You need to enable JavaScript to run this app.
导航
证书请求审核流程
最近更新时间:2024.10.23 16:56:29首次发布时间:2023.03.01 17:05:01

您向CA提交证书请求后,CA会审核您的证书请求。只有当证书请求通过了CA的审核流程,CA才会为您签发证书。本文为您介绍不同类型证书的审核流程及您需注意的事项。

概述

CA对不同类型证书的审核流程不同,签发不同证书所需要的时间也不同。

证书类型

审核流程

签发所需时间

DV证书

DV表示Domain Validation,即域名验证。
CA只确认申请者拥有对域名的管理权,便会签发DV证书。

DV证书一般可在数小时内签发。

OV证书

OV表示Organization Validation,即组织验证。
CA除了确认申请者拥有对域名的管理权,还要确认申请该证书的组织真实存在且无经营异常问题,并会确认申请者拥有为组织订购证书的授权。

注意

请确保您的组织没有经营异常问题,否则无法获得OV和EV证书。

组织验证需要人工参与。这导致OV证书一般需要3~5个工作日才能签发。

说明

部分CA会保留已审核过的组织信息(即您提交证书请求时使用的企业信息模板),以加快为该组织继续签发OV/EV证书的速度。详细说明,请参见简化的审核流程

EV证书

EV表示Extended Validation,即扩展验证。
除了需要域名验证、组织验证外,EV证书的审核过程可能牵涉专业法律人员的调查及独立审计人员的确认。

由于审核流程复杂,EV证书一般需要7~10个工作日才能签发。

图片

查询订单进度

您可关注订单进度,随时获取证书请求的进展。订单进度信息位于证书详情中。
执行以下步骤,查询订单进度:

  1. 登录证书中心控制台
  2. 在左侧导航栏,选择 SSL证书 > 证书管理
  3. 证书管理 页面,单击证书的ID。
    如果CA正在审核您的证书请求,则证书的状态是 验证中
  4. 在证书详情页面右侧,查看证书的 订单进度
    您可通过订单进度获取域名验证要求等相关信息。

以下是一张DV证书的订单进度示例。
图片

审核流程

不同CA执行的具体审核流程有差异。以下内容主要介绍您在证书请求审核流程中需要配合CA完成的通用事项。如果您想了解不同CA的详细审核流程,建议您访问CA的官网。

域名验证

域名验证表示CA验证您是否对证书颁发给的域名有管理权。您在提交证书请求时可选择域名验证的方式。域名验证方式包括:

  • DNS验证:该方式需要您按要求修改域名的DNS设置,如添加一条TXT或CNAME记录。当CA发现指定的DNS记录存在时,即完成验证。
  • 文件验证:该方式需要您按要求将指定的文件添加到域名对应的服务器上。当CA发现指定的文件可访问时,即完成验证。

我需要做什么

  1. 您在 证书中心控制台 提交证书请求后,请耐心等待5分钟,便可在 订单进度 中获取域名验证要求。
  2. 根据域名验证要求完成验证配置后,您可单击 检查配置,自行检查您的配置是否准确。
    关于域名验证的具体步骤,请参见域名验证
  3. 确认您已按要求完成验证配置后,请您耐心等待CA检查您的配置。

下一步怎么做

  • 对于DV证书证书请求
    CA确认您的配置准确后,将为您签发证书。该过程一般需要5分钟左右。
  • 对于OV和EV证书请求
    按照要求完成域名验证配置后,您还需配合CA完成组织验证

组织验证

对于OV和EV证书请求,CA会执行组织验证以确认以下事项:

  • 申请证书的组织真实存在且无经营异常问题
    例如,CA可能会确认组织在当地政府的工商注册记录中、不在当地政府的限制实体名单中等。
  • 您(证书申请者/联系人)具有为组织订购证书的授权
    CA会查找经认证的、公开列出的组织电话号码,然后使用经过认证的电话号码与组织的代表(如组织联系人或技术联系人)联系,以核实您为组织订购证书的权限。如果无法联系到其他代表,CA可能会与您联系。

    注意

    组织的电话号码必须来自第三方或独立名单。例如,号码来自企业在工商局登记的最新年报中的电话、通过114查号台查询到的企业在注册地的电话、企业在谷歌/百度地图登记的电话、企业在企查查登记的电话、企业在邓白氏注册的电话等。

