開(kāi)啟證書(shū)托管后,我需要做什么?
在開(kāi)啟托管服務(wù)后,若您已授權(quán)域名免驗(yàn)證,在舊證書(shū)到期前30天(自然日),阿里云將自動(dòng)為您申請(qǐng)并簽發(fā)新的證書(shū)。若未授權(quán)域名免驗(yàn)證,在舊證書(shū)到期前30天(自然日),您需配合CA中心進(jìn)行域名所有權(quán)驗(yàn)證,以確保新證書(shū)順利簽發(fā)。本文介紹在開(kāi)啟證書(shū)托管后如何授權(quán)域名免驗(yàn)證實(shí)現(xiàn)證書(shū)在到期前的自動(dòng)簽發(fā)能力、如何配合CA中心完成新證書(shū)的域名所有權(quán)驗(yàn)證以及如何選擇新證書(shū)的部署方式。
托管服務(wù)時(shí)效說(shuō)明
數(shù)字證書(shū)管理服務(wù)會(huì)在舊證書(shū)過(guò)期之前持續(xù)對(duì)該證書(shū)進(jìn)行托管。舊證書(shū)到期之后,數(shù)字證書(shū)管理服務(wù)不再對(duì)該證書(shū)進(jìn)行托管,對(duì)應(yīng)的新證書(shū)會(huì)進(jìn)入申請(qǐng)失敗狀態(tài)。您需要在數(shù)字證書(shū)管理服務(wù)控制臺(tái)上自行申請(qǐng)新的證書(shū)。關(guān)于申請(qǐng)證書(shū)的具體操作,請(qǐng)參見(jiàn)提交證書(shū)申請(qǐng)。
您可以登錄數(shù)字證書(shū)管理服務(wù)控制臺(tái),在SSL證書(shū)管理頁(yè)面,定位到已托管的證書(shū),單擊其狀態(tài)欄的圖標(biāo),并在提示信息對(duì)話框單擊查看進(jìn)度,即可在證書(shū)進(jìn)度面板查看已托管證書(shū)的生命周期,進(jìn)度流程圖中的證書(shū)到期時(shí)間即是本次證書(shū)托管服務(wù)的到期時(shí)間。
預(yù)計(jì)托管證書(shū)到期時(shí)間是指托管服務(wù)順利幫您申請(qǐng)并簽發(fā)新證書(shū)的情況下,新證書(shū)的到期時(shí)間。舊證書(shū)到期前30天內(nèi),您需要配合CA中心進(jìn)行新證書(shū)的資質(zhì)認(rèn)證。只有在舊證書(shū)到期前30天至舊證書(shū)到期這段時(shí)間內(nèi),新證書(shū)順利簽發(fā),預(yù)計(jì)托管證書(shū)到期時(shí)間才會(huì)生效。舊證書(shū)到期后,托管服務(wù)會(huì)失效。此時(shí)如果新證書(shū)仍未簽發(fā),您需要自行申請(qǐng)新證書(shū),同時(shí)預(yù)計(jì)托管證書(shū)到期時(shí)間會(huì)失效,新證書(shū)的到期時(shí)間為新證書(shū)簽發(fā)時(shí)間后1年。
授權(quán)域名免驗(yàn)證
每次申請(qǐng)SSL證書(shū)時(shí)都需要配合CA機(jī)構(gòu)驗(yàn)證域名所有權(quán),因此通常會(huì)因?yàn)轵?yàn)證不及時(shí)而導(dǎo)致證書(shū)簽發(fā)不成功或簽發(fā)時(shí)間過(guò)長(zhǎng)。為了解決該問(wèn)題,阿里云提供了域名免驗(yàn)證授權(quán)解決方案,您可以在域名所在的DNS解析服務(wù)商添加阿里云生成的CNAME類型的解析記錄,添加完成并在數(shù)字證書(shū)管理服務(wù)控制臺(tái)驗(yàn)證通過(guò)后,該域名在后續(xù)申請(qǐng)SSL證書(shū)時(shí)將不再重復(fù)DNS驗(yàn)證。具體操作,請(qǐng)參見(jiàn)添加并授權(quán)免DNS驗(yàn)證的域名。
配合CA中心進(jìn)行新證書(shū)的資質(zhì)認(rèn)證
