华为云用户手册

为什么部分已签发的SSL证书不能自动续费？ 问题：在CCM的管理控制台上，已经签发的SSL证书，为什么有些支持自动续费，有些不支持自动续费？ 图1 自动续费按钮 原因： CCM提供的多年期SSL证书实际为多张有效期为1年的SSL证书依次生效。2年期的证书，在第一张证书到期前30天，系统自动以您第一张证书的信息为您申请第二张证书；3年期的证书，分别在第一张和第二张证书到期前30天，系统自动以您第一张证书的信息为您申请下一张证书。系统为您申请证书时，需要您配合CA机构完成 域名 验证或组织验证，才能完成证书签发。 从“证书类型”列，可以看到未显示“自动续费”按钮的证书为多年期SSL证书，多年期SSL证书仅当签发到多年期的最后一张证书时，才支持自动续费；在此之前的证书到期后，系统会为您自动申请，因此不显示自动续费。 父主题： 计费、续费与退订

申请SSL证书时应该使用哪个域名？ 关于申请 SSL数字证书 时应该如何选择申请域名，本文将通过一个简单的示例进行描述。 例如，您的网站为“www.domain.com”。其中，有一个用户登录页面“http://www.domain.com/login.asp”，您想要申请一张SSL数字证书确保用户输入用户名和密码时的安全，确保用户信息不会在传输过程中被非法窃取。同时，还有一个用户登录的信息管理页面“http://www.domain.com/oa/manage.asp”，您也希望使用SSL数字证书来保障内部管理系统中的机密信息的安全。这种情况下，您使用域名“www.domain.com”申请SSL数字证书即可实现对这类页面的保护。 如果您的网站访问量较大，建议您为需要使用SSL数字证书的页面设置一个独立的Web服务器（HTTP server），并使用一个独立的域名来申请SSL数字证书，例如：secure.domain.com或ssl.domain.com。 “https://”的使用必须与申请SSL数字证书的域名一致，否则浏览器可能会出现“安全证书上的名称无效,或者与站点名称不匹配”警告。请根据您网站的具体情况使用合适的域名来申请SSL数字证书。 父主题： 域名填写类

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。

哪些网站必须启用HTTPS加密？ 在越来越重视信息安全的今天，HTTPS协议站点无疑已经成为主流。就目前形势而言，以下网站必须启用HTTPS协议加密： 电商平台及其相关支付系统网站 银行系统、金融机构等高私密性网站 政府、高校、科研机构及其相关网站 以搜索引擎为主要流量来源的网站 以邮箱为主的企业交流平台 长远来看，HTTPS协议网站已是必然趋势。启用HTTPS协议加密是当今网站建设的关键要点。不仅局限于上述网站类型，启用HTTPS协议加密既是网站安全的必然需要，也是公司发展的提前布局。 父主题： 证书咨询

步骤四：查看域名验证是否生效 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图4所示，说明域名授权验证配置已经生效。 图4 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图5 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 如您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图6 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 如配置的生效时间未到，请等时间到了后再进行验证。 图7 生效时间

步骤一：确认验证步骤 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。请根据域名管理平台类型执行验证步骤： 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是。请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

续费SSL证书后，还需要重新安装SSL证书吗？ 需要重新安装SSL证书。 CA机构签发的每张SSL证书有效期最长只有1年，SSL证书到期后就会失效。 SSL证书续费操作相当于重新购买一张与原证书规格（即证书品牌、证书类型、域名类型、域名数量、主域名）完全相同的证书。因此，您需要将续费签发的新证书安装到您的Web服务器或部署到您在使用中的 华为云产品 （WAF/ELB/CDN）替换已过期的旧证书。 在华为其他云产品部署证书操作详情请参考如何将SSL证书应用到华为云产品？ 在Tomcat、Nginx、Apache、IIS等服务器上安装国际标准证书，您可以参考表 安装SSL证书操作示例。 表1 安装SSL证书操作示例 服务器类型 操作示例 Tomcat 在Tomcat服务器上安装SSL证书 Nginx 在Nginx服务器上安装SSL证书 Apache 在Apache服务器上安装SSL证书 IIS 在IIS服务器上安装SSL证书 Weblogic 在Weblogic服务器上安装SSL证书 Resin 在Resin服务器上安装SSL证书 父主题： 计费、续费与退订

