SSL证书百科

常见问题

• 问：SSL证书怎么用，如何快速上手？

  答：1.购买SSL证书实例：提交证书申请.证书签发后下载证书等。2.使用已购买的SSL证书实例，向CA中心提交证书申请：CA中心是颁发SSL证书的机构。您可以通过购买的SSL证书实例向CA中心提交证书申请。只有当CA中心通过您的证书申请时，SSL证书才会签发给您。3.将已签发的SSL证书安装到您的Web服务器或部署到阿里云产品：SSL只有正确安装到Web服务器，才能实现客户端与服务器之间的HTTPS通信。由于不同类型的Web服务器的配置，您需要在证书签发后根据实际服务器环境安装证书。我们为您提供了在普通Web服务器上安装SSL证书的指导，供您参考。一些阿里巴巴云产品支持部署证书，即通过SSL证书服务将签发的证书一键安装在云产品上。不同的云产品可能需要部署SSL证书，以实现不同的功能目的。证书部署到云产品并不意味着证书不需要安装到服务器上，具体以云产品的使用说明为准。4.证书即将过期时，为证书续费，用新签发的证书代替旧证书：CA中心颁发的SSL证书默认有效期为一年。证书过期后，将不受浏览器的信任，影响客户通过HTTPS协议访问您的业务。您可以在证书到期前30个自然日内自动更新证书手续费，或提前打开证书托管服务，SSL证书服务将自动更新证书。续签证书意味着重新购买并申请与旧证书规格相同的SSL证书。续签证书后，您还必须将续签的新证书重新安装到您的网络服务器（或部署到阿里云产品），以更换即将到期的旧证书。5.不再需要使用证书时，向CA中心提交吊销证书申请:如果不再需要使用仍然有效的SSL证书，出于安全考虑(如避免盗用证书)，建议您通过SSL证书服务向CA中心提交吊销证书申请。吊销证书意味着从颁发证书的CA中心注销证书信息。取消的证书将无效。

• 问：通配符SSL证书都支持哪些域名？

  答：用户可以使用通配符域名证书保护服务器的单个主域名和主域名下同级别的所有子域名。域名DV和企业OV证书都支持通配符域名。如果你有多个同级别的子域名服务器，使用通配符域名证书时，只需要购买并安装一个证书，不需要单独购买和安装每个子域名的证书。购买通配符域名证书时要注意通配符域名证书与域名匹配的规则：通配符域名证书只能与同级别的子域名相匹配，不能跨级别匹配。例如：*.ihuyi.com匹配域名证书demo.ihuyi.com，learn.ihuyi.com，example.ihuyi.com等子域名，但不匹配guide.demo.ihuyi.com，developer.demo.ihuyi.com等域名。*.demo.ihuyi.com匹配guide.demo.ihuyi.com，developer.demo.ihuyi.com等子域名。通配符域名证书支持的域名包括一级域名。通配符域名证书只支持一个通配符主域名，不支持多个主域名。目前，通配符域名证书仅支持通配符类型域名，不支持非通配符域名。如果需要一个证书，包括多个通配符域名或混合域名(同时包括通配符域名和普通域名)""用户可以使用通配符域名证书保护服务器的单个主域名和主域名下同级别的所有子域名。域名DV和企业OV证书都支持通配符域名。如果你有多个同级别的子域名服务器，使用通配符域名证书时，只需要购买并安装一个证书，不需要单独购买和安装每个子域名的证书。购买通配符域名证书时要注意通配符域名证书与域名匹配的规则：通配符域名证书只能与同级别的子域名相匹配，不能跨级别匹配。例如：*.ihuyi.com匹配域名证书demo.ihuyi.com，learn.ihuyi.com，example.ihuyi.com等子域名，但不匹配guide.demo.ihuyi.com，developer.demo.ihuyi.com等域名。*.demo.ihuyi.com匹配guide.demo.ihuyi.com，developer.demo.ihuyi.com等子域名。通配符域名证书支持的域名包括一级域名。通配符域名证书只支持一个通配符主域名，不支持多个主域名。目前，通配符域名证书仅支持通配符类型域名，不支持非通配符域名。如果需要一个证书，包括多个通配符域名或混合域名(同时包括通配符域名和普通域名)

• 问：如何进场SSL证书格式转换？

  答：不同的Web服务器支持不同的证书格式。您需要将签发的证书转换为适用于当前Web服务器的格式，以便正常安装SSL证书。本文介绍了如何转换证书格式。您可以参考以下方法实现证书格式之间的转换：将JKS格式证书转换为PFX格式您可以使用JDK自带的Keytool工具，将JKS格式证书文件转换为PFX格式。例如，您可以执行以下命令，并将其转换为PFX格式。cert_name.jks证书文件转换为cert_name.pfx证书文件。keytool-importkeystore-srckeystoreD:\.jks-destkeystoreD:\.pfx-srcstoretypeJKS-deststoretypePKCS12(本文证书名称为cert_name例如：证书文件名称为例cert_name.pem，证书密钥文件名称为cert_name.key。在实际使用过程中，您需要cert_name更换为您的证书名称。)（Keytool该工具是JDK中自带的密钥管理工具，可以制作出来Keystore（jks）您可以从官方地址下载JDK工具包获取格式证书文件。JDK\jre\bin\security\目录下。）将PFX格式证书转换为JKS格式您可以使用JDK自带的Keytool工具，将PFX格式证书文件转换为JKS格式。例如，您可以执行以下命令，并将其转换为JKS格式。cert_name.pfx证书文件转换为cert_name.jks证书文件。keytool-importkeystore-srckeystoreD:\.pfx-destkeystoreD:\.jks-srcstoretypePKCS12-deststoretypeJKS将PEM，KEY或CRT格式证书转换为PFX格式证书您可以使用OpenSSL工具，将KEY格式密钥文件，PEM或CRT格式公钥文件转换为PFX格式证书文件。例如，将您的KEY格式密钥文件转换为PFX格式证书文件。cert_name.keyPEM格式公钥文件cert_name.pem复制到OpenSSL工具安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL工具安装目录cert_name.jks证书文件。opensslpkcs12-export-out.pfx-inkey.key-in.pem将PFX格式证书转换为PFX格式证书PEM，KEY或CRT格式您可以使用OpenSSL工具将PFX格式证书文件转换为KEY格式密钥文件，PEM或CRT格式公钥文件。例如，您的PFX格式证书文件cert_name.pfx复制到OpenSSL安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL安装目录cert_name.pem证书文件和KEY格式密钥文件cert_name.key。执行opensslpkcs12-in.pfx-nokeys-out.pem。执行opensslpkcs12-in.pfx-nocerts-out.key-nodes。将CER格式证书转化为PEM格式您可以使用OpenSSL工具将CER格式证书文件转换为PEM格式证书。例如，将您的CER格式证书文件cert_name.cer复制到OpenSSL安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL安装目录cert_name.pem证书文件。opensslx509-in.cer-out.pem-outformPEM将PEM格式证书转化为CER格式您可以使用OpenSSL工具将PEM格式证书文件转换为CER格式证书文件。例如，将您的PEM格式证书文件cert_name.pem复制到OpenSSL安装目录，使用OpenSSL工具执行以下命令，将证书转换为OpenSSL安装目录cert_name.cer证书文件。opensslx509-in.pem-out.cer-outformDER

热门SSL证书产品推荐

证书等级	DV（域名级）SSL证书	OV（企业级）SSL证书
适用场景	个人网站、企业测试	中小企业的网站、App、小程序等
验证级别	验证域名所有权	验证企业/组织真实性和域名所有权
HTTPS数据加密
浏览器挂锁
搜索排名提升
单域名证书	¥ 150 /年   ¥ 400 /3年 立即购买	¥ 720 /年   ¥ 2000 /3年 立即购买
通配符证书	¥ 550 /年   ¥ 1500 /3年 立即购买	¥ 1500 /年   ¥ 4200 /3年 立即购买