如何获得SSL证书？

要获得SSL证书，您需要到证书中心订购一个SSL证书并向证书颁发机构（CA）提交证书请求。收到您的证书请求后，CA会审核您的证书请求信息。完成审核后，CA将为您签发证书。证书签发后，您可以从证书中心控制台下载证书并开始使用该证书保护您的网站。

获得SSL证书需要多长时间？

• 对于DV证书请求，CA将在您完成域名验证后的几个小时内向您签发证书。
• 对于OV和EV证书请求，由于组织验证涉及复杂的人工审核，CA处理您的证书请求所需的时间会更长。您可能需要等待数天至数周的时间才能获得证书。

什么是CSR？

CSR（Certificate Signing Request）表示证书签名请求文件。CSR包含了公钥和标识名称。标识名称是一组证书相关的信息，如域名、企业信息等。
要获得SSL证书，您需要先生成CSR并将该CSR提交给CA。CA审核标识名称中包含的信息后，才会为您签发证书。具体来说，CA使用自己根证书的私钥对您的CSR进行签名从而生成签发给您的证书。

什么是信息模板？

信息模板表示证书请求信息的模板。当您分别请求多个证书时，可能需要输入重复的信息，如联系人姓名、联系电话、公司信息等。通过信息模板，您可以将证书请求信息保存下来，以便在下次请求证书时复用这些信息。请求证书时，您只需选择信息模板，即可使用信息模板中保存的信息。

更改信息模板的内容会对已有的证书请求造成影响么？

不会。信息模板只是为了方便您在请求证书时快速输入信息，与已经提交的证书请求没有关联。

DNS验证与文件验证有什么区别？

DNS验证和文件验证是域名验证的两种方式。

• DNS验证：表示CA验证证书申请人拥有管理域名DNS的权限。
  该方式要求您登录DNS服务商的系统，为域名创建一条DNS TXT/CNAME记录。CA定期检查指定的记录是否存在。当CA确认指定的记录存在时，DNS验证将会结束。

  注意

  如果您使用火山引擎TrafficRoute为域名提供DNS服务，DNS验证将会自动完成。您无需手动创建DNS记录。

• 文件验证：表示CA验证证书申请人拥有管理域名所在服务器的权限。
  该方式要求您添加指定的验证文件到Web服务器的指定路径。CA定期检查指定的文件是否能够访问。当CA确认指定的文件能够访问时，文件验证将会结束。

  注意

  CA只支持向80或443端口发送验证请求。选择该方式前，请确保您的Web服务器已经开放了80或443端口。

我如何配合CA完成证书请求信息验证？

您需要按照CA的要求完成以下操作：

1. 完成域名验证。
2. 如果您请求的是OV或EV证书，您还需要配合CA完成组织验证。
3. 如果您请求的是EV证书，您还需要配合CA完成扩展验证。

不同CA所采用的组织验证或扩展验证方式有差异。通常CA将通过您提供的电话或邮件通知您验证的方法。请保持电话畅通并注意查收邮件。更多信息，请参见证书请求审核流程。

为什么证书实例的状态一直是“验证中”？

请先确认您是否已经完成了域名验证。
如果您请求的是OV或者EV证书，在完成域名验证后，您还需要等待CA验证您的企业或组织的身份。验证过程可能需要3~5天。请您耐心等待。

我已经完成域名验证的配置，但是订单进度长时间停留在“等待域名验证”，怎么办？

CA在处理您的证书请求时，除了验证您对域名的所有权，还会检查域名的CAA（Certification Authority Authorization）记录。如果您的域名配置了CAA解析记录，则只有CAA记录中指定的CA允许为您的域名签发证书。
当CA发现自己没有为您的域名签发证书的权限时，会停止处理证书请求。这时，您在证书中心会看到订单进度停留在 “等待域名验证” 阶段。
关于CAA记录的详细说明，请参见 CAA记录。

检查CAA记录

如果您已经完成了域名验证的配置，但是证书请求进度仍然长时间停留在 “等待域名验证” 阶段，您可以通过以下方式验证是否因为CAA记录检查失败导致域名验证未能通过。
运行dig caa <your_domain_name>命令，检查域名是否配置了CAA记录，以及CAA记录是否包含您向其请求证书的CA。

以下图为例。返回结果中包含一条CAA记录。该记录表示只有GlobalSign允许为您的域名签发证书。

CAA记录检查失败的解决方法

如果确认因为CAA记录检查失败导致域名验证未能通过，您可以选择以下方法之一来解决此问题：

• 修改域名的CAA记录，并将您向其请求证书的CA添加到CAA记录的值中。
  在不同DNS服务商的系统上修改CAA记录的方法不同。以火山引擎TrafficRoute为例，您可以参考该文档来修改CAA记录。

  示例：

  • 要允许DigiCert为您的域名签发证书（如免费证书），添加记录值为 0 issue "digicert.com" 的CAA记录。
  • 要允许GlobalSign为您的域名签发证书，添加记录值为 0 issue "globalsign.com" 的CAA记录。

  当您在CAA记录的值中添加了指定的CA后，请耐心等待5分钟左右。CA会定期检查域名验证配置和CAA记录。如果两者都满足要求，域名验证即可通过。

• 在证书中心控制台取消原来的证书请求，重新向CAA记录中授权的CA请求证书。
  例如，如果CAA记录中只允许GlobalSign为您的域名签发证书。您可以在取消原订单后，重新订购GlobalSign品牌证书。

为什么我的证书请求失败了？

如果CA认为您提供的证书请求信息与您的身份信息不匹配，或者您在提交证书请求后的30个自然日没有完成域名验证，那么CA就会拒绝您的证书请求。

为什么在证书列表中找不到我的证书？

请检查您是否在证书中心控制台的顶部导航栏左侧正确选择了项目。证书概览 页面的证书统计数据和 证书管理 页面的证书列表，均只展示选定项目的数据。

在火山引擎证书中心，每本证书都隶属于某个特定的项目。

• 在创建证书订单时，您可以为证书设置所属项目。
• 您也可以前往访问控制控制台的 项目 页面，来管理项目包含的证书（例如，将证书移入或移出项目）。更多信息，请参见项目资源管理。

我需要为“主域名”和“www前缀的子域名”分别申请一张证书吗？

不需要。一般情况下，无论您为“主域名”（如example.com）或者“www前缀的子域名”（如www.example.com）申请证书，得到的证书同时适用于“主域名”和“www前缀的子域名”。您可以将此视为CA机构针对单域名证书（DV/OV/EV）提供的“买一送一”优惠。但是需要注意以下内容：

• 若为“www前缀的子域名”申请证书，得到的证书也适用于“主域名”。
  以下图为例。①表示提交证书申请时，设置了“www前缀的子域名”。②表示签发的证书也适用于“主域名”。
  

• 若为“主域名”申请证书，那么只有采用DNS验证方式完成域名所有权验证，得到的证书才会同时适用于“www前缀的子域名”。
  以下图为例。①表示提交证书申请时，设置了“主域名”。②表示通过DNS验证完成域名所有权验证。③表示签发的证书也适用于“www前缀的子域名”。
  

• 关于证书适用于哪些域名，请以证书签发后，在证书列表页展示的“绑定域名”为准。
  有时，当您的证书还未签发，“绑定域名”只展示您在提交证书申请时填写的一个域名，但当证书签发后，“绑定域名”则会展示您填写的域名以及赠送的域名（两个域名）。