操作步骤
申请域名型(DV)型SSL证书
-
登录“证书管理服务”控制台,在左侧导航栏选择“我的证书 > 证书管理”,随后在顶部导航栏选择“可申请”,进入“证书管理”页面。
-
选择“域名型 (DV) SSL”证书,单击“操作”列的“证书申请”按钮,进行SSL证书申请。
-
在右侧的对话框中填写证书申请的相关信息。
填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称(不可修改)。 域名验证方式 可选“手工DNS验证”或“文件验证”。 联系人 选择联系人,如何新建联系人请参考信息管理章节。 所在地 根据实际所在地区选择。(目前仅支持选择中国地区) 密钥算法 可选择“RSA”、“ECC”或“SM2”(根据购买证书页面所选的加密标准选择) CSR生成方式 可选择“系统生成”或“手动生成”。 注意为保障您的证书顺利申请,建议您使用系统生成CSR的方式,手动上传将无法署到天翼云产品。建议您使用系统创建的CSR,避免因内容不正确而导致的审核失败。
若您选择手动生成CSR,使用已创建的CSR申请证书,请不要在证书签发完成前删除CSR。
-
填写完后,单击“提交审核”。
-
配置域名验证信息,等待审核签发证书。
-
若证书已成功签发,可返回到“已签发”页签查看签发成功的证书。
申请企业型(OV)/增强型(EV)SSL证书
-
登录“证书管理服务”控制台,在左侧导航栏选择“我的证书 > 证书管理”,随后在顶部导航栏选择“可申请”,进入“证书管理”页面。
-
选择“企业型 (OV) SSL”或“增强型 (EV) SSL”证书,单击“操作”列的“证书申请”按钮,进行SSL证书申请。
-
在右侧的对话框中填写证书申请的相关信息。
填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称(不可修改) 域名验证方式 可选“手工DNS验证”或“文件验证”。 联系人 选择联系人,如何新建联系人请参考信息管理章节。 公司 选择公司,如何新建公司请参考信息管理章节。 所在地 根据所选择的公司所在地自动生成。 密钥算法 可选择“RSA”、“ECC”或“SM2”(根据购买证书页面所选的加密标准选择) CSR生成方式 可选择“系统生成”或“手动生成”。 注意为保障您的证书顺利申请,建议您使用系统生成CSR的方式,手动上传将无法署到天翼云产品。建议您使用系统创建的CSR,避免因内容不正确而导致的审核失败。
若您选择手动生成CSR,使用已创建的CSR申请证书,请不要在证书签发完成前删除CSR。
-
填写完后,单击“提交审核”。
-
进行人工验证环节,单击“下载确认函模板”。(仅支持企业型(OV)/增强型(EV)SSL证书)
-
查看下载的确认函,若确认无误选择该确认函文件上传,单击“点击上传”进行上传。
-
配置域名验证信息,等待审核签发证书。
-
若证书已成功签发,可返回到“已签发”页签查看签发成功的证书。
域名验证
在证书颁发机构(CA)为您的网站颁发证书之前,您需要配合CA中心验证您拥有或可以管理证书绑定的域名。当您按照要求正确配置域名验证信息并且CA系统中心审核通过后,才会签发证书。如果不完成域名验证,您的证书将无法通过审核,且您的证书申请将会一直显示“申请审核中”状态。
手工DNS验证
- 提交证书申请后,点击“证书验证”,获取证书验证信息。DV证书无需上传确认函,能直接获取到证书验证信息。OV/EV证书需要上传确认函,组织信息审核通过后,才能获取到证书验证信息。
- 登录到待验证域名的域名服务商的域名解析管理平台,新建添加一条DNS解析记录。下面以天翼云智能解析DNS为例,演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云,请您前往域名对应的DNS域名解析商添加解析记录。
2.1. 使用域名持有者所在的天翼云账号,登录智能DNS管理控制台。
2.2. 在需要添加DNS解析记录的域名记录操作列,点击“解析设置”。
2.3. 在添加记录面板,将域名认证获取到的验证信息进行添加,点击“确认”。 - 成功配置解析记录后,等待CA中心对DNS验证信息进行审核,审核通过后,证书变为“已签发”状态。
文件验证
当您购买OV证书后,证书绑定域名使用ip进行证书申请时,域名验证方式只支持文件验证。在做文件验证之前,需要保证您的服务器开放了80或443端口。
- 提交证书申请后,点击“证书验证”,获取证书验证信息。OV证书需要上传确认函,组织信息审核通过后,才能获取到证书验证信息。
- 登录您的服务器,并且确保域名已指向该服务器并且对应的网站已正常启用。
- 在现有网站目录的根目录下,创建指定的文件。该文件包括文件目录、文件名、文件内容。
3.1 依次执行以下命令,在服务器的Web根目录(Nginx服务默认为**/var/www/html/)下创建文件验证目录(.well-known/pki-validation/**)。
3.2 在/var/www/html/.well-known/pki-validation/目录下,创建fileauth.txt文件,fileauth.txt为验证信息中显示的文件名。在fileauth.txt文件中把验证信息中的文件内容复制粘贴上去。 - 打开浏览器,根据验证的域名类型,访问对应的链接地址,确保访问链接地址可获取到文件内容。链接地址格式为:http://域名/文件目录/文件名或者https://域名/文件目录/文件名。
- 成功配置文件验证信息后,等待CA中心对文件验证信息进行审核,审核通过后,证书变为“已签发”状态。