操作步骤 打开证书文件，选择证书路径，依次导出CA证书和中间证书，如图 导出证书。 图1 导出证书 点击CA证书，查看证书，再点击详细信息页面的“复制文件”。 图2 查看证书 单击“下一步”。 选择Base64格式并单击“下一步”。 指定要导出的文件名后，单击“下一步”，单击“完成”。 按步骤再次导出中间证书。 MMC控制台导入CA和中间证书。 将CA与中间证书分别导入下图位置。 将中间证书导入到中间证书颁发机构后再重新操作IIS服务器安装证书，无报错。

上传SSL证书时可能有哪些报错，如何解决？ 您可以将您所拥有的SSL证书（已在其他平台购买并签发的SSL证书）上传到 云证书管理 平台，以便在云证书管理平台对您的证书进行统一管理。关于上传证书具体的操作步骤，请参考上传已有SSL证书。 本章节为您介绍上传证书过程中可能出现的报错提示及如何解决报错。 表1 证书上传报错 报错类型 错误码 报错信息详情 解决措施 解析证书链报错 SCM.0053 证书格式错误，应该以特定的字符串开头或结尾 证书格式错误，要以-----BEGIN CERTIFICATE-----开头和以-----END CERTIFICATE-----结尾。 SCM.0054 证书内容缺失 证书前后缀之间内容有缺失，需要补充前后缀之间的内容。 检查证书链报错 SCM.0079 CaCert的主题与证书的签发者不匹配 确保证书链中的证书签发关系正确，证书链的顺序为用户证书到底层CA。 例如：证书链现有两个证书：签发证书A、被签发证书B，需要确保证书A的subjectDN和证书B的issuerDN一致。 SCM.0109 证书链长度必须大于1 请上传长度大于1的证书链。 国际标准SSL证书上传报错 SCM.0012 上传私钥解析不正确，请确保填写已签发证书 请检查您的私钥内容，需上传正确的私钥。 SCM.0114 私钥格式错误，应该以特定字符串开头或结尾 检查私钥格式，需要以*开头和以*结尾。 SCM.0115 私钥不是Base64编码 检查私钥格式，需要为Base64编码。 SCM.0116 生成私钥失败 请输入正确的的私钥内容。 国密证书上传报错 SCM.0059 国密私钥为空 请输入正确的国密私钥。 SCM.0115 私钥不是Base64编码 检查私钥格式，需要为Base64编码。 SCM.0116 生成私钥失败 请输入正确的的私钥内容。 SCM.0114 私钥格式错误，应该以特定字符串开头或结尾 检查私钥格式，需要以*开头和以*结尾。 SCM.0012 国密私钥解析失败 请输入正确的私钥内容。 SCM.0118 国密证书长度必须为1 国密证书-加密证书链长度必须为1。 SCM.0055 证书内容不是Base64编码 请检查证书内容，需要为Base64编码。 SCM.0058 生成X509证书失败 请输入正确的证书内容。 SCM.0119 写入加密证书或私钥内容失败 请输入正确的加密证书或私钥内容。 SCM.0117 写入私钥或证书内容失败 请输入正确的证书或私钥内容。 父主题： SSL证书应用类

OV、OVPro型或EV、EV Pro型证书 如果您购买的是OV、OVPro或EV、EV Pro类型证书，成功购买证书后，您需要按照SSL证书管理控制台该证书的“状态/申请进度”提示，完成“申请证书”、“域名验证”、“组织验证”。 以上操作完成后，您只需要耐心等待，CA机构（证书的签发方）可能还需要一段时间审核。CA机构审核通过后，您的数字证书将会签发。 如果审核期间有任何问题，CA中心的客服人员会通过电话联系您并指导您进行相关操作，请务必确保您的联系电话在审核期间保持畅通。

购买或续费选择的多年期证书，为什么新证书的有效期只有1年？ 自2020年9月1日起，全球CA机构颁发的SSL证书有效期最长只有1年。 华为云 云证书管理服务 提供的多年有效期的SSL证书是一次购买多年SSL证书的解决方案，多年有效期SSL证书实际为多张有效期为1年的SSL证书依次生效。 例如：您购买或续费的有效期为“2年”的证书，实际包含2张有效期为1年且规格相同的证书，在第一张证书1年有效期到期前30天，系统会自动以您第一张证书的信息为您申请第二张证书，申请第二张证书时，需要您配合CA机构完成域名验证或组织验证，以及证书签发后，需要您手动将第二张证书安装到您的Web服务器或部署到华为云产品，替换旧证书。届时，您需要及时处理新证书的后续验证流程以及旧证书替换操作，以避免上一张证书已过期，第二张证书未生效，导致让您的网站处于不安全的状态。 为了避免多年期证书自动申请失败，请勿取消隐私授权。 父主题： 证书有效期