我需要做什么

您必须配合CA完成电话验证。

  • (推荐)接听CA的来电,以确认您的权限
    • 提交证书请求后,请确保组织联系人、技术联系人和您公司的前台知道您订购了证书,并且他们中的任何一个人能接听CA的电话。
    • 请告知他们如下事项:
      • CA可能会在24小时内来电。
      • 准备好回答有关您及您在公司职位的几个问题。
    • 在确认您的权限之前,CA无法为您签发证书。
  • 回应电话留言
    • 如果CA验证人员无法通过已验证且公开列出的组织电话号码联系到您本人或您的代理人,验证人员将留言并留下回电号码和验证码。
    • 确保您、前台、组织联系人或技术联系人回复留言并向CA提供验证码。
  • 预约通话时间
    如果CA验证人员无法通过已验证且公开列出的组织电话号码联系到您的代理人,您可能还会收到一封电子邮件,以安排回电并完成验证的时间。

下一步怎么做

  • 对于OV证书请求
    CA完成组织验证后,将为您签发证书。
  • 对于EV证书证书请求
    您还需要配合CA完成扩展验证

扩展验证

对于EV证书(或部分品牌OV证书)申请,CA可能会要求您进行额外的确认或提供其他证明材料。例如,加盖组织公章的申请表和加盖公章的用户协议签收表、基本存款账户信息、组织联系人的个人身份证(正反面)扫描件、律师函等。

说明

在以下情况下,CA可能会要求您提供律师函:

  • 证书申请主体成立未满三年。
  • 您申请的是GlobalSign EV或者vTrus OV证书。

具体要求以CA通知为准。

CA会向证书联系人邮箱发送邮件,以说明您需要提供的证明材料。有的CA可能会在组织验证过程中通过电话告知您需要提供的证明材料。

我需要做什么

使用您在证书请求信息中所提供的邮箱查收邮件,确认并准备CA所需的证明材料,按照要求回复邮件。如果您需要协助,可以联系证书中心售后支持人员。

下一步怎么做

CA完成扩展验证后,将为您签发证书。

简化的审核流程(非首次申请OV/EV证书)

您提交OV/EV证书请求时,需选择一个企业信息模板。CA会验证企业信息模板中的信息,并记录经验证的企业信息模板。后续您若使用经CA验证的企业信息模板再次申请OV/EV证书,则证书请求审核流程将被简化。流程简化体现在以下两个方面:免除组织验证、免除域名验证。

注意

  • 如果已验证的企业信息模版中的某个字段(除 模板名称 外)被更改,而您使用更改后的模板提交OV/EV证书请求,则CA会重新进行组织验证和域名验证。
  • 以下仅说明DigiCert的审核流程简化场景。不同CA的验证策略有差异,具体以CA官方信息为准。

类型

说明

适用的证书品牌

免除组织验证

  • 如果您在申请OV证书时使用的企业信息模板已被CA验证,您在后续13个月内使用相同的企业信息模板向该CA申请OV证书,则无需进行组织验证。

    示例:
    假设您已经成功申请一张DigiCert OV证书,如果您继续使用相同的企业信息模板申请DigiCert OV证书,则无需进行组织验证。

  • 如果您在申请EV证书时使用的企业信息模板已被CA验证,您在后续13个月内使用相同的企业信息模板向该CA申请EV或OV证书时,无需进行组织验证。
  • DigiCert
  • DigiCert Pro
  • GeoTrust

免除域名验证

如果您已使用企业信息模板为一个域名成功申请了OV/EV证书,您在后续13个月内使用该企业信息模板为同一个域名申请证书时,无需进行域名验证。
免域名验证也适用于以下域名不相同的场景:

  • 如果根域名(如example.com)已经过验证,则对应的子域名(如www.example.comabc.www.example.com等)可免验证。
  • 如果带有www前缀的子域名(如www.example.com)已经过验证,则对应根域名(如example.com)和其他子域名(如abc.example.comabc.www.example.com等)可免验证。

说明

如果一个证书请求同时适用于免除域名验证和免除组织验证的场景,则该证书可以在数小时内(甚至数分钟内)签发。

常见问题

组织验证时我发现企查查、百度地图中登记的企业联系电话不正确,该怎么办?

您可以访问相应平台,修改企业联系电话。以下是相关操作流程的概述,具体操作请参考平台提供的帮助文档:

  • 修改企查查中登记的企业联系电话:
    1. 完成企业认领。
    2. 通过编辑企业信息修改联系电话。
  • 修改百度地图登记的企业联系电话:
    1. 访问百度 地图商户中心 - 地点纠错 页面。
    2. 使用百度地图App扫描页面上的二维码。
    3. 按照百度地图App上的提示提交 地点报错
      1. 选择您想修改的地点。
      2. 选择改电话。
      3. 您可以通过报错申请改电话,也可以先认领此地点再改电话。
        后者可以使修改更快生效。建议您先认领地点。选择认领地点后需要完成商户入驻流程。