覆盖选型·申请·部署·续期·排障·国密全流程
| 证书类型 | 全称 | 验证方式 | 信任等级 | 地址栏表现 | 审核时长 | 适用场景 |
|---|---|---|---|---|---|---|
| DV | 域名验证型 Domain Validation |
仅验证域名所有权 (邮箱/文件解析验证) |
基础信任 | 显示小锁图标 点击无企业信息 |
分钟级 自动签发 |
个人博客、测试站点、小型资讯站 |
| OV | 组织验证型 Organization Validation |
验证域名+企业真实身份 (营业执照、电话核验) |
中等信任 | 显示小锁图标 点击可查看企业名称 |
1~3个工作日 | 中小企业官网、电商站点、企业服务平台 |
| EV | 扩展验证型 Extended Validation |
最严格审核 企业资质、法律文件、实地核验 |
最高信任 | 地址栏显示企业全称 绿锁+企业标识 |
3~7个工作日 | 金融支付、政府机构、大型企业、在线银行 |
| 品牌 | 验证级别 | 单域名年价(参考) | 通配符年价(参考) | 最高赔付额 | 核心特点 |
|---|---|---|---|---|---|
| Let's Encrypt | DV 域名验证 | 永久免费 | 免费 | 无 | 自动续期、非营利 |
| Sectigo | DV / OV / EV | ¥50 起 | ¥300 起 | $175万 | 性价比高、兼容性好 |
| GlobalSign | DV / OV / EV | ¥200 起 | ¥2000 起 | $150万 | 老牌CA、亚太兼容好 |
| DigiCert | OV / EV 企业级 | ¥1500 起 | ¥8000 起 | $200万 | 最高信任度、企业级服务 |
| 阿里云SSL | 全类型 | 免费版可用 | ¥1200 起 | 依品牌而定 | 国内生态、中文服务 |
| 腾讯云SSL | 全类型 | 免费版可用 | ¥1000 起 | 依品牌而定 | 签发快、腾讯生态 |
非营利性免费SSL证书,由ISRG运营,是全球使用量最大的证书,适合个人与小型站点。
原Comodo证书,全球第二大CA机构,产品线齐全,性价比极高,中小企业首选。
比利时老牌CA机构,亚太地区市场占有率高,政企与跨境站点常用品牌。
全球顶级CA机构,收购原Symantec证书业务,是金融、政府、大型企业首选。
阿里云旗下证书服务,代理全球主流品牌,无缝集成阿里云生态,国内用户首选。
腾讯云旗下证书服务,合作多家顶级CA,签发速度快,适配腾讯云全生态。
根据站点用途和预算,确定DV/OV/EV级别、单域名/通配符/多域名类型,选择对应CA品牌或云服务商。
填写需要绑定的域名,OV/EV证书还需提交企业营业执照、联系人信息、企业电话等资质材料。
通过DNS解析、文件上传或邮箱验证中的任意一种方式,证明你拥有该域名的管理权(下方有详细说明)。
DV证书自动审核,分钟级签发;OV/EV证书由CA机构人工核验企业信息,1~7个工作日完成审核。
审核通过后,下载对应服务器环境的证书包,通常包含证书文件、私钥文件、中间证书链文件。
将证书上传到服务器,修改Nginx/Apache等Web服务配置,重启服务后验证HTTPS是否正常生效。
_acme-challenge.well-known/pki-validation/目录,上传指定文件名和内容将证书文件上传到服务器后,在站点配置文件中添加以下配置,替换为自己的域名和证书路径。
nginx -t 检查语法,无误后执行 systemctl reload nginx 重载生效;需确保服务器443端口已在防火墙放行。
需先启用SSL模块(Debian/Ubuntu执行 a2enmod ssl),再在虚拟主机配置中添加以下内容。
apache2ctl configtest 检查语法,无误后执行 systemctl reload apache2 重载生效;CentOS系统服务名为 httpd。
Let's Encrypt证书有效期仅90天,通过Certbot工具可实现全自动续期,无需人工干预。
若使用手动部署方式,可添加系统定时任务自动续期,证书到期前30天自动更新:
add_header Content-Security-Policy "upgrade-insecure-requests";fastcgi_param HTTPS on; 传递协议状态$_SERVER['HTTPS'] = 'on';certbot renew --dry-run国密SSL证书是基于我国自主商用密码算法的SSL证书,遵循《GM/T 0024-2014 SSL VPN技术规范》,核心采用SM2、SM3、SM4三套国密算法,满足等保2.0、密评、政务合规要求。
需使用支持国密的Nginx版本(如Tengine、OpenSSL国密版),配置双证书自动协商: