在開啟托管服務后,若您已授權域名免驗證,在舊證書到期前30天(自然日),阿里云將自動為您申請并簽發新的證書。若未授權域名免驗證,在舊證書到期前30天(自然日),您需配合CA中心進行域名所有權驗證,以確保新證書順利簽發。本文介紹在開啟證書托管后如何授權域名免驗證實現證書在到期前的自動簽發能力、如何配合CA中心完成新證書的域名所有權驗證以及如何選擇新證書的部署方式。
托管服務時效說明
數字證書管理服務會在舊證書過期之前持續對該證書進行托管。舊證書到期之后,數字證書管理服務不再對該證書進行托管,對應的新證書會進入申請失敗狀態。您需要在數字證書管理服務控制臺上自行申請新的證書。關于申請證書的具體操作,請參見提交證書申請。
您可以登錄數字證書管理服務控制臺,在SSL證書管理頁面,定位到已托管的證書,單擊其狀態欄的
圖標,并在提示信息對話框單擊查看進度,即可在證書進度面板查看已托管證書的生命周期,進度流程圖中的證書到期時間即是本次證書托管服務的到期時間。
預計托管證書到期時間是指托管服務順利幫您申請并簽發新證書的情況下,新證書的到期時間。舊證書到期前30天內,您需要配合CA中心進行新證書的資質認證。只有在舊證書到期前30天至舊證書到期這段時間內,新證書順利簽發,預計托管證書到期時間才會生效。舊證書到期后,托管服務會失效。此時如果新證書仍未簽發,您需要自行申請新證書,同時預計托管證書到期時間會失效,新證書的到期時間為新證書簽發時間后1年。
授權域名免驗證
每次申請SSL證書時都需要配合CA機構驗證域名所有權,因此通常會因為驗證不及時而導致證書簽發不成功或簽發時間過長。為了解決該問題,阿里云提供了域名免驗證授權解決方案,您可以在域名所在的DNS解析服務商添加阿里云生成的CNAME類型的解析記錄,添加完成并在數字證書管理服務控制臺驗證通過后,該域名在后續申請SSL證書時將不再重復DNS驗證。具體操作,請參見添加并授權免DNS驗證的域名。
配合CA中心進行新證書的資質認證
在舊證書到期前30天,數字證書管理服務會自動向CA中心發送新證書申請。由于CA中心審核DV、OV、EV證書的方式不同,在此階段您需要執行不同的操作來配合CA中心進行資質認證,確保新證書能順利簽發。以下表格描述了您需要執行的具體操作。
上傳的第三方證書和個人測試證書不支持補齊舊證書的剩余有效期,為了避免舊證書剩余有效期的浪費,數字證書管理服務會在該類證書到期前15天自動向CA中心發送新證書申請。
證書類型 | 需要執行的操作 |
DV證書 | 您需要配合CA中心驗證域名所有權,根據您的域名類型參考以下說明進行域名所有權驗證:
|
OV、EV證書 | CA中心在收到數字證書管理服務自動發送的新證書申請后,開始證書資質的驗證。只有驗證通過后,CA中心才會為您簽發新證書。不同CA中心的要求有區別,驗證所需時間不完全相同。OV、EV證書一般會在3~7個工作日內完成審核和簽發。 您需要配合CA中心審核人員完成以下驗證:
證書申請驗證通過后,您可以在證書列表中查看新證書的狀態。新證書簽發后,證書狀態將變更為已簽發。 如果新證書申請驗證不通過,您可以在證書狀態中查看失敗原因。您需要根據失敗原因,修改導致審核失敗的申請信息(尤其是企業資質審核信息),然后自行提交證書申請。 |
選擇新證書部署方式
開啟證書托管服務后,數字證書管理服務會將新簽發的證書自動部署至對應的阿里云產品,但不會自動部署至Web應用服務器。為了保證您的業務不受影響,新證書簽發后,您需要做以下操作:
新證書部署至Web應用服務器
在專屬客服的指導下,手動將新證書安裝到您的Web服務器(替換舊證書)。關于安裝證書的具體操作,請參見SSL證書安裝指南。
新證書部署至阿里云產品
開通證書托管服務后,阿里云將自動創建并啟動關聯舊證書的托管部署任務,該任務默認自動繼承舊證書的資源列表。在新證書簽發后,數字證書管理服務將自動為您部署至對應的云產品資源。
重要只有啟動托管部署任務并且新證書在舊證書到期前完成簽發,數字證書管理服務才會自動將新證書部署到阿里云產品,所以請務必確保新證書已簽發。