如何解决SSL证书链不完整？ 如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护域名对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。 可通过手动构造完整证书链解决此问题。Chrome最新版本一般是支持自动验证信任链，以华为的证书为例，手工构造完整的证书链步骤如下： 查看证书。单击浏览器前的锁，可查看证书状况，如图1所示。 图1 查看证书 查看证书链。单击“证书”，并选中“证书路径”页签，可单击证书名称查看证书状态，如图2所示。 图2 查看证书链 逐一将证书另存到本地。 选中证书名称，单击“详细信息”页签，如图3所示。 图3 详细信息 单击“复制到文件”，按照界面提示，单击“下一步”。 选择“Base64编码”，单击“下一步”，如图4所示。 图4 证书导出向导 证书重构。证书全部导出到本地后，用记事本打开证书文件，按图5重组证书顺序，完成证书重构。 图5 证书重构 重新上传证书。 父主题： 问题排查定位类

系统生成的 CS R和自己生成CSR的区别？ 证书请求文件（Certificate Signing Request，CSR）即证书签名申请，获取SSL证书，需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称（Distinguished Name），通常从Web服务器生成CSR，同时创建加解密的公钥私钥对。 申请证书时，需要设置“证书请求文件”，您可以选择“系统生成的CSR”，也可手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。两者之间的区别如表1所示。 表1 CSR的比较 证书请求文件 说明 区别 系统生成的CSR 系统将自动帮您生成证书私钥，并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。 选择“系统生成CSR”，在数字证书颁发后还可以支持不同格式的证书下载。 “系统生成CSR”，下载证书后，证书文件“server.jks”和密码文件“keystorePass.txt”已自动生成好，可以直接安装使用。 自己生成CSR 手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。 详细操作请参见如何制作CSR文件？。 “自己生成CSR”的证书不支持一键部署到云产品。 手动生成CSR文件的同时会生成私钥文件，请务必妥善保管和备份您的私钥文件。私钥和数字证书一一对应，一旦丢失了私钥，您的数字证书也将不可使用。华为云不负责保管您的私钥，如果您的私钥丢失，您需要重新购买并替换您的数字证书。 “自己生成CSR”，下载证书后，需要使用OpenSSL工具，将pem格式证书转换为PFX格式证书，得到“server.pfx”文件，再使用Keytool工具，将PFX格式证书文件转换成JKS格式，得到“server.jks”证书文件和“keystorePass.txt”密码文件，然后才可以安装部署。 根据以上的比较，建议您选择“系统生成CSR”，可以规避CSR内容不正确而导致证书审核失败。 父主题： 域名填写类

概念 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Sockets Layer）证书管理平台。它是由华为云联合全球知名数字证书服务机构（CA，Certificate Authority），在华为云平台上为您提供一站式SSL证书的全生命周期管理服务，实现网站的可信认证与安全数据传输。 私有证书管理（Private Certificate Authority，PCA）是一个私有CA和私有证书管理平台。您可以通过简单的可视化操作，建立自己完整的CA层次体系并使用它签发证书，实现了在组织内部签发和管理自签名私有证书。主要用于对组织内部的应用身份认证和数据加解密。

