文档首页/ 云证书与管理服务 CCM/ 快速入门/ 快速申请和使用OV型SSL证书
更新时间:2025-11-10 GMT+08:00
查看PDF
分享

快速申请和使用OV型SSL证书

您的网站使用SSL证书后,将会通过HTTPS加密协议来传输数据,可帮助服务器端和客户端之间建立加密链接,从而保证数据传输的安全。

操作场景

  • 云证书与管理服务(Cloud Certificate & Manager,CCM)提供了域名证书和IP证书两种服务类型的SSL证书,您可以根据需要进行选购。域名证书的类型包括DV、OV、EV三种类型,其中,OV泛域名类型SSL证书适用范围较广,可以为所有子域名提供加密保护,广泛应用于外交部、国家电网、华为云等。
  • 本指南以申请GlobalSign品牌、泛域名、OV型SSL证书为例,指导您通过云证书与管理服务快速申请和使用SSL证书。
  • 泛域名证书只能保护同一级别的子域名,例如二级泛域名*.example.com可以保护test.example.com,但是无法保护test.test.example.com这样的三级子域名。

操作流程

操作步骤

说明

准备工作

注册华为账号并开通华为云,实名认证,为账户充值,以及为IAM用户授权。

步骤一:购买SSL证书

配置SSL证书的购买参数,购买OV型SSL证书。

步骤二:申请SSL证书

成功购买证书后,为证书绑定域名、填写证书申请人的详细信息并提交审核。

步骤三:域名验证

证书提交申请后,配置域名验证信息,进行域名授权验证,来证明您对所申请绑定的域名的所有权。

步骤四:组织验证

域名验证完成后,配合CA机构确认企业/组织是否发起了此次的证书订单申请。

步骤五:签发SSL证书

组织验证完成后,CA机构将人工审核证书信息,审核通过后,将会签发证书。

步骤六:使用OV型SSL证书

证书申请完成后,您可以根据业务需要一键部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。

准备工作

  1. 注册账号并实名认证。

    在购买证书之前,请先注册华为账号并开通华为云实名认证

  2. 请保证账户有足够的资金,以避免购买证书失败。具体操作请参见账户充值
  3. 请确保购买证书的账号拥有“SCM Administrator”/“SCM FullAccess”、“BSS Administrator”和“DNS Administrator”权限。
    • BSS Administrator:费用中心、资源中心、账号中心的所有执行权限。项目级角色,在同项目中勾选。
    • DNS Administrator:云解析服务(DNS)的所有执行权限。

    具体操作请参见权限管理

步骤一:购买SSL证书

  1. 登录云证书与管理服务控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书与管理服务 CCM,进入云证书与管理服务的SSL证书管理页面。
  3. 在SSL证书管理页面右上角,单击“购买证书”,进入购买证书页面。
  4. 在购买证书页面,配置如下购买参数,参数配置后如图1所示。

    表1 购买OV型SSL证书参数设置

    参数

    示例

    说明

    计费模式

    一次性

    SSL证书属于一次性计费产品。

    服务类型

    SSL证书-域名证书

    -

    域名类型

    泛域名

    域名证书支持绑定“单域名”“多域名”“泛域名”,请根据实际需求进行选择。更多信息,请参见证书支持的域名类型

    域名数量

    1个
    • 域名类型为“单域名”“泛域名”时,域名数量固定为1个。
    • 域名类型为“多域名”时,域名数量范围为“2~250”,请根据实际需求设置域名数量。

    证书类型

    OV

    CCM提供OV、DV、EV三种类型的SSL证书,不同证书类型适用的应用场景、信任等级和安全性不同,具体区别,请参见证书类型

    证书品牌

    GlobalSign

    CCM支持的证书品牌包括“GeoTrust”“DigiCert”“GlobalSign”“CFCA(国产)”“TrustAsia(国产)”“vTrus(国产)”

    各品牌支持签发的证书类型,请参见证书品牌

    区域

    全区域可用

    -

    有效期

    1年

    根据需求选择SSL证书的有效期,购买周期越长,享受的折扣越大。

    企业项目

    default

    仅当使用企业类型的账号购买SSL证书时,会显示该参数。

    用于按项目统一管理云资源。

    购买量

    1个

    根据实际需求设置数值。

    标签

    暂不添加

    标签用于标识SSL证书,方便分类及管理云资源。
    图1 购买OV型SSL证书参数设置


  5. 确认参数配置无误后,在页面右下角,单击“立即购买”
  6. 确认订单无误后,阅读并勾选“我已阅读并同意《云证书与管理服务(CCM)免责声明》”,单击“去支付”
  7. 在购买页面,请选择付款方式进行付款。

    成功付款后,可以在SSL证书管理 > SSL证书列表,查看已购买的证书。

步骤二:申请SSL证书

成功购买证书后,您需要申请证书,即为证书绑定域名、填写证书申请人的详细信息并提交审核。所有信息通过审核后,证书颁发机构才签发证书。

  1. 登录云证书与管理服务控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书与管理服务 CCM,进入云证书与管理服务的SSL证书管理页面。
  3. 在SSL证书列表待申请证书所在行的“操作”列,单击“申请证书”,系统从右侧弹出申请证书详细页面。

    图2 申请证书


  4. 在弹出申请证书详细页面中,填写域名、企业组织和申请人等信息,参数填写说明请参见提交SSL证书申请

    图3 申请证书详细页面

  5. 确认填写信息无误后,阅读《云证书与管理服务(CCM)免责声明》、《隐私政策声明》和信息授权声明,并勾选声明内容前面的勾选框。
  6. 单击“提交申请”。

    系统会将您的申请提交到CA认证机构,请您保持电话畅通,并及时查阅邮箱中来自CA认证机构的电子邮件。

步骤三:域名验证

提交SSL证书申请后,CA颁发机构将在2-3个工作日内对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。您需要按照要求进行域名验证,来证明您对所申请绑定的域名的所有权。本指南以DNS验证为例进行说明。

  1. 登录云证书与管理服务控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书与管理服务 CCM,进入云证书与管理服务的SSL证书管理页面。
  3. 在SSL证书列表中待申请证书所在行的“操作”列,单击“域名验证”,系统从右侧弹出域名验证详细页面。

    图4 域名验证

  4. 在证书的域名验证页面,查看并记录“主机记录”“记录类型”“记录值”,如图5所示。

    如果界面未显示,则请登录邮箱(申请证书时填写的邮箱)进行查看。
    图5 查看主机记录

  5. 前往您绑定域名的DNS解析服务商,添加一条解析记录,具体操作请参见手动DNS验证
  6. 查看域名验证是否生效,具体操作请参见手动DNS验证
  7. DNS验证结果审核。

    域名验证操作完成后,CA机构需要2-3个工作日对您提交的信息进行验证,请您耐心等待。审核通过后才可以进行下一步“组织验证”

步骤四:组织验证

申请OV型SSL证书时,域名验证完成后,CA机构将向您填写的邮箱发送一封组织验证邮件。CA机构将根据您选择的验证方式与企业/组织进行联系,确认企业/组织是否发起了此次的证书订单申请。

  • 13个月内再次购买同一品牌的证书且信息无更改,将免组织验证即人工审核。
  • 组织验证完成后,CA机构将还需要一段时间进行处理,请您耐心等待。
  1. 登录您在申请证书时填写的联系人邮箱。
  2. 打开来自CA机构的组织验证邮件。
  3. 回复CA机构的邮件以选择组织验证方式。
  4. 请您留意所选择的验证方式,配合CA机构进行处理。

步骤五:签发SSL证书

SSL证书审核时间取决于您和CA机构之间的配合。CA机构将通过您预留的邮箱和电话与您进行联系,请留意您在申请证书时预留的邮箱和电话。

一般情况下,对于OV型SSL证书在确认完成组织验证后,CA机构将人工审核信息,在信息正确的情况下审核周期一般为3~5个工作日。CA机构审核通过后,将会签发证书,证书签发后便立即生效,OV型SSL证书申请完成。

步骤六:使用OV型SSL证书

证书申请完成后,您可以根据业务需要一键部署证书到华为云其他云产品或下载证书并部署到服务器上进行使用。下载证书操作请参见下载证书。如下以部署证书为例进行说明:

当流量经过Web应用防火墙(WAF)并需要通过HTTPS协议进行加密时,需要将SSL证书部署到WAF上,尤其是在采用如“CDN → WAF → 源站”等多节点架构时。这可以防止攻击者在中间节点篡改数据,并对进入的流量进行解密、检测和放行,从而提升了整体的安全性和数据传输的安全性。

  • 前提条件
    • 已开通Web应用防火墙(Web Application Firewall,WAF),且已在WAF中配置了与SSL证书匹配的网站域名。
    • 已在云证书与管理服务中申请SSL证书且状态为“已签发”,或者已将在其他平台签发的SSL证书上传至云证书与管理服务中且状态为“托管中”
  • 约束条件
    • 如果没有购买WAF,或数字证书所绑定的域名没有在WAF中开通服务,请不要将数字证书部署到WAF中,如部署将可能导致部署失败。
    • 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,由于华为云上没有该证书的私钥,签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书及私钥并进行部署。
    • 国密证书暂不支持一键部署到华为云其他云产品。

    已上传的第三方证书和有效期为三个月的测试证书部署到华为云产品需要收费,每一张证书部署到华为云产品的一个域名计为一次部署,证书部署费用为30元/次,不支持使用代金券。具体收费详情请参见关于调整证书部署功能的通知

  • 操作步骤
    1. 登录云证书与管理服务控制台
    2. 在左侧导航栏选择SSL证书管理 > SSL证书列表,进入SSL证书列表页面。
    3. 在目标证书所在行的“操作”列,单击“部署证书”,系统从右面弹出证书部署详细页面,如图6所示。
      图6 部署证书

    4. 在证书部署详情页面中的“部署详情”栏中,选择WAF。
    5. 选择当前证书中需要部署的域名,并单击“操作”列的“部署”

      如需部署多个域名,则从域名列表中选择所有待部署的域名,并单击列表左上角的“批量更新”

      图7 部署

    6. 在弹出的确认框中,确认无误后单击“确认”
      图8 部署证书提示信息

      部署成功后,界面将提示部署成功,请前往部署记录查看。

当需要为通过负载均衡(ELB)分发的网站流量启用安全连接时,就需要在ELB上部署SSL证书。这适用于所有需要保护用户数据隐私和安全的网站,以防止“不安全”的浏览器警告,并保护客户信息,例如在线交易和敏感数据。

  • 前提条件
    • 已开通以下弹性负载均衡(Elastic Load Balance,ELB),且已在ELB中配置了与SSL证书匹配的网站域名。

      如果没有购买ELB,或数字证书所绑定的域名没有在ELB中开通服务,请不要将数字证书部署到ELB中,如果部署将可能导致部署失败。

    • 已在云证书与管理服务中申请SSL证书且状态为“已签发”,或者已将在其他平台签发的SSL证书上传至云证书与管理服务中且状态为“托管中”
  • 约束条件
    • 您需要在ELB中创建监听器并完成其HTTPS配置HTTPS配置,即您需要先在ELB服务中完成首次证书的配置,才能通过CCM服务更新SSL证书。
    • ELB中使用的证书如果指定了多个域名,更新证书前需要注意CCM证书的域名与其是否完全匹配。如果不完全匹配,则在CCM中执行更新证书操作后,会同时将ELB中使用的证书域名更新为当前CCM中证书的域名。
    • 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,由于华为云上没有该证书的私钥,签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书及私钥并进行部署。
    • 国密证书暂不支持一键部署到华为云其他云产品。
    • 已上传的第三方证书和有效期为三个月的测试证书部署到华为云产品需要收费,每一张证书部署到华为云产品的一个域名计为一次部署,证书部署费用为30元/次,不支持使用代金券。具体收费详情请参见关于调整证书部署功能的通知
    • 通过CCM更新ELB中的证书,可以更新部署在ELB监听器下的证书,即在CCM控制台更新对应ELB中证书的内容及私钥,更新成功后,ELB将自动对该证书部署的监听器实例完成证书内容及私钥的更新。
  • 操作步骤
    1. 登录云证书与管理服务控制台
    2. 在左侧导航栏选择SSL证书管理 > SSL证书列表,进入SSL证书列表页面。
    3. 在目标证书所在行的“操作”列,单击“部署证书”,系统从右面弹出证书部署详细页面,如图9所示。
      图9 部署证书

    4. 在证书部署详情页面中的“部署详情”栏中,选择ELB。
    5. 选择当前证书中需要部署的域名,并单击“操作”列的“部署”

      如需部署多个域名,则从域名列表中选择所有待部署的域名,并单击列表左上角的“批量更新”

