不管是个人做网站测试,还是企业刚起步需要给网站加安全防护,SSL 证书都是必不可少的 —— 它能让网站从 “http” 变成 “https”,浏览器地址栏会显示小绿锁,访客看着更放心,数据传输也更安全。阿里云提供了不同类型的 SSL 证书,其中免费的个人测试证书适合新手入门,下面就用通俗易懂的语言,一步步教你怎么申请、验证和下载,就算是第一次操作也能跟着做。
一、先搞清楚:免费 SSL 证书的基本情况
在开始操作前,得先知道这张免费证书的 “底细”,避免后续走弯路:
阿里云 SSL 证书页面:https://www.aliyun.com/product/cas
打开如下图:
- 品牌和类型:免费证书是阿里云和 Digicert 合作的 DV(域名型)证书,只针对单个域名生效,比如你填了 “aliyun.com”,默认会包含 “www.aliyun.com”,但不能同时保护多个不同域名,也不能用通配符(比如 “*.aliyun.com” 这种能覆盖所有子域名的格式)。
- 数量和有效期:一个实名认证过的阿里云账号(个人或企业都可以),每个自然年能免费领 20 张,每张有效期是 3 个月。要是觉得 3 个月太短,也能花点钱升级成 “个人测试证书(pro)”,有效期能延长到 1 年,不过这种就不是免费的了。
- 适用场景:免费证书适合个人做网站测试、开发调试,或者刚起步的小网站临时用。如果是电商网站、企业官网这种需要用户信任的正式站点,建议后续换成更专业的正式证书,安全性和兼容性会更好。
另外要注意,有些特殊后缀的域名不能申请免费证书,比如 “.edu”(教育机构)、“.gov”(政府机构)、“.jp”(日本域名)、“.bank”(金融相关)这些,要是你的域名带这些后缀,得直接考虑正式证书。
云服务器ECS:https://www.aliyun.com/product/ecs
二、第一步:登录控制台,购买免费证书
免费证书虽然不用花钱,但流程上还是要走 “购买” 步骤,只是最后支付金额会显示 0 元,具体操作如下:
- 打开阿里云 SSL 证书页面:在浏览器里输入阿里云 SSL 证书的官方地址(https://www.aliyun.com/product/cas),然后点击页面上的 “登录控制台”—— 这里要登录你已经实名认证过的阿里云账号,没实名认证的话得先补全信息,不然没法申请证书。
- 找到 “个人测试证书” 入口:登录后,在左侧菜单栏里找到 “SSL 证书管理”,点开后会看到 “正式证书” 和 “个人测试证书(原免费证书)” 两个选项,我们选 “个人测试证书”,然后点击 “立即购买”。
- 确认订单并支付:接下来会跳转到购买页面,页面上会显示 “产品类型” 是 “个人测试证书(免费版)”,“购买数量” 默认是 20 张(也可以根据自己需要调整,但最多 20 张),“应付费用” 是 0 元。这时候要勾选页面下方的 “我已阅读并同意证书服务协议、证书技术支持服务须知”,然后点击 “立即购买”,接着按提示完成 “支付”(其实就是确认一下,不用花钱)。
到这里,你就相当于 “领” 到了 20 张免费证书的申请资格,但还没真正创建出针对某个域名的证书,接下来要做的就是把这些资格和你的具体域名绑定。
三、第二步:创建证书,填写域名信息
“购买” 完资格后,需要回到控制台创建具体的证书,把要保护的域名填进去,步骤很简单:
- 回到证书管理页面:支付完成后,系统会自动跳回 “数字证书管理服务控制台”,如果没跳回去,就重新从 “SSL 证书管理” 里找到 “个人测试证书” 页签。
- 点击 “创建证书”:在 “个人测试证书” 页面,能看到你刚买到的 20 张证书额度,这时候点击 “创建证书” 按钮,开始填写具体信息。
- 填写证书申请表单:这一步是关键,要仔细填,不然可能影响后续审核:
- 域名名称:输入你要保护的域名,比如 “aliyun.com”,系统会自动帮你包含 “www.aliyun.com”,所以不用重复填。要注意域名不能带 “http” 或 “https”,直接填纯域名就行。
- 数量:默认是 1 张,因为我们一次只给一个域名申请证书,不用改。
- 域名验证方式:有三种选择 ——“手动 DNS 验证”“域名授权自动化”“文件验证”。如果你的域名是在阿里云买的,并且解析也在阿里云,选 “域名授权自动化” 会更方便,系统会自动帮你完成验证;如果域名是在其他平台(比如腾讯云、华为云)买的,或者解析不在阿里云,就选 “手动 DNS 验证”,后面自己去域名解析平台加条记录就行;“文件验证” 需要在自己的服务器上上传文件,新手操作起来可能麻烦,不推荐。
- 联系人:默认会显示你阿里云账号的实名认证信息(姓名、手机号、邮箱),如果想改,也可以点击 “编辑” 修改,但要保证信息真实,因为 CA 机构(签发证书的权威机构)可能会通过这些信息联系你。
- 密钥算法:默认选 “RSA” 就行,这是目前最通用的算法,兼容性最好,不管是电脑浏览器还是手机都能支持。
- CSR 生成方式:选 “系统生成”,不用自己手动弄。CSR 是证书申请时需要提交给 CA 机构的请求文件,系统生成会更简单,而且后续下载证书时会自动包含私钥,不用自己保管私钥(私钥丢了证书就没法用了,系统生成能避免这个风险)。
填完所有信息后,勾选 “我已阅读并同意相关协议”,然后点击 “提交审核”。这时候系统会提示你 “需要完成域名验证才能继续”,因为 CA 机构要确认这个域名是你的,不是随便填的别人的域名。
四、第三步:域名验证,证明 “域名是我的”
域名验证是申请 SSL 证书的核心步骤,只有通过验证,CA 机构才会给你签发证书。这里以最常用的 “手动 DNS 验证” 为例,教你怎么操作(如果选了 “自动化验证”,这一步系统会自己做,不用你管):
- 获取验证记录信息:提交审核后,页面会跳转到 “验证” 页面,上面会显示你需要添加的 DNS 解析记录,主要包含这些内容:
| 配置项目 | 配置项值 | 说明 |
| 记录类型 | TXT | 固定选 TXT,不能改 |
| 主机记录 | _dnsauth | 直接复制页面上的内容,别自己改 |
| 记录值 | 一串随机字符(比如 202508220000004zlg2z713x74h079qwhu1bdbwzmklm6oq039kq1slw4ydacm6z) | 同样复制页面上的内容,一个字符都不能错 |
| TTL | 10 分钟 | 默认就行,不用改 |
- 这时候不要关掉这个页面,因为后面还要回来点 “验证”,最好把页面最小化,或者开个新窗口操作。
- 登录域名解析控制台:打开一个新的浏览器窗口,登录你域名所在的解析平台(如果域名在阿里云,就登录 “阿里云 DNS 控制台”;如果在其他平台,比如腾讯云,就登录对应的 “域名解析” 页面)。
- 添加 TXT 解析记录:在解析平台找到你要验证的域名,点击 “添加记录”,然后按照刚才获取的信息填写:
- 记录类型:选 “TXT”;
- 主机记录:粘贴刚才复制的 “_dnsauth”;
- 记录值:粘贴刚才复制的那串随机字符;
- TTL:选 10 分钟(或默认值,只要不超过 30 分钟就行)。
- 填完后点击 “确定”,保存这条记录。这里要注意,DNS 解析记录生效需要一点时间,一般几分钟到 10 分钟不等,不用急着马上回去验证。
- 回到验证页面,确认验证:等 10 分钟左右,回到刚才没关掉的阿里云验证页面,点击 “验证” 按钮。系统会检查你域名的解析记录是否正确,如果正确,会提示 “域名验证成功,域名验证记录在证书签发后再删除,否则会因没有解析记录导致证书签发失败”—— 这时候千万不要删掉刚加的 TXT 记录,等证书下来再删也不迟。