SCM与PCA的区别 SCM与PCA的主要区别如表1所示。 表1 SCM与PCA的区别 服务名称 作用 应用场景 安全等级 是否可以配置到内网 SSL证书管理（SCM） SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。 网站可信认证 SSL证书如同网站在互联网中的“身份证”，网站没有安装SSL证书，浏览器将会将其列为不安全的网站，网站用户也就无法信任您网站的安全性，安装了SSL证书就代表您的网站是“安全”的，网站用户可以放心访问您的网站。特别是OV或EV型证书，CA颁发机构在签发证书前会验证域名所有者及其企业信息，可以有效提升网站可信度。 网站 数据加密 通常网站数据传输使用的HTTP协议，无法加密数据，导致数据有泄露和被窃听、篡改的风险，SSL证书可以让您的网站采用HTTPS加密通讯，有效提升数据传输安全性。 在华为云WAF、ELB、CDN等服务上使用HTTPS协议 如果您购买了华为云WAF、ELB、CDN等服务，可以在SSL证书管理页面中将购买的证书一键部署至这些云产品中，为云产品提供HTTPS数据传输安全保障。 提高网站访问速度 SSL 证书全面兼容 HTTP2.0 协议，快速动态加载网页内容，可以为网站服务提速。 高 不可以，SSL证书只能用于公网域名。 私有证书管理（PCA） 支持用户建立完整的CA层次体系，包括根及多级中间CA等。 为用户提供高可用高安全的私有CA托管能力。 支持用户方便快捷地创建和管理私有证书，用于识别和保护组织内的应用程序、服务、设备和用户等资源。 企业对内实行应用数据安全管控 您可以通过私有证书管理建立企业内部的证书管理体系，在企业内部签发和管理自签名私有证书，实现企业内部的身份认证、数据加解密、数据安全传输。 车联网应用 车企TSP使用私有证书管理服务，为每台车辆终端颁发证书，提供车-车、车-云、车-路多场景交互时鉴权、认证、加密等安全能力。 物联网应用 IoT平台使用私有证书管理服务，为每台IoT设备颁发证书，并通过IoT平台联动PCA，实现IoT设备的身份校验与认证，保障IoT场景下设备接入安全。 较低 可以，私有证书可以部署到内网使用。

如何去除私钥密码保护 如果您的密钥已经加载密码保护，可以通过OpenSSL工具运行以下命令去掉密码保护： openssl rsa -in encryedprivate.key -out unencryed.key 其中，“encryedprivate.key”是带密码保护的私钥文件；“unencryed.key”是去掉了密码保护的私钥文件，扩展名为key或pem均可。 如果您的证书使用的是除密码保护的私钥，当需要将该证书部署给CDN时，需要检查证书文件的格式。因为CDN要求证书文件必须是RSA加密的，即私钥是以“-----BEGIN RSA PRIVATE KEY-----”开头并以“-----END RSA PRIVATE KEY-----”结尾的格式。如果证书文件不是此格式，则需要使用工具转换证书的格式。具体转换方式，请参考主流数字证书有哪些格式？。

什么样的私钥是有密码保护的 使用文本编辑器打开您的私钥文件，如果私钥文件是如下样式，则说明您的私钥是已加载密码保护的： PKCS#8私钥加密格式 -----BEGIN ENCRYPTED PRIVATE KEY-----......BASE64 私钥内容......-----END ENCRYPTED PRIVATE KEY----- Openssl ASN格式 -----BEGIN RSA PRIVATE KEY-----Proc-Type: 4,ENCRYPTED DEK-Info:DES-EDE3-CBC,4D5D1AF13367D726 ......BASE64 私钥内容......-----END RSA PRIVATE KEY----- 用Keytool工具生成的密钥都是带有密码保护的，您可以转换成无密码的密钥文件。关于具体转换方式，请参考主流数字证书有哪些格式？。

泛域名证书支持哪些域名？ 华为云SSL证书管理服务支持申请泛域名类型的证书，用户可以通过泛域名证书保护服务器的单个域名和该域名下同级别的所有子域名。OV企业型、OV Pro企业型专业版和DV域名型、DV基础版（GeoTrust入门级SSL证书）类型证书支持泛域名。 如果您拥有多个同级别子域名服务器，使用泛域名证书即可，无需为每个子域名单独购买和安装证书。 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名，云证书管理服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 您的数字证书一旦颁发后，将无法修改域名信息等。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，域名级别说明请参见域名的相关概念。 匹配示例如表1所示。 表1 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.example.com abc.example.com、sport.example.com、good.example.com等域名 mycard.good.example.com、mycalc.good.example.com等域名 *.good.example.com mycard.good.example.com、mycalc.good.example.com等域名 abc.example.com、sport.example.com、good.example.com等域名 父主题： 域名填写类

