
Q:企业没有公网IP,只有内网域名,能申请OV证书吗?
A:可以。华测、CFCA等支持内网IP+域名组合验证,需提供网络拓扑说明及加盖公章的《内网使用承诺函》,TopSSL提供人工通道协助处理。
Q:OV证书是否支持国密SM2算法?
A:支持。锐安信、华测、沃通均提供SM2+RSA双算法OV证书,适配红莲花、360安全浏览器及政务云环境,需搭配国密SSL网关使用。
Q:申请OV证书后,多久能收到发票?
A:TopSSL平台下单即开电子专票,企业认证后可补开纸质发票,3个工作日内寄出,符合财税〔2017〕16号文要求。
京公网安备11010502031690号
网站经营企业工商营业执照
