月度归档：2020年12月

低价产品利润微薄，主要面向技术人员，有利润才有动力提供技术支持；

Comodo CA已更名为Sectigo，子品牌型号命名规则不变。

证书类型和价格

全部来自正规代理渠道，不存在无故吊销跑路等情况，支持吊销/重签/续费，浏览器兼容率99.9%

对于批量购买客户，我们可以提供API接入、自助购买开通权限以及更优价格

支持通过Apple ATS认证，支持微信小程序，WebAPP，支持Nginx Apache IIS Tomcat JBoss等服务器环境

支持各种CDN及SLB：阿里云CDN/阿里云SLB/腾讯云CDN/华为云/又拍云/七牛/Ucloud CDN等

如需其他型号/品牌证书报价请联系客服，我们均有渠道特价提供

另有Symantec/GeoTrust/GlobalSign/TrustWave/Thawte/Entrust/RapidSSL/AlphaSSL/Certum等品牌SSL证书，欢迎联系询价

我们从业多年，深知SSL/TLS部署最佳实践

本店安装服务包含以下内容，良心服务仅需100元一次，我们的技术人员会严格遵守步骤，如果您自行安装，也请参考我们的最佳实践步骤：

将SSL证书妥善安装到您的Web服务器（如Apache/Nginx/Tomcat/IIS）和CDN/SLB/网关设备上（包含各种第三方控制面板如cPanel/DirectAdmin/宝塔/AppNode以及各种虚拟主机）
确保证书链完整以达到最佳兼容性（从业数年遇到无数客户安装时缺漏证书链，容易导致移动端设备访问异常）
调整Web服务器使用最佳安全协议，确保安全协议参数可以通过百度站长平台认证、Apple ATS、某信小程序验证（开启TLS 1.2/1.3，关闭SSLv3等存在漏洞的不安全协议）
调整优先使用非对称加密算法（关闭MD5、RC4等存在漏洞的不安全算法）
性能调优，开启HTTP/2协议提高服务器传输性能（如支持），开启OCSP装订减少浏览器验证时间（如支持）
配置HTTP到HTTPS的强制跳转（不推荐开启HSTS，不应当开启HPKP）

关于网站程序的HTTPS兼容调整：

刚安装完证书，容易遇到的一些问题：

浏览器地址栏没有绿锁头（EV型不出公司名），有感叹号，但不会飙红（飙红是证书安装问题，不是程序问题）；网页内容样式错乱或者没有色彩；
问题根本原因：HTTPS网页里调用了HTTP协议的内容（混合内容），导致浏览器认为网页不够安全，拒绝加载一些css和js导致样式错乱
问题解决方法：将网页调用的静态资源链接修改为https协议，浏览器会在Console里报错提示相关的链接。
网站验证码无法加载、无法登录/注册、重定向过多死循环
问题根本原因：网页里的表单POST请求了HTTP页面，经过301跳转之后POST内容丢失
问题解决办法：这种问题有两种情况，一种是程序支持HTTPS，但是站点域名设置为了http开头，修改为https即可；另一种情况就是程序写死HTTP，没有考虑HTTPS，需要通过修改程序解决。
无法接收支付回调，订单付款后系统仍然认为未付款
问题根本原因：传给支付系统的异步回调链接是HTTP的，经过301跳转之后POST内容会丢失，导致回调失败
问题解决办法：修改支付部分逻辑代码，传HTTPS链接；如果不好修改，将回调URL匹配设置取消301跳转

如果由我们代为调试：

不同的程序，对于HTTPS环境的支持不同，我们调试的工时和费用也不同，我们把这些程序简单分个大类：

纯静态单页等，只需要简单修改，不需要购买调试服务
微擎这种新开发且一直在维护的程序，已经考虑到HTTPS兼容，不需要做调试调整，证书只要安装好就可以用，不需要购买调试服务
WordPress等一直在维护的程序，程序和模板基本都支持HTTPS，部分模板需要简单调整，另外需要调整已有文章的调用图片，一般通过数据库批量替换实现。方法都在这里，可以自行解决。如果由我们操作，熟练操作耗时1-2小时，收费30元-50元
dedecms、帝国、杰奇等程序，程序支持HTTPS，但模板大多不支持HTTPS，需要修改模板，熟练操作耗时2-4小时，如果由我们操作，收费50元-80元
一些完全没有考虑HTTPS兼容的多年不更新的古董程序，调试费时费力，建议直接更换程序或者部分链接不使用HTTPS方式访问，如果由我们操作，需要协商价格。

证书签发时效

DV型即时购买即时签发，验证完成后一般5分钟内下发证书

OV企业型/EV扩展型，Comodo品牌正常一周内完成验证，GeoTrust和DigiCert品牌正常一个工作日内完成验证

购买流程

DV型：联系下单-发送域名或CSR-验证域名所有权-签发证书

OV企业型/EV扩展型: 联系下单确认公司信息-发送域名或CSR和公司信息 -验证域名所有权-验证企业资质完成电话验证-签发证书

4.其他

CSR生成方法（默认由我们系统代为生成提交，如需自定义请联系说明）：

在线工具：https://www.chinassl.net/ssltools/generator-csr.html

如果是通配符证书，域名记得要填 *.yourdomain.com，其他参照工具提示填写即可，最后记得勾上发送到邮箱

一定要妥善保存生成的key文件！DV证书公司信息无严格要求，OV/EV证书请如实填写

验证域名所有权的方式：

本产品支持三种验证方式（DNS验证最快捷）:

