如何申请免费SSL证书?

前提条件:

购买证书的帐号拥有“SCM Administrator”、“BSS Administrator”和“DNS Administrator”权限。

约束条件:

1、免费的SSL证书一个帐号最多可以申请20张。同时,为了减少证书资源的浪费,SCM只支持单次申请一张免费证书。

须知:

1)20张的免费证书额度包括:已删除或已吊销证书、购买后超时未付款自动失效的订单、购买后未申请就删除的证书。

2)同一个帐号不区分主账号和子账号。例如,主账号已使用了20张的额度,则主账号和子账号均无免费证书额度。

2、一张免费的SSL证书仅支持绑定一个单域名。

3、免费证书不支持保护IP和泛域名(通配符域名)。

4、免费证书的域名验证默认使用DNS验证。

5、免费证书的信任等级和安全性都较低,所以建议只用于测试。

6、由于DigiCert品牌的DV(Basic)免费证书是无偿提供给个人用户用于测试或个人业务,因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务,您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。

步骤一:购买证书

1、登录管理控制台

2、单击页面左上方,选择“安全与合规 > 云证书管理服务”,进入云证书管理界面。

3、在左侧导航栏选择“SSL证书管理”,进入SSL证书管理页面。

4、在界面右上角,单击“购买证书”,进入购买证书页面。

5、在购买证书页面,配置购买参数。

1)“证书类型”:选择“DV(Basic)”。

2)“证书品牌”:选择“DigiCert”。

3)“证书类型”和“证书品牌”选择后,“域名类型”、“域名数量”、“有效期”、“购买量”将自动生成,无需配置。

6、确认参数配置无误后,在页面右下角,单击“立即购买”。

7、确认订单无误后,阅读并勾选“我已阅读并同意《SSL证书管理(SCM)免责声明》”,单击“去支付”。

8、在购买页面,请选择付款方式进行付款。成功付款后,在SSL证书管理界面,可以查看证书列表中购买的证书。

步骤二:申请证书

成功购买证书后,您需要为证书绑定域名、填写证书申请人的详细信息并提交审核。

1、登录管理控制台。

2、单击页面左上方的,选择“安全与合规 > 云证书管理服务”,进入云证书管理界面。

3、在左侧导航栏选择“SSL证书管理”,进入SSL证书管理页面。

4、在证书列表中已购的免费证书所在行的“操作”列,单击“申请证书”。

5、在“申请证书”页面,填写域名信息和联系人信息。

1)填写域名信息,参数配置如表所示。

2)单击“下一步”,进入“授权信息”页面。

3)填写公司联系人信息,参数配置如表所示

6、确认填写的信息无误后,阅读《SSL证书管理(SCM)免责声明》、《隐私政策声明》和信息授权声明,并勾选声明内容前面的框。

7、单击“提交申请”。

8、系统将把您的申请提交到CA认证机构,请您保持电话畅通,并及时查阅邮箱中来自CA认证机构的电子邮件。

步骤三:DNS验证

DNS验证,是指在域名管理平台通过解析指定的DNS记录,验证域名所有权,即您需要到该域名的管理平台中为该域名添加一条TXT类型的DNS记录。例如:如果您购买的是A公司的域名,您需要到A公司的域名管理平台添加DNS记录文件。有关DNS验证方式详细操作请参见域名DNS的TXT解析。

1)如果您是在华为云上申请的域名,且域名已使用华为云云解析服务,则无需进行任何操作,系统将自动添加DNS记录验证。

2)如果您是在其他域名管理平台管理您的域名,则需要前往域名的DNS解析服务商进行操作。详细操作请参见DNS验证

*说明

在您成功申请证书后,需要按照证书列表页面的提示完成域名授权验证配置,否则证书将一直处于“待完成域名验证”状态,且您的证书将无法通过审核。

步骤四:签发证书

1、DNS验证通过之后,CA机构将还需要一段时间进行处理,请您耐心等待。CA机构审核通过后,将会签发证书。

2、证书签发后便立即生效,即可推送证书到华为云其他云产品或下载证书并部署到服务器上进行使用。

说明

CA机构针对已提交申请的证书的审核检测频率为:

1)提交申请后0-1h:15分钟轮询一次,如果配置没有问题,一般情况,10-20分钟签发证书。

2)提交申请后1-4h:30分钟轮询一次。

3)提交申请后4h-24h:1小时轮询一次。

4)提交申请后1-7天:4小时轮询一次。

5)提交申请后7天以上认定为订单超时,自动取消。此时,请参照为什么“证书状态”长时间停留在审核中?排查并解决问题。

免费SSL证书与收费SSL证书的区别

所有SSL证书都具备SSL加密传输功能,都可通过https访问网站,在浏览器上显示安全锁标志。

免费证书一般仅用于个人网站或测试使用,不建议业务成熟的企业类型网站使用。

如果您是企业类型网站,建议您购买收费证书。对于政府、金融、电子商务、医疗等组织或机构,推荐使用OV型证书或安全等级最高的EV型证书,不仅让您的用户更信赖您的网站,同时对您的网站数据和身份认证安全提供更强的保障。

表1 免费证书和收费证书的区别

区别项
免费证书
收费证书

安全等级

一般

证书运行环境的兼容性

一般

CA中心对证书的安全保险赔付

不支持

支持

证书数量限制

每个自然年20张

不限制

支持保护的网站域名类型

仅支持保护一个单域名

支持保护单域名、多域名、泛域名

支持绑定IP地址

不支持

GlobalSign品牌的OV型证书支持

支持的证书类型

仅DV

DV、OV、EV

人工客服支持

不支持

支持

申请SSL证书的常见问题

申请SSL证书的常见问题

  • 申请证书时,公司联系人可以填写自己吗?