约束条件 更新SSL证书到ELB时，有以下几点限制条件，请您提前确认： 您已在ELB中配置过证书，即您需要先在ELB服务中完成首次证书的配置，才能通过SCM服务更新证书。ELB中创建证书详细操作请参见创建证书。 通过SCM更新ELB中的证书，可以更新部署在ELB监听器下证书，即在SCM控制台更新对应ELB中证书的内容及私钥，更新成功后，ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。 ELB中使用的证书，需要指定域名，才可在SCM中完成更新证书的操作。 ELB中使用的证书如果指定了 多个域名 ，更新证书前需要注意SCM证书的域名与其是否完全匹配。如果不完全匹配，则在SCM中执行更新证书操作后，会同时将ELB中使用的证书域名更新为当前SCM中证书的域名。 示例：SCM中证书的主域名及附加域名为example01.com，example02.com，ELB中证书的域名为example01.com，example03.com，在SCM中执行更新证书操作后，会将该ELB中证书的域名更新为example01.com，example02.com。 目前，SCM证书仅支持一键部署到WAF的“default”企业项目下。如果您使用的是其他项目，则无法直接部署，您可以先将证书下载到本地，然后再到WAF控制台上传证书并进行部署。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书，可以先将证书下载到本地，然后再到对应云产品中上传证书并进行部署。 证书为国际标准SSL证书。

一个SSL证书能够绑定几个域名 用户在购买证书时，需要根据实际情况选择域名类型。域名类型不同，支持绑定的域名数量也差异。具体的情况如表1所示。 表1 不同的域名类型可绑定的域名数量 证书类型 支持的域名类型 可绑定的域名数量 OV、OV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 EV、EV Pro 单域名 1个。 多域名 域名数量范围为“2~250”，支持最多绑定250个域名。 DV 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（GeoTrust入门级SSL证书） 单域名 1个。 泛域名 1个。 泛域名类型支持的域名请参见泛域名证书支持哪些域名？。 DV基础版（DigiCert 免费SSL证书 ） 单域名 1个。

DV证书DNS验证失败该如何处理？ DV证书通过云证书管理控制台“验证”功能校验DNS解析结果时，验证失败，请参照下表提示进行排查处理后重新验证： 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。 父主题： 验证域名所有权

如何选择证书类型 购买SSL证书时，SSL证书管理服务支持的“证书类型”分为“OV”、“OV Pro”、“EV”、“EV Pro”、“DV”、“DV（Basic）”6种类型。 对于一般企业，建议购买OV及以上类型的数字证书。对于金融、支付类企业，建议购买EV型证书。 移动端网站或接口调用，建议您使用OV及以上类型的证书。 如果您的网站主体是个人（即没有企业营业执照），只能申请DV（Basic）基础版数字证书。

