主流SSL证书对比指南

覆盖选型·申请·部署·续期·排障·国密全流程

📋 SSL证书类型详解(DV/OV/EV)
证书类型 全称 验证方式 信任等级 地址栏表现 审核时长 适用场景
DV 域名验证型
Domain Validation
仅验证域名所有权
(邮箱/文件解析验证)
基础信任 显示小锁图标
点击无企业信息
分钟级
自动签发
个人博客、测试站点、小型资讯站
OV 组织验证型
Organization Validation
验证域名+企业真实身份
(营业执照、电话核验)
中等信任 显示小锁图标
点击可查看企业名称
1~3个工作日 中小企业官网、电商站点、企业服务平台
EV 扩展验证型
Extended Validation
最严格审核
企业资质、法律文件、实地核验
最高信任 地址栏显示企业全称
绿锁+企业标识
3~7个工作日 金融支付、政府机构、大型企业、在线银行
📊 主流品牌核心参数对比
品牌 验证级别 单域名年价(参考) 通配符年价(参考) 最高赔付额 核心特点
Let's Encrypt DV 域名验证 永久免费 免费 自动续期、非营利
Sectigo DV / OV / EV ¥50 起 ¥300 起 $175万 性价比高、兼容性好
GlobalSign DV / OV / EV ¥200 起 ¥2000 起 $150万 老牌CA、亚太兼容好
DigiCert OV / EV 企业级 ¥1500 起 ¥8000 起 $200万 最高信任度、企业级服务
阿里云SSL 全类型 免费版可用 ¥1200 起 依品牌而定 国内生态、中文服务
腾讯云SSL 全类型 免费版可用 ¥1000 起 依品牌而定 签发快、腾讯生态
🏢 各品牌详细介绍与套餐
Let's Encrypt 免费级

非营利性免费SSL证书,由ISRG运营,是全球使用量最大的证书,适合个人与小型站点。

  • DV 单域名免费
  • DV 通配符免费
  • 多域名SAN免费
  • 有效期90天,支持自动续期
  • 全浏览器信任,兼容所有主流设备
  • 支持ACME协议,一键申请部署
  • 无人工审核,分钟级签发
前往官网 →
Sectigo 高性价比

原Comodo证书,全球第二大CA机构,产品线齐全,性价比极高,中小企业首选。

  • DV 单域名¥50 起/年
  • OV 单域名¥300 起/年
  • EV 单域名¥800 起/年
  • 通配符证书¥300 起/年
  • 支持DV/OV/EV全级别证书
  • 浏览器兼容性优秀,移动端适配好
  • 赔付保额最高175万美元
  • 支持国密SM2算法证书
前往官网 →
GlobalSign 企业级

比利时老牌CA机构,亚太地区市场占有率高,政企与跨境站点常用品牌。

  • DV 单域名¥200 起/年
  • OV 单域名¥800 起/年
  • EV 单域名¥1800 起/年
  • 通配符证书¥2000 起/年
  • 全球信任根证书,兼容所有终端
  • 支持国密算法与双证书部署
  • 企业级技术支持与工单服务
  • 亚太地区节点多,签发速度快
前往官网 →
DigiCert 高端旗舰

全球顶级CA机构,收购原Symantec证书业务,是金融、政府、大型企业首选。

  • OV 单域名¥1500 起/年
  • EV 单域名¥3000 起/年
  • 通配符证书¥8000 起/年
  • 多域名EV¥12000 起/年
  • 浏览器最高信任级别,EV绿址栏效果最佳
  • 最高200万美元赔付保障
  • 7×24小时企业级技术支持
  • 支持国密、代码签名、文档签名全品类
前往官网 →
阿里云SSL证书 国内主流

阿里云旗下证书服务,代理全球主流品牌,无缝集成阿里云生态,国内用户首选。

  • DV 免费版免费
  • DV 付费单域名¥100 起/年
  • OV 单域名¥500 起/年
  • EV 单域名¥2000 起/年
  • 免费版支持单域名,有效期1年
  • 一键部署到CDN、SLB、ECS等云产品
  • 中文客服支持,审核流程本地化
  • 支持国密证书与统一管理平台
前往官网 →
腾讯云SSL证书 国内主流