    可以。

    联系人仅做联系用,并非人工审核联系人。

  • DNS验证时,添加的txt解析记录能否删除?

    DNS配置记录用于验证域名,TXT解析记录须在证书域名验证完成后才能删除。删除后对证书的审核和使用没有影响。

  • 在华为云云解析服务上进行域名解析操作,添加记录集中的值时(TXT类型),是否需要引号?

    提交SSL证书申请后需要进行域名授权验证。

    当您是在华为云的云解析服务上进行域名解析操作,添加记录集的值时,需要填写该域名对应的TXT主机记录值。输入时,必须用双引号(英文状态下)引用该记录值。

    示例:

    "201807040000001v0p73k28ruec3am17s0wl6z7angvqlesyipf65k7347knjm7h"

  • 申请证书时,如何选择“证书请求文件”?

    证书请求文件(Certificate Signing Request,CSR)即证书签名申请,获取SSL证书,需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称(Distinguished Name),通常从Web服务器生成CSR,同时创建加解密的公钥私钥对。

    SSL证书管理中,申请证书时,“证书请求文件”可选择“系统生成CSR”或“自己生成CSR”。

    1. 系统生成CSR:系统将自动帮您生成证书私钥,并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。
    2. 自己生成CSR:手动生成CSR文件。详细操作请参见如何制作CSR文件?。


  • 申请证书时,“企业营业执照”需要上传哪个企业的营业执照?

    申请证书时,用户可根据自己的实际情况选择是否上传“企业营业执照”。

    如需上传“企业营业执照”,上传时,需要上传使用该证书的企业的营业执照,即系统的使用单位的营业执照,而不是系统的开发单位的营业执照。

    如果不上传,可能会延长证书的签发周期,具体延长时间取决于CA机构验证时间。

  • SSL证书是否支持升级?

    不支持。

    证书签发后,证书类型将不可升级,且证书信息将不可修改(如证书绑定的域名、证书有效期、证书品牌等)。

    如需绑定其他域名、更换证书品牌或延长证书有效期,请重新申请新的证书。

  • SSL证书对服务器端口是否有限制?

    没有限制。SSL证书是绑定域名或者纯IP使用的,和服务器端口没有任何关系。

  • SSL证书中包含哪些信息?

    签发并部署成功后的证书包含的信息如下:

    1、地址栏:安全锁、Https标志、企业名称(仅EV类型证书)。

    2、常规:证书的使用者、颁发者和有效期。

    3、详细信息:证书版本、序列号、签名算法、加密算法、公钥、有效期及使用者的详细信息(如省市、企业名称、部门等)等。

  • 哪些区域提供SSL证书管理?

    SSL证书管理服务属于全局服务,所有区域都提供SSL证书管理服务。

    由于SSL证书的签发是由证书CA机构平台签发的,而非华为云直接签发,因此,证书的使用不受购买区域的限制,购买后可全球使用。

  • 为什么要使用无密码保护的私钥?

    因为私钥是加载密码保护的,且华为云其他云产品在使用数字证书的过程中需要使用您提供的私钥,所以如果您的私钥是加载密码保护的,那么其它云产品在加载您的数字证书时将无法使用您的私钥,可能导致数字证书解密失败,HTTPS服务失效。因此,需要您提供无密码保护的私钥。在您生成私钥时,请去掉密码保护后再进行上传。

  • 什么是公钥和私钥?

    公钥和私钥就是俗称的不对称加密方式。公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。

    通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,则必须用另一个密钥才能解密。比如用公钥加密的数据就必须用私钥才能解密,如果用私钥进行加密也必须用公钥才能解密,否则将无法成功解密。

  • HTTPS与HTTP协议有什么不同?

    HTTP协议传输的数据都是未加密的,这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,被黑客加以利用,因此使用HTTP协议传输隐私信息非常不安全。

    HTTPS是一种基于SSL协议的网站加密传输协议,网站安装SSL证书后,使用HTTPS加密协议访问,可激活客户端浏览器到网站服务器之间的“SSL加密通道”(SSL协议),实现高强度双向加密传输,防止传输数据被泄露或篡改。简单讲HTTPS=HTTP+SSL,是HTTP的安全版。

  • 如何将网站协议由HTTP换成HTTPS

    如果您需要实现网站HTTPS化,可通过购买SSL证书并部署在网站对应的服务器上来实现。

    SSL证书是一种遵守SSL协议的服务器数字证书,由受信任的根证书颁发机构颁发。SSL证书采用SSL协议进行通信,SSL证书部署到服务器后,服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据,可帮助服务器端和客户端之间建立加密链接,从而保证数据传输的安全。

  • 哪些网站必须启用HTTPS加密?

    1、电商平台及其相关支付系统网站

    2、银行系统、金融机构等高私密性网站

    3、政府、高校、科研机构及其相关网站

    4、以搜索引擎为主要流量来源的网站

    5、以邮箱为主的企业交流平台

  • 域名类型有哪些?

    1、单域名证书:绑定单一域名,如example.com、test.example.com为1个域名

    2、泛域名证书:绑定带(*)通配符的泛域名,如*.example.com、*.test.example.com均为泛域名,包含同一级的全部子域名;举例,*.example.com支持a.example.com、b.example.com、c.example.com等同一级全部子域名,但不支持a.a.example.com

    3、多域名证书:绑定多个域名,域名可包含多个单域名和多个带通配符的(*)泛域名,比如4单1泛、6单3泛等等组合

  • SSL证书品牌有哪些?

    1、GeoTrust品牌证书,https防护门槛低,性价比高

    2、GlobalSign品牌证书,是华为云、大型电商企业都在用的证书,全系标配的RSA+ECC算法,资源占用少

    3、DigiCert品牌证书,受银行、金融等行业青睐,适用于高安全性要求的数字交易场景