跳至正文

Certum品牌通配符证书签发文档

本文向您介绍FakerSSL销售的Certum品牌域名验证型通配符域名SSL证书的签发流程

准备工作

  1. 证书TokenCode,TokenCode可以从我们的证书商店购买
  2. 您的电子邮箱地址,用于后续通知提醒和客户服务时的身份验证(比如重新签发、找回证书等场景),我们诚恳建议您使用可以联系到您的邮箱,以免错过重要通知
  3. 准备好CSR文本,CSR是证书签发请求,包含了您要签发证书的域名信息,您在生成CSR的同时也会生成证书所使用的私钥文件(KEY文件),您需要妥善保管好私钥文件。

准备CSR

方法1: 使用在线服务生成CSR(推荐,易上手)

  1. 请您访问 https://myssl.com/csr_create.html
  2. 在域名一栏,输入您要签发的域名,例如,如果您是要为 abc.com 申请通配符证书,请在域名一栏输入 *.abc.com,请不要输入其他任何特殊字符(比如空格、下划线)

3. 对于省份和城市选项,填写所在城市省份拼音即可。

4. 密钥算法默认RSA,可保持不变,如果您需要ECC证书,可修改此项为ECC

5. 其他高级选项一般无需调整。如您有自定义选项,请务必确保签名哈希算法为SHA256

6. 点击生成按钮,您就可以在下方看到生成的CSR文件和私钥文件,请您务必妥善保管好私钥,否则证书将无法使用!

方法2: 在Linux服务器上使用OpenSSL指令生成CSR

您可以使用OpenSSL命令生成证书的CSR和私钥文件,在这里,我们以 qq.com 作为示例域名,请您根据实际情况替换命令中的加粗的域名部分

  1. 生成私钥,根据您选择的类型(RSA或者ECC公钥),请选用对应的命令,请注意替换其中的“域名”部分为您实际的域名:
    • RSA:openssl genrsa -out ./qq.com.key 2048
    • ECC:openssl ecparam -name prime256v1 -genkey -out ./qq.com.key
    • 经过操作以后,您的私钥文件保存在 “qq.com.key” 文件中
  2. 从私钥生成CSR
    • openssl req -new -key ./qq.com.key -out ./qq.com.csr -subj “/CN=*.qq.com
    • 生成的CSR内容保存于 qq.com.csr,您可以使用cat ./qq.com.csr 来获取其内容

检查CAA记录

现在所有CA都需要对域名型证书进行CAA检查,不论DNS验证,还是文件验证,都必须要通过CAA检查,以确保证书仅在域名所有人允许的情况下才能签发,避免安全问题。自2017年9月起,所有证书颁发机构都必须实施CAA检查。

  1. 正常情况下如果您没有使用Cloudflare,且没有手动配置过CAA记录(可通过 dig <您的根域名> CAA 来查看是否存在CAA记录),则应该无需额外操作
    • 您也可以使用在线工具(如 DNS查询 (myssl.com) ,输入您的根域名后选择CAA类型)进行检测,如果显示“暂未查询到值”,说明正常,否则您需要确保Certum出现在您的CAA列表中
    • 如果您的域名解析托管在Cloudflare,请注意,根据Cloudflare的官方文档,您的域名在满足以下情况之一时会被自动添加CAA记录,进而影响Certum系列证书签发,这些自动添加的CAA记录不会显示在您的解析面板,在这种情况下您必须手动将Certum的CAA添加至您的域名:
      • 启用 Universal SSL或 高级证书功能,并自行添加了任意CAA记录
      • 启用 Universal SSL并且启用了 AMP Real URL 或者 SXG Signed Exchanges
  2. 如果您发现第一步的命令返回了CAA记录(一般常见在部分使用了Cloudflare的用户,或者手动配置过域名CAA),您需要在您的域名托管服务商处再添加Certum CA的以下两条CAA记录:
    • 0 issue “certum.pl”
    • 0 issuewild “certum.pl”
  3. 以Cloudflare为例,请按以下图例添加,您需要添加两次,一条配置允许签发单域名,另一条配置允许签发通配符

签发操作流程

  1. 我们首先打开 签发系统,如下图所示

2. 在电子邮箱一栏输入您的电子邮箱地址,TokenCode一栏输入您购买的证书TokenCode, 如下图示例,然后点击”验证TokenCode”

