快速申请和使用OV型SSL证书
您的网站使用SSL证书后,将会通过HTTPS加密协议来传输数据,可帮助服务器端和客户端之间建立加密链接,从而保证数据传输的安全。
操作场景
- 云证书管理服务(Cloud Certificate Manager,CCM)提供了域名证书和IP证书两种服务类型的SSL证书,您可以根据需要进行选购。域名证书的类型包括DV、OV、EV三种类型,其中,OV泛域名类型SSL证书适用范围较广,可以为所有子域名提供加密保护,广泛应用于外交部、国家电网、华为云等。
- 本指南以申请GlobalSign品牌、泛域名、OV型SSL证书为例,指导您通过云证书管理服务快速申请和使用SSL证书。
- 泛域名证书只能保护同一级别的子域名,例如二级泛域名*.example.com可以保护test.example.com,但是无法保护test.test.example.com这样的三级子域名。
操作流程
|
操作步骤 |
说明 |
|---|---|
|
注册华为账号并开通华为云,实名认证,为账户充值,以及为IAM用户授权。 |
|
|
配置SSL证书的购买参数,购买OV型SSL证书。 |
|
|
成功购买证书后,为证书绑定域名、填写证书申请人的详细信息并提交审核。 |
|
|
证书提交申请后,配置域名验证信息,进行域名授权验证,来证明您对所申请绑定的域名的所有权。 |
|
|
域名验证完成后,配合CA机构确认企业/组织是否发起了此次的证书订单申请。 |
|
|
组织验证完成后,CA机构将人工审核证书信息,审核通过后,将会签发证书。 |
|
|
证书申请完成后,您可以根据业务需要一键部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。 |
准备工作
- 注册账号并实名认证。
在购买证书之前,请先注册华为账号并开通华为云、实名认证。
- 请保证账户有足够的资金,以避免购买证书失败。具体操作请参见账户充值。
- 请确保购买证书的账号拥有“SCM Administrator”/“SCM FullAccess”、“BSS Administrator”和“DNS Administrator”权限。
- BSS Administrator:费用中心、资源中心、账号中心的所有执行权限。项目级角色,在同项目中勾选。
- DNS Administrator:云解析服务(DNS)的所有执行权限。
具体操作请参见权限管理。
步骤一:购买SSL证书
- 登录云证书管理服务控制台。
- 单击页面左上方的
,选择,进入云证书管理服务的SSL证书管理页面。 - 在SSL证书管理页面右上角,单击“购买证书”,进入购买证书页面。
- 在购买证书页面,配置如下购买参数,参数配置后如图1所示。
表1 购买OV型SSL证书参数设置 参数
示例
说明
计费模式
一次性
SSL证书属于一次性计费产品。
服务类型
SSL证书-域名证书
-
域名类型
泛域名
域名证书支持绑定“单域名”、“多域名”或“泛域名”,请根据实际需求进行选择。更多信息,请参见证书支持的域名类型。
域名数量
1个
- 域名类型为“单域名”和“泛域名”时,域名数量固定为1个。
- 域名类型为“多域名”时,域名数量范围为“2~250”,请根据实际需求设置域名数量。
证书类型
OV
CCM提供OV、DV、EV三种类型的SSL证书,不同证书类型适用的应用场景、信任等级和安全性不同,具体区别,请参见证书类型。
证书品牌
GlobalSign
CCM支持的证书品牌包括“GeoTrust”、“DigiCert”、“GlobalSign”、“CFCA(国产)”、“TrustAsia(国产)”和“vTrus(国产)”。
各品牌支持签发的证书类型,请参见证书品牌。
区域
全区域可用
-
有效期
1年
根据需求选择SSL证书的有效期,购买周期越长,享受的折扣越大。
企业项目
default
仅当使用企业类型的账号购买SSL证书时,会显示该参数。
用于按项目统一管理云资源。
购买量
1个
根据实际需求设置数值。
标签
暂不添加
标签用于标识SSL证书,方便分类及管理云资源。
- 确认参数配置无误后,在页面右下角,单击“立即购买”。
- 确认订单无误后,阅读并勾选“我已阅读并同意《云证书管理服务(CCM)免责声明》”,单击“去支付”。
- 在购买页面,请选择付款方式进行付款。
成功付款后,可以在,查看已购买的证书。
步骤二:申请SSL证书
成功购买证书后,您需要申请证书,即为证书绑定域名、填写证书申请人的详细信息并提交审核。所有信息通过审核后,证书颁发机构才签发证书。
- 登录云证书管理服务控制台。
- 单击页面左上方的
,选择,进入云证书管理服务的SSL证书管理页面。 - 在SSL证书列表待申请证书所在行的“操作”列,单击“申请证书”,系统从右侧弹出申请证书详细页面。
图2 申请证书
- 在弹出申请证书详细页面中,填写域名、企业组织和申请人等信息,参数填写说明请参见提交SSL证书申请。
图3 申请证书详细页面
- 确认填写信息无误后,阅读《云证书管理服务(CCM)免责声明》、《隐私政策声明》和信息授权声明,并勾选声明内容前面的勾选框。
- 单击“提交申请”。
系统会将您的申请提交到CA认证机构,请您保持电话畅通,并及时查阅邮箱中来自CA认证机构的电子邮件。
步骤三:域名验证
提交SSL证书申请后,CA颁发机构将在2-3个工作日内对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。您需要按照要求进行域名验证,来证明您对所申请绑定的域名的所有权。本指南以DNS验证为例进行说明。
- 登录云证书管理服务控制台。
- 单击页面左上方的
,选择,进入云证书管理服务的SSL证书管理页面。 - 在SSL证书列表中待申请证书所在行的“操作”列,单击“域名验证”,系统从右侧弹出域名验证详细页面。
图4 域名验证
- 在证书的域名验证页面,查看并记录“主机记录”、“记录类型”和“记录值”,如图5所示。
- 前往您绑定域名的DNS解析服务商,添加一条解析记录,具体操作请参见手动DNS验证。
- 查看域名验证是否生效,具体操作请参见手动DNS验证。
- DNS验证结果审核。
域名验证操作完成后,CA机构需要2-3个工作日对您提交的信息进行验证,请您耐心等待。审核通过后才可以进行下一步“组织验证”。
步骤四:组织验证
申请OV型SSL证书时,域名验证完成后,CA机构将向您填写的邮箱发送一封组织验证邮件。CA机构将根据您选择的验证方式与企业/组织进行联系,确认企业/组织是否发起了此次的证书订单申请。
- 13个月内再次购买同一品牌的证书且信息无更改,将免组织验证即人工审核。
- 组织验证完成后,CA机构将还需要一段时间进行处理,请您耐心等待。
- 登录您在申请证书时填写的联系人邮箱。
- 打开来自CA机构的组织验证邮件。
- 回复CA机构的邮件以选择组织验证方式。
- 请您留意所选择的验证方式,配合CA机构进行处理。
步骤五:签发SSL证书
SSL证书审核时间取决于您和CA机构之间的配合。CA机构将通过您预留的邮箱和电话与您进行联系,请留意您在申请证书时预留的邮箱和电话。
一般情况下,对于OV型SSL证书在确认完成组织验证后,CA机构将人工审核信息,在信息正确的情况下审核周期一般为3~5个工作日。CA机构审核通过后,将会签发证书,证书签发后便立即生效,OV型SSL证书申请完成。
部署证书操作请参见部署证书到云产品。
下载证书操作请参见下载证书。
