不管是个人搭建网站测试,还是企业刚起步给网站做安全防护,SSL证书都是必不可少的工具——它能让网站从“http”升级为“https”,浏览器地址栏会显示小绿锁,既让访客更放心,也能保障数据传输安全。阿里云提供多种SSL证书,其中免费的个人测试证书适合新手入门,下面用通俗易懂的语言,一步步讲解申请、验证和下载流程,新手也能轻松操作。
一、免费SSL证书基本信息
在开始操作前,先了解免费证书的关键信息,避免后续走弯路:
- 品牌与类型:免费证书是阿里云与Digicert合作的DV(域名型)证书,仅对单个域名生效。比如填写“aliyun.com”,会自动包含“www.aliyun.com”,但无法同时保护多个不同域名,也不支持通配符格式(如“*.aliyun.com”)。
- 数量与有效期:完成实名认证的阿里云账号(个人或企业均可),每个自然年可免费领取20张,每张有效期3个月。若需更长有效期(如1年),可升级为“个人测试证书(pro)”,但需付费。
- 适用场景:适合个人网站测试、开发调试,或刚起步的小网站临时使用。电商网站、企业官网等需用户信任的正式站点,建议后续更换专业正式证书,安全性和兼容性更优。
- 域名限制:部分特殊后缀域名(如“.edu”“gov”“jp”“bank”等)无法申请免费证书,这类域名需直接选择正式证书。
二、第一步:登录控制台,“购买”免费证书
免费证书虽无需付费,但需走“购买”流程获取申请资格,具体步骤如下:
- 进入SSL证书页面:打开阿里云SSL证书官方地址(https://www.aliyun.com/product/cas),点击“登录控制台”,登录已实名认证的阿里云账号(未实名认证需先补全信息,否则无法申请)。
- 找到个人测试证书入口:登录后,在左侧菜单栏点击“SSL证书管理”,页面会显示“正式证书”和“个人测试证书(原免费证书)”两个选项,选择“个人测试证书”,点击“立即购买”。
- 确认订单并“支付”:跳转至购买页面后,“产品类型”默认显示“个人测试证书(免费版)”,“购买数量”默认20张(可按需调整,最多20张),“应付费用”为0元。勾选“我已阅读并同意证书服务协议、证书技术支持服务须知”,点击“立即购买”,按提示完成“支付”(仅需确认,无需实际付款)。
完成这一步,就获得了20张免费证书的申请资格,接下来需将资格与具体域名绑定。
三、第二步:创建证书,填写域名信息
“购买”资格后,需回到控制台创建具体证书,绑定要保护的域名:
- 返回证书管理页面:支付完成后,系统会自动跳转至“数字证书管理服务控制台”;若未跳转,可重新从“SSL证书管理”进入“个人测试证书”页签。
- 点击“创建证书”:在“个人测试证书”页面,找到已获取的证书额度,点击“创建证书”,进入信息填写页面。
- 填写证书申请表单(关键步骤,需仔细核对):
- 域名名称:输入需保护的纯域名(如“aliyun.com”),无需带“http”或“https”,系统会自动包含“www”前缀域名。
- 数量:默认1张(一次仅绑定一个域名,无需修改)。
- 域名验证方式:
- 域名在阿里云且解析也在阿里云:选“域名授权自动化”,系统自动完成验证,操作更简便。
- 域名或解析在其他平台(如腾讯云、华为云):选“手动DNS验证”,后续需手动添加解析记录。
- 新手不推荐“文件验证”(需在服务器上传文件,操作较复杂)。
- 联系人:默认显示阿里云账号实名认证信息(姓名、手机号、邮箱),可编辑修改,但需保证真实(CA机构可能联系确认)。
- 密钥算法:默认选“RSA”,兼容性最好,适配电脑、手机等各类设备。
- CSR生成方式:选“系统生成”,无需手动处理CSR文件(避免私钥丢失风险,后续下载证书会自动包含私钥)。
填写完成后,勾选“我已阅读并同意相关协议”,点击“提交审核”,系统会提示需完成域名验证(确认域名归属)。
