步骤二:申请证书
成功购买证书后,您需要申请证书,即为证书绑定域名、填写证书申请人的详细信息并提交审核。所有信息通过审核后,证书颁发机构才签发证书。
本章节将介绍申请的详细操作。
前提条件
- 已获取管理控制台的登录帐号与密码。
- 证书的状态为“待申请”。
约束限制
- 选择“域名验证方式”时,纯IP(公网IP)的证书仅支持通过“文件验证”方式进行验证。DV域名型和DV基础版证书(GeoTrust入门级SSL证书和DigiCert免费SSL证书)仅支持通过“DNS验证”方式进行验证。
- 绑定域名时,仅支持绑定英文域名,不支持绑定中文域名。
- 多域名证书,如果需要绑定www型三级域名(如www.a.com)时,只需要绑定域名www.a.com,不需要绑定a.com,因为绑定www.a.com的证书可同时防护www.a.com和a.com两个域名。
操作步骤
- 登录管理控制台。
- 进入申请证书页面,如图1所示。
- 在弹出申请证书详细页面中,请填写您的详细信息。您需要填写“域名信息”、“企业组织信息”(仅企业或组织单位需要补充该信息)和“公司联系人/授权人信息”。
- 填写域名信息,如图2所示。参数说明如表1所示。
- SSL证书目前仅支持绑定英文域名,不支持中文域名。
- 由于各个证书品牌针对www型域名有不同的惠赠活动,具体的详见证书品牌,导致多域名证书在绑定www型域名时,有如下限制(以下以域名www.a.com和根域名a.com为例进行说明)
- DigiCert和GeoTrust品牌,为www.a.com或者a.com购买的证书,该证书同时支持防护另一个域名,即如果您购买的是这两个品牌的多域名证书,且同时需要防护www.a.com和a.com,只需要且只能绑定其中一个域名即可。
- GlobalSign品牌,为www.a.com购买的证书,该证书同时支持防护a.com这个域名,但是为a.com购买的证书,不支持防护www.a.com域名。即如果您购买的是这个品牌的多域名证书,且同时需要防护www.a.com和a.com,只需要绑定www.a.com域名即可。
表1 域名信息参数说明 参数名称
参数说明
取值样例
证书请求文件
证书请求文件(Certificate Signing Request,CSR)即证书签名申请,获取SSL证书,需要先生成CSR文件并提交给CA中心。CSR包含了公钥和标识名称(Distinguished Name),通常从Web服务器生成CSR,同时创建加解密的公钥私钥对。
选择证书请求文件生成方式:- 系统生成CSR:系统将自动帮您生成证书私钥,并且您可以在证书申请成功后直接在证书管理页面下载您的证书和私钥。
- 自己生成CSR:手动生成CSR文件并将文件内容复制到CSR文件内容对话框中。详细操作请参见如何制作CSR文件?。
建议您选择“系统生成CSR”,避免出现内容不正确而导致的审核失败。两种证书请求文件的区别请参见系统生成的CSR和自己生成CSR的区别?。
系统生成CSR
绑定域名
当购买的是“单域名”、“泛域名”类型的SSL证书时,显示该参数。
- 当“证书请求文件”选择“自己生成CSR”时,域名将根据CSR文件自动解析出来,不需要手动输入域名。
- 当“证书请求文件”选择“系统生成CSR”时,需要手动输入证书需要绑定的域名或泛域名。
“单域名”填写示例:您的域名为www.domain.com,则在“绑定域名”中填写www.domain.com
“泛域名”填写示例:您的域名为test.huaweicloud.com、yun.huaweicloud.com、example.huaweicloud.com、good.huaweicloud.com等,均在同一个级别,则在“绑定域名”中填写*.huaweicloud.com
www.domain.com
绑定主域名
当购买的是“多域名”类型的SSL证书时,显示该参数。
- 当“证书请求文件”选择“自己生成CSR”时,主域名将根据CSR文件自动解析出来,不需要手动输入域名。
- 当“证书请求文件”选择“系统生成CSR”时,手动输入证书绑定的主域名。需要将其中一个域名设置为主域名,其他域名则设置为附加域名。
须知:主域名和附加域名的关系(主从关系)对添加的域名没有影响。