3. 输入您准备好的CSR文本,CSR一般以“—– BEGIN CERTIFICATE REQUEST —–” 开头,输入完成以后,点击下一步

4. 确认您提交的信息,包括证书对应的域名信息,确认无误以后,点击下一步,在这里我们会检查您输入的信息,包括您的根域名是否存在CNAME记录等可能导致验证失败的问题。在一切正常的情况下,您会进入到域名控制权验证阶段。

5. 域名控制权验证,我们默认采用DNS CNAME进行域名所有权验证,您会看到如下提示页面,其中红框为CA提供的验证值,您需要在您的DNS托管服务商处,按照说明添加该记录:

  • 我们也支持使用域名所有人邮箱验证方式,如果您需要使用此方式验证,请务必确保 admin@您签发证书的域名 (例如 [email protected]) 可以正常接收邮件,然后联系客户服务切换验证方式。
  • 以Cloudflare为例,请按下图所示添加:
  • 以DNSPOD/腾讯云为例,在DNSPOD控制台(https://console.dnspod.cn),请按照下图示例对应页面显示的值添加即可

在您设置完记录并保存以后,请等待大约 1 分钟左右,然后再点击“开始验证”。如果您看到提示验证失败,请稍等片刻后重试。

6. 在您验证成功以后,我们会为您下载证书,如下图所示,您可以点击“保存为文件”按钮直接下载该文件,配合您生成CSR时获得的私钥文件,这样一来您得到了完整的证书,可以在服务器上配置使用了。

  • 我们的证书下载默认包含了Certum CA的中间根证书,因此看起来会有多段的证书文本,实际上是正常的,请您无需担心。服务器发送完整证书链有助于避免客户端证书验证失败的情况,提高您业务的感知和稳定性。

常见问题Q&A

  1. 通配符证书对域名有要求吗,为什么提示域名不支持
    • 一般的免费的二级域名不支持(例如 eu.org, pp.ua, app.dev 等)
    • 我们不支持签发的域名中包含以下关键字:pay/bank/cash/money/vpn,以及一些涉毒涉黑灰交易的高风险关键字
  2. 为什么在提交订单时提示腾讯云CDN CNAME错误?
    • 根域名CNAME至CDN或其他服务的域名会导致在实际验证过程中Certum CA的验证结果出现异常,这种情况下后端会报错CAA验证错误导致证书卡在验证阶段无法签发,因此我们在您提交订单之前进行了预检测
    • 您可以按照我们先前发布的说明《关于根域名使用腾讯云CDN可能导致的证书签发失败提醒》来进行排查
    • 如果您确认您根域名没有设置CNAME记录,可以勾选页面上的确认框,以提交您的订单
  3. 我因为一些原因需要重新签发证书,应该如何操作?
    • 重签发有一些额外需要注意的问题,请您参考我们关于重签发的帮助文档
    • 如果上述事项正确无误,您可以按照本文说明的流程使用同一个TokenCode和邮箱地址重新签发即可
  4. 证书支持的密钥和哈希类型是哪些?
    • 我们目前支持RSA(2048/3072/4096) 和ECC(p256/p384) 作为您的证书公钥和私钥
    • 签名算法哈希类型仅支持SHA256
  5. 为什么一直提示我域名控制权验证失败?
    • 请先按照本文说明配置好DNS记录,并按照页面说明自检记录是否正常返回
    • 按照本文说明检查您的CAA记录是否正常配置
    • 如果您确认上述配置无误,但是超过20分钟仍未验证成功,请联系客户服务处理
  6. 证书下载的时候是空的
    • 偶发情况下后端证书下载会由于上游CA侧原因失败,您只需重试即可
    • 如果您在刷新页面以后再次验证您的TokenCode和邮箱却进入域名验证阶段,请按照说明完成域名控制权验证
  7. 我的证书在服务器上安装的时候提示证书和私钥不匹配
    • 一般情况是您保存的私钥和生成证书CSR使用的私钥不匹配导致的,您可以重新签发证书
    • 特别的,宝塔面板用户可能会遇到此类情况,但是实际上是可以正常使用的
标签: