SSL 证书(SSL Certificates)又叫服务器证书,为您提供安全套接层(SSL)证书的一站式服务,包括证书申请、管理及部署功能。与顶级的数字证书授权(CA)机构和代理商合作,为您的网站、移动应用提供 HTTPS 解决方案。    

顶级 CA 机构

SSL 证书由国际顶级 CA 机构授权颁发,安全有保障

 

数据加密传输

加密保护浏览器/APP 与服务器之间的数据传输安全

100%兼容性

Symantec 根证书签发,支持所有浏览器和移动设备

 

提升搜索排名

采用 HTTPS 有利于提升网站的搜索排名及站点可信度

功能

腾讯云 SSL 证书与顶级 CA 机构合作,提供证书申请、管理以及部署功能。

证书签发

域名型证书由赛门铁克提供自动审核认证,快速签发。

快速申请

流程简化:腾讯云证书服务支持在线自动 CSR 生成,域名身份通过 DNS 自动验证,简单一步提交申请,审核签发流程全自动。

云解析域名快速申请:在云解析或 DNSPod 进行解析的域名,更可以免去域名身份验证的过程,一键获取证书。

集中管理

  • 多平台管理:上传管理任意机构签发的证书,集中监控每个证书的有效期限。

  • 私钥托管:在线生成 CSR 并且设置了私钥密码的证书,将密码作为证书进行加密托管,保证用户的信息安全。

轻松部署

腾讯云证书服务支持快速在云资源中部署数字证书,目前负载均衡、CDN 已支持证书部署,您可以更快捷地获得数据安全。

腾讯云 SSL 证书(SSL Certificates)提供了安全套接层(SSL)证书的一站式服务,包括证书申请、管理及部署功能,与顶级的数字证书授权(CA)机构和代理商合作,为您的网站、移动应用提供 HTTPS 解决方案。

域名型(DV)SSL 证书

信任等级一般,只需验证网站的真实性便可颁发证书保护网站。

企业型(OV)SSL 证书

信任等级强,须要验证企业的身份,审核严格,安全性更高。

增强型(EV)SSL 证书

信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。

证书签发

域名型证书由 Symantec™(赛门铁克)提供自动审核认证,快速签发。

Symantec™(赛门铁克):全球最大的信息安全厂商和服务商,最权威的数字证书颁发机构,为企业、个人用户和服务供应商提供广泛的内容和网络安全解决方案,全球500强中有93%选择了 VeriSign SSL 数字证书,目前均由 Symantec 提供服务。

TrustAsia®(亚洲诚信):亚数信息科技(上海)有限公司应用于信息安全领域的品牌,是 Symantec™(赛门铁克)的白金合作伙伴,专业为企业提供包含数字证书在内的所有网络安全服务。

快速申请

流程简化:腾讯云证书服务支持在线自动 CSR 生成,域名身份通过 DNS 自动验证,简单一步提交申请,审核签发流程全自动。

云解析域名快速申请:在云解析或 DNSPod 进行解析的域名,更可以免去域名身份验证的过程,一键获取证书。

集中管理

多平台管理:上传管理任意机构签发的证书,集中监控每个证书的有效期限。

私钥托管:在线生成 CSR 并且设置了私钥密码的证书,将密码作为证书进行加密托管,保证用户的信息安全。

轻松部署

腾讯云证书服务支持快速在云资源中部署数字证书,目前负载均衡、CDN 已支持证书部署,您可以更快捷地获得数据安全。

顶级 CA 机构

SSL 证书由国际顶级 CA 机构授权颁发,安全有保障。
数字证书授权机构(CA,Certificate Authority)是管理和签发安全凭证和加密信息安全密钥的网络机构,承担公钥体系中公钥的合法性检验的责任,需要对用户、企业的身份真实性进行验证,其权威性、公正性十分重要,腾讯云只选择和顶级权威的 CA 机构合作,提供安全有保障的 SSL 证书。

数据加密传输

加密保护浏览器/App 与服务器之间的数据传输安全。
采用 HTTPS 加密 App 及网页通讯,防止数据在传送过程中被窃取、篡改,确保数据的完整性;防止运营商的流量劫持、网页植入广告现象;同时有效抵挡中间人的攻击,大大提升安全性。

100%兼容性

Symantec 根证书签发,支持所有浏览器和移动设备。
兼容性关系到用户访问时浏览器是否会正确给予网页安全的提示,Symantec 根证书的浏览器兼容性目前市场上排名第一,支持目前所有主流的浏览器和移动设备。

搜索排名提升

采用 HTTPS 有利于提升网站的搜索排名及站点可信度。
2014年 Google 调整了搜索引擎算法,“比起同等 HTTP 网站,采用 HTTPS 加密的网站在搜索结果中的排名将会更高”,同时国内的搜索引擎厂商也在加强对 HTTPS 的重视,采用 HTTPS 可以辅助站点的 SEO 优化。

防流量劫持

全站 HTTPS 是根治运营商、中间人流量劫持的解决方案,不仅可以杜绝网页中显示的小广告,更可以保护用户隐私安全。

提升搜索排名

采用 HTTPS 可以帮忙搜索排名的提升,提高站点的可信度和品牌形象。

杜绝钓鱼网站

HTTPS 地址栏绿色图标可以帮助用户识别出钓鱼网站,保障用户和企业的利益不受损害,增强用户信任。

v1.0.0

2016.06.16
域名型 SSL 证书申请上线
第三方证书上传管理

v1.1.0

2016.09.10
证书型号升级为 Symantec 根证书
浏览器兼容性更佳

v1.2.0

2016.12.14
提供 Symantec、GeoTrust、TrustAsia 品牌的 SSL 证书购买
提供包括企业型(OV)、增强型(EV)、通配符在内多种型号 SSL 证

为使用腾讯云 SSL 证书服务(以下简称“本服务”),您应当阅读并遵守《SSL 证书服务等级协议》(以下简称“本协议”或“SLA”),以及《腾讯云服务协议》。本协议包含本服务的术语和定义、服务可用性/服务成功率等级指标、赔偿方案、免责条款等相关内容。请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。

除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要购买本服务。您点击“同意”、“下一步”或您的购买、使用等行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。本协议即在您与腾讯云之间产生法律效力,成为对双方均具有约束力的法律文件。

1. 术语和定义

1.1 腾讯云提供的 SSL 证书服务

是指腾讯云为您提供的由数字证书认证机构签发的固定有效期的 SSL 证书。

1.2 服务月度

服务月度是指您购买本服务的服务期限所包含的各个自然月度,如您购买三个月本服务,服务开通之日为3月17日,则包含4个服务月度,其中第1个服务月度是指3月17日到3月31日,第2个服务月度是指4月1日到4月30日,第3个服务月度是指5月1日到5月31日,第4个服务月度是指6月1日到6月16日。服务可用性按服务月度单独核算。

1.3 不可用时间

数字证书 CRL/OCSP 服务在连续的5分钟或更长时间不可使用方计为不可用时间,低于5分钟不计入不可用时间。

1.4 不可用定义

因亚洲诚信系统(证书供应商)、机房问题、产品功能问题或操作不当导致服务不可用,计入服务不可用时间。

2. 服务可用性

2.1 服务可用性/服务成功率计算方式

可用性 =(1 - SSL 证书 CRL/OCSP 服务周期内业务不可用时间 / SSL 证书 CRL/OCSP 服务周期内服务总时间)* 100%
如我们承诺的可用性是99.99%,则6月用户 SSL CRL/OCSP 服务可用时间应为30 × 24小时 × 60分钟 × 99.99% = 43195.68分钟,即存在43200 - 43195.68 = 4.32分钟的不可用时间。

说明:


  • 故障时间 = 故障解决时间 - 故障开始时间。按分钟计算故障时间,故障时间小于1分钟的按1分钟计算。例如,故障时间为11分01秒,按12分钟算。

  • 赔偿只针对已购买 SSL 付费证书并已产生费用的用户。

2.2 服务可用性/服务指标标准

腾讯云提供的本服务可用性不低于99.99%,如未达到上述可用性标准(属于免责条款情形的除外),您可以根据本协议第3条约定获得赔偿。

3. 赔偿方案

对于本服务,如服务可用性低于标准,您有权按照如下条款约定获得赔偿:

3.1 赔偿标准

(1)赔偿以腾讯云发放代金券的形式实现,您应当遵守代金券的使用规则(包括使用期限等,具体以腾讯云官网发布的代金券相关规则为准)。发放的代金券不能折现、不开具发票,仅限您通过您的腾讯云账户购买本服务,不能购买其他的腾讯云服务,您也不可以将代金券进行转让、赠予等。
(2)如果某服务月度没有达到服务可用性标准,赔偿额按照相应未达标服务月度单独计算,赔偿总额不超过相应未达标服务月度内您就本服务支付的相应月度服务费(此处的月度服务费不含用代金券、优惠券、服务费减免等抵扣的费用)。

服务月度的服务可用性赔偿代金券金额
低于99.99%但等于或高于99.00%月度服务费的10%
低于99%但等于或高于95%月度服务费的25%
低于95%月度服务费的100%

3.2 赔偿申请时限

(1)如某服务月度没有达到服务可用性标准,您可以在没有达标的相应服务月度结束后的次月的第五(5)个工作日后,仅通过您相应账户的工单系统提出赔偿申请。您提出赔偿申请后腾讯云会进行相应核实,对于服务月度的服务可用性的计算,若双方出现争议的,双方均同意最终以腾讯云的后台记录为准。
(2)您最晚提出赔偿申请的时间不应超过未达标的相应服务月度结束后六十(60)个自然日。如果您在未达标的相应服务月度结束后的六十(60)日内未提出赔偿申请或者在未达标的相应服务月度结束后的六十(60)日之后才提出赔偿申请或者您通过非本协议约定的方式提出申请的,均视为您自动放弃要求赔偿的权利及向腾讯云主张其他权利的权利,腾讯云有权不受理您的赔偿申请,不对您进行任何赔偿或补偿。

3.3 赔偿申请材料

如果您认为本服务未达到服务可用性标准的,您可以按照本服务等级协议中规定的时限发起赔偿申请。您的赔偿申请需至少与下列信息一同提供:
(1)SSL 证书厂商 CRL/OCSP 服务的故障声明。
(2)SSL 证书订单信息。

4. 免责条款

由以下原因导致的服务不可用,相应服务不可用时间不属于服务不可用的计算范畴和腾讯云的赔偿范畴,腾讯云无须向您承担责任:
4.1 腾讯云提前通知过客户 进行系统维护升级引起的服务中断。
4.2 用户未按规定调用服务引起的服务不可用。
4.3 用户自身网络或应用故障引起的不可用。
4.4 不可抵抗事件引起的,可参考主合同中的不可抗力章节原因。
4.5 非腾讯云原因造成的服务不可用或服务不达标的情况。
4.6 属于相关法律法规、相关协议、相关规则或腾讯云单独发布的相关规则、说明等中所述的腾讯云可以免责、免除赔偿责任等的情况。

5. 其他

5.1 双方确认并在此认可:在任何情况下,若您在使用本服务过程中因腾讯云违约原因造成您损失的,腾讯云的违约赔偿总额不超过您已经支付的相应违约服务对应的服务费总额。
5.2 有权根据变化适时或必要时对本协议条款做出修改,您可以在腾讯云官网的最新版本中查阅相关协议条款。如您不同意腾讯云对协议所做的修改,您有权停止使用本服务,如您继续使用本服务,则视为您接受修改后的协议。
5.3 本协议作为《腾讯云服务协议》的附属协议,具有与《腾讯云服务协议》同等效力,本协议未约定事项,您需遵守《腾讯云服务协议》的相关约定。若本协议与《腾讯云服务协议》中的条款相冲突或不一致,则以本协议为准,但仅在该冲突或不一致范围内适用。

腾讯云和权威的数字证书授权(CA)机构和专家级证书代理商合作,支持域名型、企业型、企业增强型 SSL 证书的申请和上传管理,并且腾讯云 CDN、负载均衡服务均支持 SSL 证书的快速部署。

您可以在腾讯云上一站式实现全站 HTTPS,下面详细说明如何操作。

获取证书

腾讯云 SSL 证书服务支持域名型(DV) SSL 证书的免费申请。企业型(OV)、企业增强型(EV)等付费证书目前支持线下选购申请。

  1. 登录 SSL证书管理控制台 ,单击【申请免费证书】。如下图所示:
    www.ksyuwei.cn

  2. 填写申请域名,例如qcloud.com,cloud.tencent.com,demo.test.qlcoud.com。单击【下一步】。如下图所示:

    注意:

    如果需要部署到腾讯云负载均衡、CDN 等云服务,请勿填写私钥密码。

    www.ksyuwei.cn

  3. 选择验证方式。
    www.ksyuwei.cn

    • 选择自动 DNS 验证:验证方法可查看 详情。

      说明:

      如果所申请域名成功添加 云解析平台,可以支持自动 DNS 验证。

    • 选择手动 DNS 验证:验证方法可查看 详情。

    • 选择文件验证:验证方法可查看 详情。

  4. 单击【确认申请】。

    • 若提交申请成功,需要单击【查看证书详情】获取 TXT 记录尽快添加解析,方可通过 CA 机构审核。如下图所示:
      www.ksyuwei.cn

    • 若提交申请失败,提交域名未通过 CA 机构安全审核,具体原因参考 安全审核失败原因。如下图所示:
      www.ksyuwei.cn

部署证书到负载均衡

  1. 成功申请获取证书(参考 如何免费申请域名型证书)。

  2. 选择您需要部署的证书,展开【更多】,选择【部署到负载均衡】。如下图所示:
    www.ksyuwei.cn

  3. 根据项目和地区筛选 LB 实例,且只能选择一个实例。如下图所示:

    注意:

    目前不支持华南地区-深圳金融。

    www.ksyuwei.cn

  4. 跳转到负载均衡控制台,选择【监听器管理】页签。

  5. 在【HTTP/HTTPS 监听器】中单击【新建】,弹出【创建监听器】弹窗。

  6. 将【监听协议端口】切换到 HTTPS,服务器证书为已选中的证书,然后完成剩余的基本配置。如下图所示:
    www.ksyuwei.cn

  7. 继续完成创建监听器的其他配置,即可实现负载均衡的 HTTPS。

部署证书到 CDN

注意:


  • 域名需要已经接入 CDN,且状态为部署中或已启动,关闭状态的域名无法部署证书。

  • COS 或 数据万象开启 CDN 加速后,默认的 .file.myqcloud.com 或 .image.myqcloud.com 域名无法配置证书。

  • SVN 托管源暂时无法配置证书。

  1. 成功申请获取证书(参考 如何免费申请域名型证书)。

  2. 选择您需要部署的证书,展开【更多】,选择【部署到国内 CDN】。如下图所示:
    www.ksyuwei.cn

  3. 跳转到 CDN 控制台,进入【配置证书】详情页,选择需要配置证书的域名。如下图所示:
    www.ksyuwei.cn

  4. 在 SSL 证书管理 页面申请证书成功颁发后,选择【腾讯云托管证书】,即可看到 SSL 证书管理中对该域名可用的证书列表。如下图所示:
    www.ksyuwei.cn