      图10 部署

    6. 在弹出的确认框中,确认无误后单击“确认”
      图11 部署证书提示信息

      部署成功后,界面将提示部署成功,请前往部署记录查看。

当流量经过 CDN 等中间节点,并且需要对客户端与这些节点之间的连接进行加密时,需要将 SSL 证书部署到 CDN。这通常是为了保护用户和 CDN 之间的通信安全,防止数据在传输过程中被窃听或篡改,尤其是在网站访问量大或需要传输敏感信息时。

  • 前提条件
    • 已开通CDN(Content Delivery Network,内容分发网络),且已在CDN中配置了与SSL证书匹配的网站域名。

      如果没有购买CDN,或数字证书所绑定的域名没有在CDN中开通服务,请不要将数字证书部署到CDN中,如果部署将可能导致部署失败。

    • 已在云证书与管理服务中申请SSL证书且状态为“已签发”,或者已将在其他平台签发的SSL证书上传至云证书与管理服务中且状态为“托管中”
    • 证书为国际标准证书。
  • 约束条件

    申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,由于华为云上没有该证书的私钥,签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书及私钥并进行部署。

    已上传的第三方证书和有效期为三个月的测试证书部署到华为云产品需要收费,每一张证书部署到华为云产品的一个域名计为一次部署,证书部署费用为30元/次,不支持使用代金券。具体收费详情请参见关于调整证书部署功能的通知

  • 操作步骤
    1. 登录云证书与管理服务控制台
    2. 在左侧导航栏选择SSL证书管理 > SSL证书列表,进入SSL证书列表页面。
    3. 在目标证书所在行的“操作”列,单击“部署证书”,系统从右面弹出证书部署详细页面,如图12所示。
      图12 部署证书

    4. 在证书部署详情页面中的“部署详情”栏中,选择CDN。
    5. 选择当前证书中需要部署的域名,并单击“操作”列的“部署”

      如需部署多个域名,则从域名列表中选择所有待部署的域名,并单击列表左上角的“批量更新”

      图13 部署

    6. 在弹出的确认框中,确认无误后单击“确认”
      图14 部署证书提示信息

      部署成功后,界面将提示部署成功,请前往部署记录查看。

为了保障用户的播放数据和传输信息安全,例如用户播放记录、直播流中的数据传输等,需要在VOD中启用HTTPS加密。在HTTPS协议中,会对用户的关键信息进行加密,避免Session ID或Cookie内容被攻击者捕获,导致敏感信息泄露。

  • 前提条件
    • 已开通VOD(Video on Demand,视频点播),且已在VOD中配置了与SSL证书匹配的网站域名。
    • 如果没有购买VOD,或SSL证书所绑定的域名没有在VOD开通服务,请不要将数字证书部署到VOD中,如果部署将可能导致部署失败。
    • 已在云证书与管理服务中申请SSL证书且状态为“已签发”,或者已将在其他平台签发的SSL证书上传至云证书与管理服务中且状态为“托管中”
    • 证书为国际标准证书。
  • 约束条件
    • 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,那么签发的证书不支持一键部署到云产品。如需在对应云产品中使用证书,可以先将证书下载到本地,然后再到对应云产品中上传证书并进行部署。

    已上传的第三方证书和有效期为三个月的测试证书部署到华为云产品需要收费,每一张证书部署到华为云产品的一个域名计为一次部署,证书部署费用为30元/次,不支持使用代金券。具体收费详情请参见关于调整证书部署功能的通知

  • 操作步骤
    1. 登录云证书与管理服务控制台
    2. 在左侧导航栏选择SSL证书管理 > SSL证书列表,进入SSL证书列表页面。
    3. 在目标证书所在行的“操作”列,单击“部署证书”,系统从右面弹出证书部署详细页面,如图15所示。
      图15 部署证书

    4. 在证书部署详情页面中的“部署详情”栏中,选择VOD。
    5. 选择当前证书中需要部署的域名,并单击“操作”列的“部署”

      如需部署多个域名,则从域名列表中选择所有待部署的域名,并单击列表左上角的“批量更新”

      图16 部署

    6. 在弹出的确认框中,确认无误后单击“确认”
      图17 部署证书提示信息

      部署成功后,界面将提示部署成功,请前往部署记录查看。

相关文档