示例:如果购买的域名数量为3,且您的域名为www.domain01.com、www.domain02.com和www.domain03.com,需要选择一个域名作为主域名,此处示例选择www.domain01.com,则在“绑定主域名”中填写www.domain01.com
www.domain01.com
绑定附加域名
当购买的是“多域名”类型的SSL证书时,显示该参数。
输入证书绑定的附加域名。
说明:- 多个附加域名请换行输入。
- 附加域名可分批次进行录入,具体操作请参见新增附加域名。
示例:如果购买的域名数量为3,且您的域名为www.domain01.com、www.domain02.com和www.domain03.com,主域名已绑定www.domain01.com,则“绑定附加域名”填写www.domain02.com和www.domain03.com
www.domain02.com
www.domain03.com
域名验证方式
按照CA中心的规范,如果您申请了数字证书,您必须配合完成域名授权验证来证明您对所申请绑定的域名的所有权。当您按照要求正确配置域名验证信息,待域名授权验证完成,CA系统中心审核通过后,证书审核才可以进入下一个状态。
选择域名验证方式:
DNS验证
- 填写企业组织信息,如图3所示。参数说明如表2所示。
OV、OV Pro、EV、EV Pro类型的证书均需要补充该信息。
表2 企业组织信息参数说明 参数名称
参数说明
公司名称
营业执照注册公司的全称。
部门名称
用户所在的部门名称。
国家/地区
公司所在的国家和地区。
银行开户许可(可选)
请根据实际情况进行选择:
- 当选择“有银行开户许可”时,则必须上传银行开户许可证电子件。
单击
,上传银行开户许可证电子件。说明:上传的文件大小限制为2MB以下,格式须为png或jpg,且仅支持上传一个文件。
- 当选择“无银行开户许可”时,则不用上传银行开户许可证电子件。
不上传银行开户许可会延长证书的签发周期,具体延长时间取决于CA机构验证时间。
企业营业执照(可选)
请根据实际情况进行选择:
- 当选择“有经营许可”时,则必须上传企业营业执照电子件。
单击
,上传企业营业执照电子件。中国大陆:上传企业营业执照。
其他地区:上传当地的商业登记证。
说明:上传的文件大小限制为2MB以下,格式须为png或jpg,且仅支持上传一个文件。
- 当选择“无经营许可”时,则不用上传企业营业执照电子件。
不上传企业经营许可会延长证书的签发周期,具体延长时间取决于CA机构验证时间。
- 当选择“有银行开户许可”时,则必须上传银行开户许可证电子件。
- 填写公司联系人/授权人信息,如图4所示。参数说明如表3所示。
表3 联系方式参数说明 参数名称
参数说明
姓名
请输入您的姓名。
电话
请填写正确,签证中心人员会拨打该电话号码确认证书认证相关的信息。
示例:13812345678
02812345678
邮箱
请输入可以正常收到邮件的邮箱地址。
须知:该邮箱会收到华为云发送的通知邮件(证书签发通知),CA中心发来的认证邮件将发送到域名管理员的邮箱,请您提交审核后务必第一时间登录域名管理员的邮箱进行查收和认证。
- 系统会在证书到期前两个月、一个月、一周和到期时,向此处填写的公司联系人/授权人的邮箱和电话分别发送邮件和短信提醒。
- 如果您需要技术联系人信息,请勾选“技术联系人信息(选填)”。勾选后,即可填写技术联系人信息。
- 公司联系人/授权人信息,涉及用户个人信息的内容,证书签发后不会包含在证书中。
- 填写域名信息,如图2所示。参数说明如表1所示。
- 确认填写的信息无误后,阅读《SSL证书管理(SCM)免责声明》、《隐私政策声明》和信息授权声明,并勾选声明内容前面的框。
当证书不在审核中,可取消隐私信息授权。取消隐私信息授权后,华为云将不再保存并删除您的相关信息(包括联系人姓名、电话、邮箱、企业信息)。具体操作请参见取消隐私信息授权。
- 单击“提交申请”。
证书填写信息完成,页面返回到证书列表,状态更新为“待完成域名验证”。
系统将把您的申请提交到CA认证机构,请您保持电话畅通,并及时查阅邮箱中来自CA认证机构的电子邮件。 - 单击“保存”,系统将自动保存填写的信息。
- 由于服务处理需求,CA机构将在2-3个工作日内对您提交的申请进行处理并给您发送域名验证邮件。在此期间,请您耐心等待。