    • 从证书列表中选择要使用的证书。

    • 证书列表中展示格式为证书 ID(备注),可前往 SSL 证书管理 查看更多证书详情。

  5. 配置证书后,您可以选择 CDN 节点回源站获取资源时的回源方式。如下图所示:
    www.ksyuwei.cn

    • 选择 HTTP 回源配置成功后,用户至 CDN 节点请求支持 HTTPS/HTTP,CDN 节点回源站请求均为 HTTP。

    • 选择 协议跟随 回源配置,您的源站需要部署有效证书,否则将导致回源失败。配置成功后,用户至 CDN 节点请求为 HTTP 时,CDN 节点回源请求也为 HTTP。用户至 CDN 节点请求为 HTTPS 时,CDN 节点回源请求也为 HTTPS。

    • 若域名源站修改 HTTPS 端口为非 443 端口,会导致配置失败。

    • COS 源或 FTP 源域名仅支持 HTTP 回源。

  6. 配置成功后,您可以在【证书管理】页面看到已经配置成功的域名以及证书情况。如下图所示:
    www.ksyuwei.cn

 

www.ksyuwei.cn

www.ksyuwei.cn

www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

证书目前仅支持线下吊销,请工单联系腾讯云工程师协助您进行吊销。
域名型证书吊销流程详情见 操作指引。

申请域名型(DV)SSL 证书时,出现如下提示,说明申请域名的安全审核失败,赛门铁克 CA 机构的快速审核流程不支持对该域名颁发域名型 SSL 证书,请购买付费证书。如下图所示:
www.ksyuwei.cn
安全审核失败的具体原因:
由于 CA 机构的反钓鱼机制,一般是域名信息中包含敏感词,例如 bank、pay 等,会引起安全审查失败,具体敏感词由 CA 机构定义,同时部分不常用的根域名也可能会审核失败,例如,www.qq.pw、www.qcloud.pw 等以 .pw 根域名后缀的无法通过审核。

说明:

域名型 SSL 证书通过自动认证快速签发,不会人工介入审核,会用较为严格的敏感词来加强审核标准。

SSL 证书部署以后,访问站点提示“连接不安全”,是否是证书部署失败?

证书已成功部署,也会出现这个问题,是因为采用 HTTPS 协议的站点访问。如果网页中包含未经加密的 HTTP 内容时,会被浏览器认为是不安全的,需要对代码进行改造。

前端改造上,可以有参考以下几点:

  • 使用相对路径引用资源。

  • 引用绝对路径时,采用 // 引用资源,例如 //img.qcloud.com/example.png,表示遵从当前页面的协议,浏览器会进行自动补齐。

OpenSSL 是用于安全通信的著名开源密码学工具包,包括主要的密码算法、常见密码和证书封装功能。

OpenSSL 官网

官方下载地址: https://www.openssl.org/source/

Windows 安装方法

OpenSSL 官网没有提供 Windows 版本的安装包,可以选择其他开源平台提供的工具。例如 http://slproweb.com/products/Win32OpenSSL.html
以该工具为例,安装步骤和使用方法如下:

  1. 选择32位或者64位合适的版本下载,例如 Win64OpenSSL_Light-1_0_2h.exe。如下图所示:
    www.ksyuwei.cn

  2. 设置环境变量,例如,工具安装在 C:\OpenSSL-Win64,则将 C:\OpenSSL-Win64\bin; 复制到 Path 中。如下图所示:
    www.ksyuwei.cn

  3. 打开命令行程序 cmd(以管理员身份运行),进入 2_www.domain.com.key、1_www.domain.com_cert.crt 文件所在目录,运行以下命令。

    openssl pkcs12 -export -out www.domain.com.pfx -inkey 2_www.domain.com.key -in 1_www.domain.com_cert.crt

    例如 ,key 和 crt 文件保存在 D:\ ,运行情况如下:
    www.ksyuwei.cn

    注意:

    Export Password 不需要的情况下,请直接回车不进行输入。

  4. 在 D:\ 已生成的 www.domain.com.pfx 文件,可以继续完成在 IIS 管理器中的证书安装。

CSR 即证书签名申请(Certificate Signing Request),获取 SSL 证书,需要先生成 CSR 文件并提交给证书颁发机构(CA)。CSR 包含了公钥和标识名称(Distinguished Name),通常从 Web 服务器生成 CSR,同时创建加解密的公钥私钥对。

在创建 CSR 过程中,需要提供相关组织机构信息,web 服务器会根据提供的信息创建证书的标识名称,用来识别证书,内容如下:

国家或地区代码
您的组织机构依法注册所在的国家或地区的代码,以国际标准化组织(ISO)的两字母格式表示。

省或市或自治区
您的组织机构所在的省或市或自治区。

城市或地区
您的组织机构注册或所在的城市或地区。

组织机构
您的企业依法注册所用的名称。

组织机构单位
此字段用于区分组织机构中的各部门,例如 “工程部” 或 “人力资源部”。

通用名称
在 CSR 的通用名称字段中输入的名称必须是您要为其使用证书的网站的完全限定域名(FQDN),例如 “www.domainnamegoeshere”。

但是腾讯云采用了在线生成 CSR 的方式,无需您生成和提交 CSR 文件,域名型证书仅需要提交通用名称即可申请,帮助您简化申请流程。

首先,SSL 证书无论是免费的域名型或者是付费的企业型,CA 机构都规定了有效期的,从安全性上考虑,不能保证一个合法网站永远不会成为一个钓鱼站点,CA 机构需要定期审核,所以不会颁发永久有效的证书。

其次,当网站的私钥丢失时可以申请吊销,CA 机构会将吊销的证书加入证书吊销列表(Certificate Revocation List ,简称:CRL),每次 HTTPS 站点被访问时,浏览器会向 CA 机构获取 CRL,判断是否能信任该证书;然而永久有效的证书会导致 CRL 不断增加,不会减少,会增加浏览器的请求流量压力,所以指定证书的有效期是更科学的处理方式。

腾讯云目前提供免费的域名型证书,型号为 TrustAsia DV SSL CA - G5,证书有效期时长1年。证书过期前三个月即可重新申请,域名型证书能在一个工作日内快速颁发,您有充足的时间为站点切换证书。

自2016年11月起,部分 Chrome 浏览器用户反馈访问 HTTPS 站点时出现 NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 错误情况,提示 “您的连接不是私密链接”。如下图所示:
www.ksyuwei.cn

该 CT 错误经确认是 Chrome 浏览器53、54版本的内核问题,该 BUG 导致与 Symantec CA 机构颁发的 SSL 证书出现不兼容问题,Symantec CA 机构所有2016年6月1日之后的证书都会被此问题影响出现 CT 错误的情况,Chrome 方面在第一时间通过自动补丁方式处理了此问题,并在55版本修复此问题。

在能正常连接 Chrome 的服务器的客户都不会被此问题影响,但因中国大部分用户不能访问到 Chrome 的服务器,所以建议用户升级至55+版本来解决这个问题。

www.ksyuwei.cn

Symantec 官方声明: https://www.symantec.com/connect/blogs/chrome-53-bug-affecting-symantec-ssltls-certificates

以及 Chrome 官方公告:https://bugs.chromium.org/p/chromium/issues/detail?id=664177

另外,使用了 Chromium 53 内核的 QQ 浏览器也会存在这个问题,已经在新版本中修复,建议使用旧版本 QQ 浏览器的用户更新到最新版本。

腾讯云不会替您保存证书的私钥密码,请牢记私钥密码。

如果遗失私钥密码,请 提交工单,选择【其他问题】,提交给腾讯云工程师,协助您删除该证书后重新申请对应域名的证书。






  • 名称: SSL证书
  • 关键词: SSL证书,腾讯云