选择 SSL 证书相关
如何选择证书种类?
如果您的网站主体是个人(即没有企业营业执照),只能申请域名型(DV)免费证书或域名型(DV)付费证书。
对于金融、支付类企业,建议购买企业型(OV)、 增强型(EV)SSL 证书。
对于一般企业,建议购买企业型(OV)、 增强型(EV)SSL 证书。
若作为移动端网站或接口调用,也建议您购买企业型(OV)SSL 证书。
如何选择证书品牌?
如何选择支持的域名数量?
腾讯云提供以下四种域名类型,具体区别请查看如下内容:
您需要注意:
单域名:即只支持绑定1个域名,可以是二级域名
tencent.com,也可以是三级域名example.tencent.com。多域名:即单个证书可以绑定多个域名,最多可以支持的域名数量以 腾讯云 SSL 证书购买页 为准。
通配符:即仅支持绑定1个通配符域名,例如
*.tencent.com,*.example.tencent.com , 最多支持100级;不支持跨级通配符,例如: *.*.tencent.com。通配符多域名:即支持绑定多个通配符域名,例如
*.tencent.com,*.example.tencent.com,最多支持100级;不支持跨级通配符,例如:*.*.tencent.com。申请 SSL 证书相关
未开启网站服务前是否可以申请 SSL 证书?
已拥有域名并且具有解析权限,即可申请 SSL 证书。
注意:
如果您申请证书时还未购买云服务资源,证书验证时不支持文件验证的方式,请选择“DNS 验证”验证域名,从而签发 SSL 证书。
CAA 记录相关
什么是 CAA?
CAA(Certification Authority Authorization,证书颁发机构授权)是一项降低 SSL 证书错误颁发的控制措施,由互联网工程任务组(IETF)批准列为 IETF RFC6844 规范。2017年3月,CA/Browser Forum(CA/浏览器论坛)投票通过187号提案,要求 CA 机构从2017年9月8日起执行 CAA 强制性检查。
未设置 CAA 记录有什么影响?
若域名未设置 CAA 记录,那么任何 CA 机构都可以为该域名颁发 SSL 证书。
CAA 如何执行?
域名所有者通过设置 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,同时 CA 机构根据规范要求,在颁发 SSL 证书时会强制性检查域名 CAA 记录,如果检查发现未获得授权,将拒绝为该域名颁发 SSL 证书,从而防止未授权的 SSL 证书错误颁发,规避安全风险。
说明:
若申请域名添加了非腾讯云 CA 机构的 CAA 记录,将无法正常颁发,进行域名验证前,请先检查是否添加了 CAA 记录。若已添加,请删除后再进行域名验证。
在腾讯云设置 CAA 记录
在其他服务商设置 CAA 记录
若您的域名在其他服务商进行托管,具体请咨询对应服务商。
