不管是个人搭建网站测试,还是企业刚起步给网站做安全防护,SSL 证书都是必不可少的工具 —— 它能让网站从 “http” 升级为 “https”,浏览器地址栏会显示小绿锁,既让访客更放心,也能保障数据传输安全。阿里云提供多种 SSL 证书,其中免费的个人测试证书适合新手入门,下面用通俗易懂的语言,一步步讲解申请、验证和下载流程,新手也能轻松操作。
一、免费 SSL 证书基本信息
在开始操作前,先了解免费证书的关键信息,避免后续走弯路:
- 品牌与类型:免费证书是阿里云与 Digicert 合作的 DV(域名型)证书,仅对单个域名生效。比如填写 “aliyun.com”,会自动包含 “www.aliyun.com”,但无法同时保护多个不同域名,也不支持通配符格式(如 “*.aliyun.com”)。
- 数量与有效期:完成实名认证的阿里云账号(个人或企业均可),每个自然年可免费领取 20 张,每张有效期 3 个月。若需更长有效期(如 1 年),可升级为 “个人测试证书(pro)”,但需付费。
- 适用场景:适合个人网站测试、开发调试,或刚起步的小网站临时使用。电商网站、企业官网等需用户信任的正式站点,建议后续更换专业正式证书,安全性和兼容性更优。
- 域名限制:部分特殊后缀域名(如 “.edu”“gov”“jp”“bank” 等)无法申请免费证书,这类域名需直接选择正式证书。
二、第一步:登录控制台,“购买” 免费证书
免费证书虽无需付费,但需走 “购买” 流程获取申请资格,具体步骤如下:
- 进入 SSL 证书页面:在浏览器输入阿里云 SSL 证书官方地址(https://www.aliyun.com/product/cas),点击 “登录控制台”,登录已实名认证的阿里云账号(未实名认证需先补全信息,否则无法申请)。
- 找到个人测试证书入口:登录后,在左侧菜单栏点击 “SSL 证书管理”,页面会显示 “正式证书” 和 “个人测试证书(原免费证书)” 两个选项,选择 “个人测试证书”,点击 “立即购买”。
- 确认订单并 “支付”:跳转至购买页面后,“产品类型” 默认显示 “个人测试证书(免费版)”,“购买数量” 默认 20 张(可按需调整,最多 20 张),“应付费用” 为 0 元。勾选 “我已阅读并同意证书服务协议、证书技术支持服务须知”,点击 “立即购买”,按提示完成 “支付”(仅需确认,无需实际付款)。
完成这一步,就获得了 20 张免费证书的申请资格,接下来需将资格与具体域名绑定。
阿里云服务器ECS https://www.aliyun.com/product/ecs 打开如下图:
阿里云轻量服务器:https://www.aliyun.com/product/swas 打开如下图:
阿里云GPU云服务器 https://www.aliyun.com/product/egs 打开如下图:
用户可登录阿里云权益中心(https://www.aliyun.com/benefit),领取上云礼包、算力补贴优惠券或满减券,降低初次购买成本,但需注意优惠券使用期限与适用产品范围。
三、第二步:创建证书,填写域名信息
“购买” 资格后,需回到控制台创建具体证书,绑定要保护的域名:
- 返回证书管理页面:支付完成后,系统会自动跳转至 “数字证书管理服务控制台”;若未跳转,可重新从 “SSL 证书管理” 进入 “个人测试证书” 页签。
- 点击 “创建证书”:在 “个人测试证书” 页面,找到已获取的证书额度,点击 “创建证书”,进入信息填写页面。
- 填写证书申请表单(关键步骤,需仔细核对):
- 域名名称:输入需保护的纯域名(如 “aliyun.com”),无需带 “http” 或 “https”,系统会自动包含 “www” 前缀域名。
- 数量:默认 1 张(一次仅绑定一个域名,无需修改)。
- 域名验证方式:
- 域名在阿里云且解析也在阿里云:选 “域名授权自动化”,系统自动完成验证,操作更简便。
- 域名或解析在其他平台(如腾讯云、华为云):选 “手动 DNS 验证”,后续需手动添加解析记录。
- 新手不推荐 “文件验证”(需在服务器上传文件,操作较复杂)。
- 联系人:默认显示阿里云账号实名认证信息(姓名、手机号、邮箱),可编辑修改,但需保证真实(CA 机构可能联系确认)。
