Page tree
Skip to end of metadata
Go to start of metadata

完成证书申购下单之后,您还需要在提交正式申请之前,配置用于提交到证书颁发机构的证书信息。此文档同时涵盖了如何配置单域名证书和多域名证书的订单申请,介于多域名证书的配置和单域名证书的配置在域名适配上有一些区别,请您阅读下列内容时特别留意高亮显示的提示语。

查看待配置证书

您可以通过控制台顶部菜单的 管理证书 进入到管理页面,然后点击 新订单 分类,查看到所有需要配置的新的数字证书订单,如下图

点击右侧的 管理 按钮即可进入到对应证书订单的配置页面如下图所示,根据证书类型,配置页面可能会有多个项目需要您配置

选择订阅类型: 新购/续费SSL

如果您是首次为您的域名申请我们的SSL数字证书产品,您就无需选择,此选项默认即是首次申请选项。如果您是为您当前的域名进行SSL数字证书续期,您应该选择下拉选择框内的 续费订单 选项

生成或上传CSR信息

CSR包含了需要提交到证书颁发机构去申请证书的基本信息,控制台默认提供了 CSR离线生成器 ,您可以点击如图所示按钮 打开离线生成器,填写对应的域名和申请信息。

在填写域名时分为以下几种情况:

配置单域名证书

请在域名一栏中填写需要保护的域名,如果您需要为 www.domain.com 申请证书, 您只需要在CSR创建器中填写 domain.com 即可,我们会自动将对应的 www 子域名包含在证书内。如果您的域名是一个除 domain.com 和 www.domain.com 的其它子域名,比如您需要保护的是 my.domain.com 域名,则您需要填写完整的 my.domain.com 进行申请。

配置通配符证书

如果您需要为 domain.comdomain.com 的所有二级子域名提供保护,您只需要在域名一栏中填写通配符格式域名 *.domain.com 进行申请即可。

如果您需要为 store.domain.comstore.domain.com 的所有三级子域名提供保护, 您只需要在域名一栏中填写通配符格式的二级域名 *.store.domain.com 进行申请即可。

以此类推,通配符证书目前测试通过可以最多保护至5级子域名。

配置IP地址证书

如果您需要为 8.8.8.8 这个公网IP地址提供保护,您只需要域名一栏中填写 public-ip-address.endusernetwork.trustoceanca.com 即可,然后将具体需要保护的公网IP地址填写在后续的 域名列表 内进行申请即可。此时,CSR信息中填写的域名不会实际保存到签发的证书当中。

特别注意

CSR信息的域名一栏中不能填写IP地址,只能填写合法的域名,否则您的订单将会在申请过程中出现错误。

配置多域名证书

如果您需要同时为 www.domain.com domain.com store.trustoceanca.com 提供保护,您只需要在域名一栏中任意填写一条域名即可,且此处填写的域名不会实际保存到签发的证书中。您需要将所有需要保护的域名填写到后续的 域名列表 内进行申请。 

当您填写完成信息后,您点击 立即创建 按钮即可创建CSR信息并自动填写到网页内,CSR对应的私钥将会自动下载到您的本地电脑,请您妥善保存私钥以备后用。

手机端创建CSR

如果您使用移动设备如手机、平板进行CSR创建,肯能会出现无法自动下载私钥的情况。这种情况下,我们建议您尽量在电脑桌面环境下使用 CSR离线生成器

填写域名列表

如果您申请的证书不是多域名证书,请您忽略此条介绍。

而对于多域名证书,请您将所有需要保护的域名,按照每行一条的格式填写到此域名列表中。若CSR中填写的域名需要保护,也需要在此处再填写一次。

验证域名控制权

完成域名信息和CSR信息填写之后,您需要提交保存当前的订单信息。此后,浏览器将自动跳转到域名验证界面。域名验证是所有的公开信任的证书颁发机构都必须实现的。只有通过了域名控制权验证才可以为您颁发对应域名的数字证书。

此时,我们对于域名验证提供了多种不同方式进行验证。您可以根据具体的情况选择您最佳的验证方式,每种验证方式都需要您采取操作来完成,下列是对于各种验证方式的一个简单的说明:

1. DNS记录验证

您需要为采用DNS验证方式的域名创建指定的DNS记录,记录类型为CNAME(别名),同一本证书,所有的DNS记录指向相同,记录名称不同。系统将通过您域名的权威DNS服务器查询记录结果,一旦所有域名验证成功,您的证书将会签发。

2. HTTP访问验证

请您为选择了采用HTTP文件验证方式的域名下载指定的验证文件,并上传至网站指定目录内。同一本证书验证文件相同。我们将会通过HTTP(80端口)协议访问指定目录下的验证文件进行自动验证。

3. HTTPS访问验证

请您为选择了采用HTTPS文件验证方式的域名下载指定的验证文件,并上传至网站指定目录内。同一本证书验证文件相同。我们将会通过HTTPS(443端口)协议访问指定目录下的验证文件进行自动验证。

4. 电子邮件验证

在您完成选择对应的电子邮件并点击页面下方的 保存提交 按钮之后,颁发机构将会在10分钟内发送对应的验证邮件到您为域名选择的验证邮箱。您需要根据邮件提示,复制接收的验证码(Validation Code),并点击邮件内的验证连接打开验证页面填写验证码提交进行验证。如果您申请多域名证书,则需要完成所有的验证。

获取验证信息

当您选择对应的验证方式后,域名下方将会展示对应的验证信息可供复制、下载。只有电子邮箱验证方式才是在保存提交之后发送给您。其他验证方式将会在您做好验证记录(或文件)后,并在保存提交后进行自动检查验证

转换签发的证书

当您根据验证方式配置好验证信息之后,保存并提交您的订单,系统只需1-5分钟即可完成订单验证同时签发您的SSL数字证书。此时您应该可以获取到电子邮件通知。再次返回到配置页面,并尝试刷新配置页面即可看到证书已经签发,页面如下

此时,您可以点击位于顶部的 转换证书 按钮,开始转换您的证书:

根据页面提示,填写您的私钥文件内容,CSR离线生成器 创建的私钥是默认下载到您的浏览器的,您可以打开浏览器的下载管理器查找以域名命名的.key文件,将该文件的文本内容复制到证书私钥一栏中。

由 CSR离线生成器 创建的私钥无需输入 私钥密码,转换的pfx格式证书也没有密码(IIS安装时无需输入密码)。

如果您的私钥是自行创建的,并且设置有密码,您就需要在转换时输入私钥密码进行转换,转换得到的pfx格式的证书密码也和您的私钥密码一致。

下载获得证书之后,您还需要参考我们的其它文档,学习如何安装您的SSL数字证书到服务器

相关的文章