如果验证失败,先检查一下主机记录和记录值有没有复制错,有没有多空格或少字符,要是都没错,就再等几分钟重新验证,可能是解析记录还没生效。
五、第四步:等待审核,下载证书
验证通过后,就不用你做什么了,接下来是 CA 机构的审核环节:
- 等待审核:免费的 DV 证书审核很快,一般 10 分钟左右就能完成,慢的话也不会超过 1 小时。审核通过后,阿里云会给你的联系人手机号发短信通知,告诉你 “证书已签发”。
- 下载证书:收到短信后,登录阿里云 “数字证书管理服务控制台”,在 “个人测试证书” 页签里找到已经显示 “已签发” 的证书,然后点击操作列的 “下载” 按钮。
- 选择对应服务器的证书格式:不同的服务器(比如 Nginx、Apache、Tomcat)需要用不同格式的证书,阿里云已经帮你分好了,直接根据自己的服务器类型选就行,具体对应关系如下:
| 服务器类型 | 证书格式 | 说明 |
| Nginx | pem/key | 下载后会得到两个文件,一个是证书文件(.pem),一个是私钥文件(.key) |
| Tomcat | pfx | 只有一个文件,需要记住证书密码(下载时页面会显示) |
| Apache | crt/key | 和 Nginx 类似,两个文件,分别是证书和私钥 |
| IIS | pfx | 和 Tomcat 一样,单个 pfx 文件,需保存密码 |
| JKS | jks | 适合 Java 项目,下载后有 jks 文件和密码 |
| 其他 | pem/key | 不确定服务器类型时,选这个通用格式 |
| 根证书 | crt/cer | 一般不用单独下载,除非有特殊需求 |
- 选好格式后,点击 “下载”,证书会以压缩包的形式保存到你的电脑里。解压后,把里面的文件上传到你的服务器对应的目录,再配置一下服务器的相关设置,网站就能显示 “https” 了(具体服务器配置步骤可以搜对应服务器的教程,比如 “Nginx 配置 SSL 证书”)。
六、常见问题:新手容易踩的坑和解决办法
- 申请完找不到证书?:可能是你只 “购买” 了证书资格,没创建具体的证书。回到 “个人测试证书” 页签,点击 “创建证书”,绑定域名后就能看到了。
- 域名验证老是失败?:先检查主机记录和记录值有没有复制错,有没有多写或少写字符;再确认解析记录是不是添加到了正确的域名下(比如要验证 “2bcd.com”,就别加到 “aliyun.com” 下面);最后等 10-15 分钟再验证,解析记录生效需要时间。
- 下载的证书没有私钥?:那是因为你创建证书时选了 “手动填写 CSR”,私钥在你自己生成 CSR 的地方。如果是新手,建议重新创建证书,选 “系统生成 CSR”,这样下载时会自动包含私钥。
- 中文域名能申请吗?:可以,但需要先把中文域名转换成 “Punycode 码”(比如 “阿里云。公司” 要转换成 “xn--fhq546a.xn--55qx5d”),控制台会有提示,跟着操作就行。
- 证书到期了怎么办?:免费证书到期后不能续费,只能重新申请。建议在到期前 1-2 周重新走一遍申请流程,拿到新证书后替换掉旧的,避免网站显示 “不安全”。
七、总结:从申请到使用的完整逻辑
其实阿里云免费 SSL 证书的申请流程,核心就是 “证明域名是你的”——CA 机构不会随便给一个域名发证书,所以需要通过 DNS 验证或文件验证来确认所有权。整个流程下来,大概半小时就能完成,关键是每一步都仔细看提示,别填错信息、复制错记录值。
如果只是做测试或临时用,免费证书完全够用;但如果是正式的业务网站,尤其是涉及用户登录、支付这些敏感操作的,建议后续升级到正式证书(比如 DV 证书、OV 证书),不仅有效期更长(能到 1 年),还能支持多域名、通配符,安全性和用户信任度也更高。不过不管用哪种证书,记得定期检查到期时间,及时更新,才能一直保持网站的安全加密状态。