腾讯云旗下证书服务,合作多家顶级CA,签发速度快,适配腾讯云全生态。

  • DV 免费版免费
  • DV 付费单域名¥80 起/年
  • OV 单域名¥400 起/年
  • EV 单域名¥1800 起/年
  • 免费版支持单域名,自动续期
  • 无缝对接CDN、负载均衡、轻量服务器
  • 微信生态深度适配,小程序专用证书
  • 中文工单支持,审核效率高
前往官网 →
📝 证书申请与验证详细步骤
通用申请全流程
  1. 选择证书类型与品牌

    根据站点用途和预算,确定DV/OV/EV级别、单域名/通配符/多域名类型,选择对应CA品牌或云服务商。

  2. 提交申请信息

    填写需要绑定的域名,OV/EV证书还需提交企业营业执照、联系人信息、企业电话等资质材料。

  3. 完成域名所有权验证

    通过DNS解析、文件上传或邮箱验证中的任意一种方式,证明你拥有该域名的管理权(下方有详细说明)。

  4. 机构审核签发

    DV证书自动审核,分钟级签发;OV/EV证书由CA机构人工核验企业信息,1~7个工作日完成审核。

  5. 下载证书文件

    审核通过后,下载对应服务器环境的证书包,通常包含证书文件、私钥文件、中间证书链文件。

  6. 部署到服务器

    将证书上传到服务器,修改Nginx/Apache等Web服务配置,重启服务后验证HTTPS是否正常生效。

DNS验证 推荐

  • 原理:添加指定TXT解析记录到域名DNS
  • 操作:域名控制台添加一条TXT记录,主机记录通常为_acme-challenge
  • 优点:无需服务器权限、不影响站点运行、支持通配符证书
  • 缺点:需要域名解析管理权限,解析生效需等待几分钟

文件验证

  • 原理:上传指定文件到站点根目录指定路径
  • 操作:创建.well-known/pki-validation/目录,上传指定文件名和内容
  • 优点:无需改解析,HTTP可访问即可验证
  • 缺点:需要服务器文件权限,不支持通配符证书

邮箱验证

  • 原理:向域名管理员邮箱发送验证链接
  • 操作:接收admin@yourdomain.com等邮箱的验证邮件,点击链接确认
  • 优点:操作最简单,无需技术操作
  • 缺点:需要有域名对应的企业邮箱,部分免费证书不支持
补充说明:OV/EV证书除域名验证外,还需完成企业身份核验,包括营业执照查验、企业电话回呼、授权函签署等流程;EV证书还需第三方数据库核验企业法律实体信息。
⚙️ Nginx / Apache 部署配置示例
Nginx 部署配置

将证书文件上传到服务器后,在站点配置文件中添加以下配置,替换为自己的域名和证书路径。

# HTTP 强制跳转 HTTPS
server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$server_name$request_uri;
}

# HTTPS 站点配置
server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;

    # 证书文件路径
    ssl_certificate /etc/nginx/ssl/yourdomain.pem;
    ssl_certificate_key /etc/nginx/ssl/yourdomain.key;

    # SSL 安全配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    # 站点根目录与PHP配置(根据实际情况修改)
    root /var/www/yourdomain;
    index index.html index.php;
}
生效命令:配置完成后执行 nginx -t 检查语法,无误后执行 systemctl reload nginx 重载生效;需确保服务器443端口已在防火墙放行。
Apache 部署配置

需先启用SSL模块(Debian/Ubuntu执行 a2enmod ssl),再在虚拟主机配置中添加以下内容。

# HTTP 强制跳转 HTTPS
<VirtualHost *:80>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    RewriteEngine On
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

# HTTPS 虚拟主机配置
<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    DocumentRoot /var/www/yourdomain

    # 证书文件路径
    SSLEngine on
    SSLCertificateFile /etc/apache2/ssl/yourdomain.crt
    SSLCertificateKeyFile /etc/apache2/ssl/yourdomain.key
    SSLCertificateChainFile /etc/apache2/ssl/ca-bundle.crt

    # SSL 安全配置
    SSLProtocol -all +TLSv1.2 +TLSv1.3
    SSLCipherSuite HIGH:!aNULL:!MD5:!RC4:!DHE
    SSLHonorCipherOrder on
</VirtualHost>
生效命令:配置完成后执行 apache2ctl configtest 检查语法,无误后执行 systemctl reload apache2 重载生效;CentOS系统服务名为 httpd
🔄 证书自动续期配置教程
Certbot 自动续期(Let's Encrypt 免费证书)