在舊證書(shū)到期前30天,數(shù)字證書(shū)管理服務(wù)會(huì)自動(dòng)向CA中心發(fā)送新證書(shū)申請(qǐng)。由于CA中心審核DV、OV、EV證書(shū)的方式不同,在此階段您需要執(zhí)行不同的操作來(lái)配合CA中心進(jìn)行資質(zhì)認(rèn)證,確保新證書(shū)能順利簽發(fā)。以下表格描述了您需要執(zhí)行的具體操作。
上傳的第三方證書(shū)和個(gè)人測(cè)試證書(shū)不支持補(bǔ)齊舊證書(shū)的剩余有效期,為了避免舊證書(shū)剩余有效期的浪費(fèi),數(shù)字證書(shū)管理服務(wù)會(huì)在該類證書(shū)到期前15天自動(dòng)向CA中心發(fā)送新證書(shū)申請(qǐng)。
證書(shū)類型 | 需要執(zhí)行的操作 |
DV證書(shū) | 您需要配合CA中心驗(yàn)證域名所有權(quán),根據(jù)您的域名類型參考以下說(shuō)明進(jìn)行域名所有權(quán)驗(yàn)證:
|
OV、EV證書(shū) | CA中心在收到數(shù)字證書(shū)管理服務(wù)自動(dòng)發(fā)送的新證書(shū)申請(qǐng)后,開(kāi)始證書(shū)資質(zhì)的驗(yàn)證。只有驗(yàn)證通過(guò)后,CA中心才會(huì)為您簽發(fā)新證書(shū)。不同CA中心的要求有區(qū)別,驗(yàn)證所需時(shí)間不完全相同。OV、EV證書(shū)一般會(huì)在3~7個(gè)工作日內(nèi)完成審核和簽發(fā)。 您需要配合CA中心審核人員完成以下驗(yàn)證:
證書(shū)申請(qǐng)驗(yàn)證通過(guò)后,您可以在證書(shū)列表中查看新證書(shū)的狀態(tài)。新證書(shū)簽發(fā)后,證書(shū)狀態(tài)將變更為已簽發(fā)。 如果新證書(shū)申請(qǐng)驗(yàn)證不通過(guò),您可以在證書(shū)狀態(tài)中查看失敗原因。您需要根據(jù)失敗原因,修改導(dǎo)致審核失敗的申請(qǐng)信息(尤其是企業(yè)資質(zhì)審核信息),然后自行提交證書(shū)申請(qǐng)。 |
選擇新證書(shū)部署方式
開(kāi)啟證書(shū)托管服務(wù)后,數(shù)字證書(shū)管理服務(wù)會(huì)將新簽發(fā)的證書(shū)自動(dòng)部署至對(duì)應(yīng)的阿里云產(chǎn)品,但不會(huì)自動(dòng)部署至Web應(yīng)用服務(wù)器。為了保證您的業(yè)務(wù)不受影響,新證書(shū)簽發(fā)后,您需要做以下操作:
新證書(shū)部署至Web應(yīng)用服務(wù)器
在專屬客服的指導(dǎo)下,手動(dòng)將新證書(shū)安裝到您的Web服務(wù)器(替換舊證書(shū))。關(guān)于安裝證書(shū)的具體操作,請(qǐng)參見(jiàn)SSL證書(shū)安裝指南。
新證書(shū)部署至阿里云產(chǎn)品
開(kāi)通證書(shū)托管服務(wù)后,阿里云將自動(dòng)創(chuàng)建并啟動(dòng)關(guān)聯(lián)舊證書(shū)的托管部署任務(wù),該任務(wù)默認(rèn)自動(dòng)繼承舊證書(shū)的資源列表。在新證書(shū)簽發(fā)后,數(shù)字證書(shū)管理服務(wù)將自動(dòng)為您部署至對(duì)應(yīng)的云產(chǎn)品資源。
重要只有啟動(dòng)托管部署任務(wù)并且新證書(shū)在舊證書(shū)到期前完成簽發(fā),數(shù)字證書(shū)管理服務(wù)才會(huì)自動(dòng)將新證書(shū)部署到阿里云產(chǎn)品,所以請(qǐng)務(wù)必確保新證書(shū)已簽發(fā)。