如何购买SSL证书

如何购买SSL证书

网站必须安装 SSL 证书才能启用 HTTPS 加密，但购买本身只是第一步。真实工程实践中，90% 的部署失败源于证书类型选错、域名验证遗漏或证书链未完整部署。购买前需明确：是否需保护 www 与非 www 域名、是否含子域名、是否需企业身份展示、是否兼容国密算法。这些直接决定应选单域名证书、多域名证书还是通配符SSL证书。

SSL证书购买核心流程

SSL证书购买不是简单下单，而是包含技术确认、合规验证与部署准备的闭环过程。从申请到生效，典型周期为 5 分钟（DV）至 3 个工作日（OV/EV）。所有正规 CA（如 Sectigo、Digicert、锐安信）均要求通过域控制验证（DCV）确认申请人对域名的实际管理权，浏览器信任完全依赖该验证强度。

1. 明确业务需求与证书类型

不加区分地购买最贵证书是常见误区。中小企业官网若仅需基础加密与绿锁显示，DV SSL证书已足够；若需在地址栏显示企业名称并增强用户信任（如金融、电商类网站），则必须选择 OV SSL证书 或 EV SSL证书；若需统一保护 api.example.com、shop.example.com 等多个子域，通配符SSL证书 是唯一经济方案。注意：自 2021 年起，CA/B Forum 明确禁止通配符证书使用文件验证方式，仅支持 DNS 或邮箱验证。

2. 选择合规且受信的CA机构

浏览器信任 ≠ 所有CA都可用。国内主流浏览器（Chrome、Edge、Firefox）默认信任根证书已收缩至约 12 家权威CA，包括 Digicert、Sectigo、GlobalSign、锐安信（sslTrus）、华测（CTI）等。2026 年起，部分国际 CA（如 Entrust）签发的新证书已被 Chrome 逐步停止信任。建议优先选用同时具备 WebTrust 和国密 SM2 双认证的CA，兼顾全球兼容与国产化适配。

3. 提交申请与完成域名验证

购买后立即进入域名验证环节，这是证书签发前的强制步骤。DV 类型支持三种方式：管理员邮箱验证（仅限 hostmaster@、admin@ 等预设邮箱）、DNS TXT 记录添加（推荐，响应快且可自动化）、HTTP 文件上传（仅限根域，不适用于通配符）。OV/EV 还需提交营业执照、组织代码证等材料供人工审核。特别提醒：若使用 CDN 或 WAF，DNS 解析需指向源站 IP 才能成功验证，否则将卡在“验证中”状态。

4. 下载、安装与链完整性检查

证书签发后，务必下载完整的证书包（含站点证书、中间证书、根证书），而非仅 .crt 文件。Nginx/Apache 需合并中间证书与站点证书；IIS 需导入 PFX（含私钥）；Tomcat 需 JKS 格式。部署后用 SSL证书检查工具 验证证书链是否完整——链断裂会导致 Safari、iOS 设备显示“此连接不安全”，而 Chrome 可能静默降级。

工程实践与常见陷阱

曾有客户在阿里云 ECS 上部署 Sectigo DV 证书后，Chrome 显示绿锁但微信内置浏览器报 ERR_SSL_VERSION_OR_CIPHER_MISMATCH。排查发现其 Nginx 未关闭 TLS 1.0 且未启用 OCSP Stapling，导致移动端握手失败。真实生产环境必须在 Chrome、Safari、微信、支付宝四端交叉验证。另需注意：同一域名不可混用不同 CA 的证书，否则易触发证书吊销误判；通配符证书无法保护顶级域（如 *.example.com 不覆盖 example.com），需额外申请主域证书或选用 SAN 证书。

常见问题

Q：购买 SSL 证书需要提供营业执照吗？ A：DV 证书仅需域名控制权验证；OV/EV 证书必须提交企业资质，EV 还需电话核实。

Q：一张 SSL 证书能保护多个不同域名吗？ A：可以，需选择多域名证书（SAN SSL证书），最多支持 100+ 域名，但所有域名共用同一有效期与私钥。

Q：免费 SSL 证书能用于企业官网吗？ A：技术上可行，但缺乏企业身份背书、不支持客户端证书、无专业技术支持，且 90 天有效期大幅增加运维风险，不建议长期用于生产环境。

相关知识链接

• SSL证书购买和配置的步骤（参考）
• SSL证书验证方法
• SSL证书部署步骤
• SSL证书有效期