Let's Encrypt证书有效期仅90天,通过Certbot工具可实现全自动续期,无需人工干预。

1. 安装 Certbot 客户端

# Debian/Ubuntu 系统
apt update && apt install certbot python3-certbot-nginx -y

# CentOS/RHEL 系统
yum install certbot python3-certbot-nginx -y

2. 一键申请并自动配置(推荐)

# Nginx 环境自动申请+配置+续期
certbot --nginx -d yourdomain.com -d www.yourdomain.com

# Apache 环境自动申请+配置+续期
certbot --apache -d yourdomain.com -d www.yourdomain.com
执行后按提示填写邮箱,选择自动重定向HTTP到HTTPS,Certbot会自动修改Nginx/Apache配置并添加续期定时任务。

3. 手动配置定时续期(通用方案)

若使用手动部署方式,可添加系统定时任务自动续期,证书到期前30天自动更新:

# 编辑定时任务
crontab -e

# 每天凌晨3点执行续期检查,成功后重载Nginx
0 3 * * * certbot renew --quiet --renew-hook "systemctl reload nginx"

4. 验证续期是否正常

# 模拟续期测试,检查配置是否正确
certbot renew --dry-run

# 查看所有证书有效期
certbot certificates
注意:续期需要80端口可正常访问,且域名解析指向当前服务器;通配符证书需配置DNS插件自动完成验证。
云厂商证书自动续期

阿里云SSL自动续期

  • 免费DV证书:控制台开启「自动续费」,到期前30天自动签发新证书
  • 付费证书:开启自动续费后,到期前自动续费并签发新证书
  • 部署在阿里云产品(CDN/SLB/ECS)上的证书,支持自动更新部署,无需人工操作
  • 自有服务器部署:可通过阿里云CLI工具配合定时脚本实现自动更新

腾讯云SSL自动续期

  • 免费证书支持「托管部署」模式,自动续期并自动更新到关联的云服务
  • 付费证书开启自动续费后,到期前自动完成续费与签发
  • 支持通过API接口批量获取证书,配合脚本实现自有服务器自动更新
  • 微信小程序、云函数等腾讯生态产品可实现无缝自动续期
最佳实践:国内云厂商免费证书有效期1年,建议开启自动续费+托管部署,避免证书过期导致站点异常。
🔧 部署常见报错排查方案
常见问题排查清单
❌ 浏览器提示“不安全”/证书无效
常见原因:证书与域名不匹配、证书已过期、证书链不完整、使用了自签名证书
  • 核对证书绑定的域名与访问域名是否完全一致,通配符证书仅匹配一级子域名
  • 检查证书有效期,确认是否已过期需要续期
  • Nginx配置中pem文件需拼接「域名证书+中间证书」完整链,不可只放单证书
  • 使用在线SSL检测工具验证证书链完整性
❌ Nginx/Apache启动失败/配置报错
常见原因:证书路径错误、文件权限不足、配置语法错误、端口被占用
  • 执行配置检查命令(nginx -t / apache2ctl configtest)查看具体报错行
  • 确认证书文件路径真实存在,权限设为600,所有者与Web服务运行用户一致
  • 检查443端口是否被其他进程占用(netstat -tulpn | grep 443)
  • 确认已安装对应SSL模块,Apache需先启用ssl模块
❌ 页面样式错乱/混合内容警告
常见原因:页面内存在http://开头的资源(图片、CSS、JS),HTTPS页面加载HTTP资源被浏览器拦截
  • 将页面内所有资源链接替换为https://,或使用相对路径
  • WordPress站点可在设置中修改站点地址为HTTPS,同时替换数据库内旧HTTP链接
  • 可添加CSP头自动升级请求:add_header Content-Security-Policy "upgrade-insecure-requests";
❌ HTTP跳转HTTPS死循环/重定向过多
常见原因:反向代理/CDN后,后端无法识别HTTPS协议,反复跳转
  • Nginx配置中添加fastcgi_param HTTPS on; 传递协议状态
  • WordPress站点在wp-config.php中添加$_SERVER['HTTPS'] = 'on';
  • 检查CDN/负载均衡的回源协议,避免HTTP回源导致循环
❌ 移动端/部分浏览器不信任
常见原因:缺少中间证书、根证书过旧、使用了小众CA证书
  • 部署完整的证书链,必须包含中间CA证书
  • 优先选择主流CA品牌证书,兼容更广泛
  • 老旧设备可适当兼容TLS 1.0/1.1协议(不推荐)
❌ Let's Encrypt证书自动续期失败
常见原因:80端口被占用、域名解析变更、验证路径被拦截、客户端版本过旧
  • 确保80端口可正常访问,防火墙未拦截
  • 检查域名解析是否正确指向当前服务器
  • 手动执行续期命令查看具体报错:certbot renew --dry-run
  • 升级certbot客户端到最新版本
❌ 443端口无法访问/连接超时
常见原因:防火墙未放行、安全组拦截、服务商封禁443端口
  • 检查服务器防火墙(iptables/firewalld)是否放行443端口
  • 云服务器检查控制台安全组是否添加443入站规则
  • 国内服务器需确认域名已完成ICP备案,否则可能被封禁端口
🇨🇳 国密SSL证书专项说明
国密SSL基础概述

国密SSL证书是基于我国自主商用密码算法的SSL证书,遵循《GM/T 0024-2014 SSL VPN技术规范》,核心采用SM2、SM3、SM4三套国密算法,满足等保2.0、密评、政务合规要求。

SM2 非对称加密

  • 国密椭圆曲线公钥密码算法
  • 替代国际RSA/ECC算法
  • 用于证书签名、密钥协商
  • 安全强度等同于3072位RSA

SM3 哈希算法

  • 国密密码杂凑算法
  • 替代国际SHA-256算法
  • 输出256位哈希值
  • 用于签名摘要、完整性校验

SM4 对称加密

  • 国密分组对称加密算法
  • 替代国际AES算法
  • 128位密钥与分组长度
  • 用于传输数据加密
合规要求:政务系统、国企、金融、医疗等涉及敏感数据的系统,按等保2.0与密码应用安全性评估要求,需使用国密算法实现传输加密。
国密证书特点与适用场景

核心特点

  • 自主可控:算法完全由我国自主设计,避免国外算法后门风险,满足等保密评要求
  • 双证书体系:实际部署通常采用「RSA/ECC国际证书 + SM2国密证书」双证书方案,兼容普通浏览器与国密浏览器
  • 验证级别:支持DV/OV/EV全级别验证,与国际证书流程一致
  • 兼容性:普通Chrome/Edge/Firefox默认不支持国密算法,需使用国密专用浏览器(如360安全浏览器、奇安信浏览器等)

适用场景

  • 政府机关、事业单位政务外网系统
  • 国企、央企内部业务系统与对外门户
  • 金融、医疗、教育等需通过密评的系统
  • 等保三级及以上的信息系统
  • 对数据安全有高自主可控要求的企业
注意:面向公众的互联网站点不建议单独使用国密证书,普通用户浏览器无法访问,需采用双证书兼容方案。
主流国密证书品牌与部署方案

支持国密证书的主流CA

  • CFCA 中国金融认证中心:国内权威国密CA,金融行业首选
  • 数安时代(GDCA):华南地区主流国密CA,性价比高
  • Sectigo/GlobalSign:国际CA推出的国密证书,适合跨境合规场景
  • 阿里云/腾讯云:云平台国密证书服务,无缝集成云产品,部署便捷
  • 上海CA、北京CA:地方CA机构,适配本地政务项目

Nginx 国密双证书部署示例

需使用支持国密的Nginx版本(如Tengine、OpenSSL国密版),配置双证书自动协商:

server {
    listen 443 ssl;
    server_name yourdomain.com;

    # RSA 国际证书(兼容普通浏览器)
    ssl_certificate /etc/nginx/ssl/rsa.pem;
    ssl_certificate_key /etc/nginx/ssl/rsa.key;

    # SM2 国密证书(兼容国密浏览器)
    ssl_certificate /etc/nginx/ssl/sm2.pem;
    ssl_certificate_key /etc/nginx/ssl/sm2.key;

    # 支持国密协议套件
    ssl_protocols TLSv1.2 TLSv1.3 GMTLS;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECC-SM2-WITH-SM4-SM3;
    ssl_prefer_server_ciphers on;
}
部署建议:政务系统优先选用国产Web服务器(如Tengine、东方通),完整支持国密GMTLS协议;公网业务采用「RSA+SM2」双证书方案兼顾兼容性与合规性。
💡 选购建议

按场景选择方案