- 密钥算法:默认选 “RSA”,兼容性最好,适配电脑、手机等各类设备。
- CSR 生成方式:选 “系统生成”,无需手动处理 CSR 文件(避免私钥丢失风险,后续下载证书会自动包含私钥)。
填写完成后,勾选 “我已阅读并同意相关协议”,点击 “提交审核”,系统会提示需完成域名验证(确认域名归属)。
四、第三步:域名验证,确认域名归属
域名验证是核心步骤,仅通过验证,CA 机构才会签发证书。以常用的 “手动 DNS 验证” 为例,操作如下:
- 获取验证记录信息:提交审核后,页面跳转至 “验证” 页面,显示需添加的 DNS 解析记录,关键信息如下:
| 配置项目 | 配置值 | 说明 |
| 记录类型 | TXT | 固定选择,不可修改 |
| 主机记录 | _dnsauth | 直接复制页面内容,不可自定义 |
| 记录值 | 一串随机字符(如 2zlg2z713x74h079qwhu1bdbw) | 完整复制,不可增减字符 |
| TTL | 10 分钟 | 默认即可,无需修改 |
- 不要关闭此页面,建议最小化或开新窗口操作。
- 登录域名解析平台:打开新浏览器窗口,登录域名所在的解析平台(阿里云域名登录 “阿里云 DNS 控制台”,其他平台登录对应 “域名解析” 页面)。
- 添加 TXT 解析记录:找到需验证的域名,点击 “添加记录”,按以下信息填写:
- 记录类型:选 “TXT”。
- 主机记录:粘贴 “_dnsauth”。
- 记录值:粘贴获取的随机字符。
- TTL:选 10 分钟(或默认值,不超过 30 分钟即可)。
- 保存记录后,需等待 5-10 分钟(DNS 解析生效需要时间)。
- 完成验证:回到阿里云验证页面,点击 “验证” 按钮。系统检查解析记录正确后,会提示 “域名验证成功,请勿删除解析记录(否则影响证书签发)”。若验证失败,先检查主机记录、记录值是否复制正确,确认无误后等待几分钟重新验证。
五、第四步:等待审核,下载证书
- 等待审核:免费 DV 证书审核速度快,通常 10 分钟内完成,慢则不超过 1 小时。审核通过后,阿里云会向联系人手机号发送 “证书已签发” 的短信通知。
- 下载证书:登录 “数字证书管理服务控制台”,在 “个人测试证书” 页签找到 “已签发” 的证书,点击操作列 “下载”。
- 选择服务器对应格式:不同服务器需匹配不同证书格式,阿里云已分类整理,选择对应格式即可:
| 服务器类型 | 证书格式 | 说明 |
| Nginx | pem/key | 含 2 个文件:证书文件(.pem)、私钥文件(.key) |
| Tomcat/IIS | pfx | 单个文件,需记住下载页面显示的证书密码 |
| Apache | crt/key | 含 2 个文件:证书文件(.crt)、私钥文件(.key) |
| JKS | jks | 适合 Java 项目,含 jks 文件和密码 |
| 不确定类型 | pem/key | 通用格式,适配多数场景 |
选择格式后点击 “下载”,证书以压缩包形式保存到电脑。解压后将文件上传到服务器对应目录,配置服务器(如 Nginx、Tomcat)即可启用 HTTPS(具体配置可参考 “XX 服务器配置 SSL 证书” 教程)。
六、常见问题与解决办法
- 申请后找不到证书:仅 “购买” 资格未创建证书,回到 “个人测试证书” 页签,点击 “创建证书” 绑定域名即可。
- 域名验证失败:检查主机记录、记录值是否复制正确,确认解析添加到对应域名,等待 10-15 分钟(解析生效)后重新验证。
- 下载证书无私钥:创建证书时选了 “手动填写 CSR”,需重新创建证书并选 “系统生成 CSR”。
- 中文域名申请:需先将中文域名转换为 Punycode 码(控制台会提示转换方法),再按流程申请。
- 证书到期处理:免费证书到期后无法续费,需提前 1-2 周重新申请,替换旧证书。
总结
阿里云免费 SSL 证书申请核心是 “确认域名归属”,整个流程约半小时,关键在于仔细核对信息、正确添加解析记录。若仅用于测试或临时场景,免费证书足够;正式业务网站(尤其是涉及登录、支付),建议升级为有效期更长、功能更全的正式证书(如 DV、OV 证书)。定期检查证书到期时间,及时更新,才能持续保障网站数据传输安全。