四、第三步:域名验证,确认域名归属
域名验证是核心步骤,仅通过验证,CA机构才会签发证书。以常用的“手动DNS验证”为例,操作如下:
获取验证记录信息:提交审核后,页面跳转至“验证”页面,显示需添加的DNS解析记录,关键信息如下:
| 配置项目 | 配置值 | 说明 |
|----------|--------|------|
| 记录类型 | TXT | 固定选择,不可修改 |
| 主机记录 | _dnsauth | 直接复制页面内容,不可自定义 |
| 记录值 | 一串随机字符(如2zlg2z713x74h079qwhu1bdbw) | 完整复制,不可增减字符 |
| TTL | 10分钟 | 默认即可,无需修改 |不要关闭此页面,建议最小化或开新窗口操作。
- 登录域名解析平台:打开新浏览器窗口,登录域名所在的解析平台(阿里云域名登录“阿里云DNS控制台”,其他平台登录对应“域名解析”页面)。
添加TXT解析记录:找到需验证的域名,点击“添加记录”,按以下信息填写:
- 记录类型:选“TXT”。
- 主机记录:粘贴“_dnsauth”。
- 记录值:粘贴获取的随机字符。
- TTL:选10分钟(或默认值,不超过30分钟即可)。
保存记录后,需等待5-10分钟(DNS解析生效需要时间)。
- 完成验证:回到阿里云验证页面,点击“验证”按钮。系统检查解析记录正确后,会提示“域名验证成功,请勿删除解析记录(否则影响证书签发)”。若验证失败,先检查主机记录、记录值是否复制正确,确认无误后等待几分钟重新验证。
五、第四步:等待审核,下载证书
- 等待审核:免费DV证书审核速度快,通常10分钟内完成,慢则不超过1小时。审核通过后,阿里云会向联系人手机号发送“证书已签发”的短信通知。
- 下载证书:登录“数字证书管理服务控制台”,在“个人测试证书”页签找到“已签发”的证书,点击操作列“下载”。
- 选择服务器对应格式:不同服务器需匹配不同证书格式,阿里云已分类整理,选择对应格式即可:
| 服务器类型 | 证书格式 | 说明 |
|------------|----------|------|
| Nginx | pem/key | 含2个文件:证书文件(.pem)、私钥文件(.key) |
| Tomcat/IIS | pfx | 单个文件,需记住下载页面显示的证书密码 |
| Apache | crt/key | 含2个文件:证书文件(.crt)、私钥文件(.key) |
| JKS | jks | 适合Java项目,含jks文件和密码 |
| 不确定类型 | pem/key | 通用格式,适配多数场景 |
选择格式后点击“下载”,证书以压缩包形式保存到电脑。解压后将文件上传到服务器对应目录,配置服务器(如Nginx、Tomcat)即可启用HTTPS(具体配置可参考“XX服务器配置SSL证书”教程)。
六、常见问题与解决办法
- 申请后找不到证书:仅“购买”资格未创建证书,回到“个人测试证书”页签,点击“创建证书”绑定域名即可。
- 域名验证失败:检查主机记录、记录值是否复制正确,确认解析添加到对应域名,等待10-15分钟(解析生效)后重新验证。
- 下载证书无私钥:创建证书时选了“手动填写CSR”,需重新创建证书并选“系统生成CSR”。
- 中文域名申请:需先将中文域名转换为Punycode码(控制台会提示转换方法),再按流程申请。
- 证书到期处理:免费证书到期后无法续费,需提前1-2周重新申请,替换旧证书。
总结
阿里云免费SSL证书申请核心是“确认域名归属”,整个流程约半小时,关键在于仔细核对信息、正确添加解析记录。若仅用于测试或临时场景,免费证书足够;正式业务网站(尤其是涉及登录、支付),建议升级为有效期更长、功能更全的正式证书(如DV、OV证书)。定期检查证书到期时间,及时更新,才能持续保障网站数据传输安全。