如何选择证书品牌 目前云证书管理支持购买的证书品牌及不同品牌支持签发的证书类型如下表所示： 表1 证书品牌说明 证书品牌 说明 是否支持DV（域名型）SSL证书 是否支持OV（企业型）SSL证书 是否支持EV（增强型）SSL证书 DigiCert DigiCert（原Symantec）是全球最大、最权威的数字证书颁发机构。全球知名的数字证书提供商，服务范围超过150多个国家，拥有超过10万客户。 优势：安全、稳定、兼容性好。受银行、金融等行业青睐，适用于高安全性要求的数字交易场景。 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GeoTrust GeoTrust是全球第二大数字证书颁发机构，也是身份认证和信任认证领域的领导者。公司服务于各大中小型企业，一直致力于用最低的价格来为客户提供最好的服务。 优势：该品牌是DigiCert旗下的子品牌。安全、稳定、兼容性好、HTTPS防护门槛低、性价比高。 说明： GeoTrust更名为Rapid，详情请参见【2023年4月17日】关于Geo Trust DV证书名称变更的通知 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 GlobalSign GlobalSign成立于1996年，是全球最早的数字证书认证机构之一。它是一家声誉卓著，备受信赖的CA中心和SSL数字证书提供商，并在全球拥有众多合作伙伴。 优势：签发速度快、验证速度快。该品牌是华为云、大型电商企业都在用的证书，全系标配的RSA+ECC算法，资源占用少。 否 是 支持单域名、多域名、泛域名和IP地址。 是 支持单域名、多域名。 CFCA（国产） 中国金融认证中心（CFCA）是经中国人民银行牵头组建、国家信息安全管理机构批准成立的国家级权威的安全认证机构，通过了国际Webtrust认证，受到微软、Google、苹果、火狐、Adobe认可，是全球权威行业组织CA/B重要成员，亚洲PKI论坛成员。 优势：由中国权威数字证书认证机构自主研发，国产证书，支持RSA/SM算法。7*24小时金融级的安全保障服务，具有完善的风险承保计划。中文版全球信任体系电子认证业务规则（CPS），便于用户理解双方权利和义务。 否 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 TrustAsia（国产） TrustAsia 是国产证书品牌，根据国内企业用户网络环境和使用习惯而建立，不仅提供支持主流RSA与ECC算法的“国际证书”，还提供支持我国商用密码SM2及相关标准算法的“国密证书”，支持中国区 OCSP。通过严密的企业级认证，为企业和个人提供安全可靠的加密数据传输和身份验证服务，全方位满足客户的不同要求。 优势：根据国内企业用户网络环境和使用习惯建立，支持RSA/ECC/SM2算法，支持中国区 OCSP，响应速度更快。 是 仅支持泛域名。 是 支持单域名、多域名和泛域名和IP地址。 是 支持单域名、多域名。 vTrus（国产） vTrus是国产证书品牌，通过了国际Webtrust认证，支持国际主流的RSA标准加密算法，同时支持我国商用密码SM2标准算法。 优势：兼容性好，支持所有主流操作系统及软件库（如iOS 5+，Android4.0，Windows Win7+，Java1.6.15+），支持99.99%的主流浏览器（如Chrome、IE、Safari、火狐等），国密证书兼容国密浏览器（如360国密浏览器、奇安信浏览器、红莲花浏览器等） 是 支持单域名、泛域名。 是 支持单域名、多域名和泛域名和IP地址。 否 惠赠活动： 单域名：以域名www.a.com和根域名a.com为例进行说明 图1 单域名品牌惠赠活动 泛域名：以域名*.a.com和*.a.b.com为例进行说明 图2 泛域名品牌惠赠活动

如何选择域名类型 购买SSL证书时，需要根据您的域名类型，选择对应的域名类型证书。SSL证书管理服务支持的“域名类型”有“单域名”、“多域名”和“泛域名”3种类型。 表2 域名类型 参数名称 参数说明 单域名 单域名类型证书。 仅支持绑定1个普通域名。 如果您仅有一个域名，则选择单域名类型。 多域名 多域名类型证书 可以绑定多个不同的域名，域名可包含多个单域名。如购买多域名类型证书，域名数量为3的场景，可同时支持example.com、example.cn、test.com3个域名。 当“证书类型”为OV、OV Pro时，域名可包含多个单域名和多个带通配符的（*）域名。如购买多域名类型证书，域名数量为3的场景，可同时支持*.example.com、example.cn、test.com3个域名。 有几个域名需要绑定在同一个SSL证书里，则需要选择对应的域名数量。 由于各个证书品牌针对www型域名有不同的惠赠活动，具体的详见如何选择证书品牌，导致多域名证书在绑定www型域名时，有如下限制（以下以域名www.a.com和根域名a.com为例进行说明）。 DigiCert和GeoTrust品牌，为www.a.com或者a.com购买的证书，该证书同时支持防护另一个域名，即如果您购买的是这两个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要且只能绑定其中一个域名即可。 GlobalSign品牌，为www.a.com购买的证书，该证书同时支持防护a.com这个域名，但是为a.com购买的证书，不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书，且同时需要防护www.a.com和a.com，只需要绑定www.a.com域名即可。 域名数量范围为“2~250”，支持最多绑定250个域名。 域名数量须满足以下条件： 主域名数量固定为1个 附加单域名数量≥1个（当证书类型为OV、OV Pro时，附加单域名数量+附加泛域名数量≥1） 须知： GeoTrust品牌的域名数量范围为“5~250”，其中，单域名数量需≥5个。 如果您有多个域名，则选择多域名类型。需要根据域名个数，在购买页面购买对应的域名数量。 泛域名（通配符域名） 泛域名类型证书，也叫通配符证书 仅支持绑定1个泛域名。 泛域名一般格式带1个通配符“*”且以“*.”开头，例如， *.huaweicloud.com、 *.example.huaweicloud.com等。 仅支持同级匹配，例如：绑定*.huaweicloud.com通配符域名的数字证书，支持p1.huaweicloud.com，但不支持p2.p1.huaweicloud.com。如果需要支持p2.p1.huaweicloud.com的泛域名证书，则还需要购买一张*.p1.huaweicloud.com的泛域名证书。更多级别匹配规则请参见表3。 如果您的域名未跨级别，则选择泛域名类型。 如果您有≥1个泛域名和≥1个普通域名需要绑定在同一个SSL证书里，则可购买OV、OV Pro类型的多域名证书。具体操作方法请参见多泛域名和混合域名证书的申请方法。 购买泛域名证书，需要注意泛域名证书匹配域名的规则。只能匹配同级别的子域名，不能跨级匹配，具体示例如表3所示。 表3 泛域名匹配规则示例 域名 匹配的域名 不匹配的域名 *.huaweicloud.com test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 *.test.huaweicloud.com abc.test.huaweicloud.com、yun.test.huaweicloud.com、example.test.huaweicloud.com等域名 abc.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等域名 泛域名的数字证书中，仅根域名包含域名主体本身。泛域名证书只能匹配同级别的子域名，不能跨级匹配。匹配规则具体如下： 如果泛域名证书的主域名为一级域名，云证书管理服务默认赠送主域名。例如：您购买的泛域名证书为*.huaweicloud.com其包含了huaweicloud.com，为您默认赠送huaweicloud.com域名，无需再购买证书绑定huaweicloud.com。 如果泛域名证书的主域名不是一级域名，例如：您购买的泛域名证书为*.p1.huaweicloud.com其不包含p1.huaweicloud.com，则不会赠送p1.huaweicloud.com或huaweicloud.com，只能匹配同级别的域名。如果需要绑定p1.huaweicloud.com或huaweicloud.com，则需要购买证书来进行绑定。 具体的域名中如果填写的是www的三级域名，则包含了主域名本身。例如： www.huaweicloud.com域名绑定的数字证书包含了huaweicloud.com，无需再购买证书绑定huaweicloud.com。 您的数字证书一旦颁发后，将无法修改域名信息等。 具体选择示例如表4所示： 表4 选择域名类型示例 场景示例 域名情况示例 选择域名类型 选择域名数量 您仅有一个域名 示例1：huaweicloud.com 单域名 单域名类型，“域名数量”固定为“1” 示例2：test.huaweicloud.com 单域名 示例3：p1.test.huaweicloud.com 单域名 您有多个域名 示例1：2个域名 huaweicloud.com、p1.huawei.com 多域名 2 示例2：3个域名 huaweicloud.com、p1.huawei.com和p1.test.huaweicloud.cn 多域名 3 示例3：4个域名 huaweicloud.com、test.huaweicloud.cn、p1.test.huaweicloud.cn和p1.test.yun.huaweicloud.com 多域名 4 您有多个域名，且在同一个级别 test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com等，均在一个级别，在*.huaweicloud.com的包含范围内 泛域名 泛域名类型，“域名数量”固定为“1”

私有证书签发后，能否停用私有CA？ 您可以根据实际情况选择以下方法停用私有CA的部分功能或者停用私有CA： 如果您不再需要使用某个私有CA来签发证书，但需要保留其吊销证书和签发证书吊销列表的功能，您可以禁用该私有CA。禁用私有CA后，其下所有证书使用不受影响。禁用私有CA详细操作请参见禁用私有CA。 私有CA禁用期间也将持续计费。 如果您不再需要使用某个私有CA，您可以删除该私有CA。删除私有CA后，将不再计费，其下已经导出的证书（未被吊销）仍可使用，但该私有CA下的所有证书都将无法执行“吊销”操作，无法再更新证书吊销列表，并且该私有CA和其子CA下所有私有证书将无法执行“导出”操作。删除私有CA详细操作请参见计划删除私有CA。 父主题： 私有证书使用类

约束条件 测试证书一个账号最多可以申请20张。同时，为了减少证书资源的浪费，SCM只支持单次申请一张测试证书。 20张的测试证书额度包括：已删除或已吊销证书，即测试证书申请后进行吊销或删除的操作其额度不会恢复。 同一个账号不区分主账号和子账号。例如，主账号已使用了20张的额度，则主账号和子账号均无测试证书额度。 如果您华为云账号下的20张测试SSL证书额度已用完，还需继续使用测试证书，可以购买Digicert DV(basic) 单域名扩容包，对测试证书额度进行扩容。详细操作请参见测试证书额度已用完，该如何处理？ 一张测试证书仅支持绑定一个单域名。 测试证书不支持保护IP和泛域名（通配符域名）。 测试证书的域名验证默认使用DNS验证。 测试证书的信任等级和安全性都较低，所以建议只用于测试。 由于DigiCert品牌的DV（Basic）免费证书是无偿提供给个人用户用于测试或个人业务，因此不支持任何免费的人工技术支持或安装指导。如果您需要专业的工程师为您提供SSL证书支撑服务，您可以进入云市场购买HTTPS服务配置全站加密SSL优化检测服务。 测试证书签发后，不支持续费和续期，到期之后，将无法继续使用。如需继续使用SSL证书，请在控制台重新创建。

步骤四：签发证书 DNS验证通过之后，CA机构将还需要一段时间进行处理，请您耐心等待。CA机构审核通过后，将会签发证书。 证书签发后便立即生效，即可部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 CA机构针对已提交申请的证书的审核检测频率为： 提交申请后0-1h：15分钟轮询一次，如果配置没有问题，一般情况，10-20分钟签发证书。 提交申请后1-4h：30分钟轮询一次。 提交申请后4h-24h：1小时轮询一次。 提交申请后1-7天：4小时轮询一次。 提交申请后7天以上认定为订单超时，自动取消。此时，请参照为什么“证书状态”长时间停留在审核中？排查并解决问题。

步骤三：DNS验证 DNS验证，是指在域名管理平台通过解析指定的DNS记录，验证域名所有权，即您需要到该域名的管理平台为该域名添加一条DNS记录。例如：如果您购买的是A公司的域名，您需要到A公司的域名管理平台添加DNS记录文件。有关DNS验证方式详细操作请参见域名DNS解析。 如果您是在华为云上申请的域名，且域名已使用华为云云解析服务，则无需进行任何操作，系统将自动添加DNS记录验证。 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，则需要前往域名的DNS解析服务商进行操作。 详细操作请参见DNS验证。 在您提交证书申请后，需要按照证书列表页面的提示完成DNS验证，否则证书将一直处于“待完成域名验证”状态，且您的证书将无法通过审核。 DNS验证通过后，您需要耐心等待CA机构审核。

操作步骤 登录您申请域名的域名管理员邮箱。 打开来自CA机构的域名确认邮件。 CA机构发送域名确认邮件需要大约一个工作日。如您短时间内未收到域名确认邮件，请耐心等待。如一个工作日后仍未收到邮件，请检查域名管理员邮箱正确性。 预留域名管理员邮箱地址配置错误：需要您撤回当前 SSL证书申请 ，并重新配置邮箱地址信息，具体操作请参见撤回SSL证书申请，是否撤回成功以华为云SSL证书列表呈现最终状态为准。 预留域名管理员邮箱地址配置无误：一个工作日后仍未收到邮件，请您提工单联系我们，并在工单中进行描述。 单击邮件中的认证按钮，完成域名验证。 验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待完成域名验证”。 如您已完成域名验证操作，由于CA机构需要2-3个工作日对您提交的信息进行验证，请您耐心等待。CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

一键部署SSL证书至云产品和手动部署SSL证书至云产品的区别是什么？ 在华为云购买申请的SSL证书支持一键部署到WAF、ELB和CDN产品，部署成功后，可以帮助您提升云产品访问数据的安全性，具体操作请参见部署证书。 本章节将介绍一键部署SSL证书至云产品和手动导入证书至云产品的区别。 表1 一键部署和手动部署的区别 区别项 一键部署 手动部署 操作难度 操作便捷 可在云证书管理服务SSL证书管理控制台一键部署。 操作步骤较复杂 需要去对应云产品控制台手动上传，不排除手动操作期间会出现证书链不完整等需要人为处理的问题。 安全性 安全性高 一键部署过程中私钥不会经过人为手动操作，避免了私钥泄露的风险。 安全性一般 私钥会经过人为手动操作。 是否收费 是 第三方上传证书和2023年11月15日之后创建并签发的测试证书部署到华为云产品需要收费，价格为30元/次，详情请参见证书部署服务是如何收费的？。 否 手动部署证书至云产品不收费。 父主题： SSL证书应用类