邮箱验证
DNS记录验证
网站文件验证（HTTP/HTTPS）

邮箱验证最好关闭域名的Whois隐私保护，确保域名管理员邮箱或 admin@yourdomain.com可以收到验证邮件

联系客服，客服发送验证码之后，点击验证邮件内链接，复制验证码到输入框内确认即可

也可以直接把邮件转发给店主邮箱，店主代为验证. 邮箱验证和文件验证方式请告知客服

关于证书格式：

本店生成CSR的，证书默认提供 PEM 和 PKCS#12 (PFX) 两种格式，私钥会提供PKCS#1和PKCS#8两种格式

可直接用于Nginx/Apache/IIS/Tomcat等Web服务器，如需JKS格式Java Keystore文件，请告知客服

其他应用（比如各种CDN/负载均衡SLB/路由器/NAS/防火墙），一般都是用PEM格式证书，但是有全链和非全链的区别，我们均会提供，有任何疑问请咨询客服。

对于客户自行提供CSR的订单，由于没有私钥，我们只能提供 PEM 格式证书，可用于Nginx/Apache，如需IIS PKCS#12 (PFX)格式或JKS格式，需要自行转换或者提供私钥Key文件给客服协助。

通配符SSL证书正规GlobalSign AlphaSSL Wildcard续费申请认证

GlobalSign AlphaSSL WildCard 通配符 DV SSL证书

GlobaSign AlphaSSL通配符这个型号作为一款入门级SSL证书，非常热门，同时也吸引了很多商家贪图小便宜从违规渠道免费获取并销售。如果您有意购买此型号证书，请先仔细阅读下面内容：

违规渠道证书来源：

这种证书来源是某国外主机商免费提供给其服务器用户使用，只允许用在他们的服务器IP段上，放到任何其他服务器中使用属于违规，随时可能因为违规使用而被厂商吊销(2017年已经吊销过几批了，我们的客户就有在其他商家误买该证书后被吊销的情况)，得不到保障，个人网站玩玩可以，请不要用于生产业务！

违规渠道证书特点：

只有一年期的，不提供两年期

因为该主机商只免费提供一年期，两年期证书只有正规渠道商才能获取

到期不能续费只能重新下新订单

正规渠道购买的GlobalSign证书在续费时会自动补齐当前剩余时间，并且额外赠送一个月有效期

验证域名只能通过邮箱方式，不让用DNS TXT解析

他们只提供邮箱方式验证，不能通过DNS TXT和HTTP文件验证，但部分商家会让客户解析MX记录到自建的邮箱系统完成验证。而正规渠道的订单可以提供完整的三种验证方式，其中，正规渠道DNS TXT记录值形为”_globalsign-domain-verification=xxxxxxxx”

无法提供控制面板，不能重签(reissue)

这种证书一旦签出，就没办法管理，当然无法提供控制面板；正规渠道是可以提供管理面板的

如果购买此型号证书，如何保障自己的权益，确保不会买到违规证书：

要求商家提供DNS TXT记录（非MX记录）或者HTTP文件方式来验证域名

正规GlobalSign产品DNS TXT记录值形为”_globalsign-domain-verification=xxxxxxxx”

购买两年期证书，两年期证书基本不会出现违规渠道。

本店只卖正规渠道产品，所有产品都支持一次性购买两年期并享受额外折扣，支持续费旧订单，可以使用Email/DNS/HTTP文件三种方式验证域名所有权，可提供自助管理后台，可以自助管理重签证书！

GlobalSign于1996年在欧洲成立，是世界上最早成立的CA之一，后于2006年被日本GMO集团收购。

国内BAT等互联网企业均大量采用了GlobalSign品牌SSL证书。（百度阿里腾讯官网首页均为GlobalSign证书）

银行对GlobalSign不太感冒，更多采用VeriSign(后被Symantec收购，现又被DigiCert收购)品牌，本店均有售。

GlobalSign是目前唯一一家证书OCSP和CRL服务拥有国内CDN的国外CA，国内访问速度相对其他CA比较快

AlphaSSL是GlobalSign面向个人和小微企业客户的子品牌，只提供低价DV域名验证级别证书

如需GlobalSign自营品牌（非子品牌）证书，请联系咨询

二级根名称为AlphaSSL CA – SHA256 – G2

一级根为GlobalSign Root CA – R1 (1998年RSA-2048，兼容性上优于其他主流CA)

1.证书类型

来源正规代理渠道，非违规渠道，有效期内免费重签，到期可以走续费流程，浏览器兼容率99.9%！

支持通过Apple ATS认证，支持微信小程序，WebAPP，支持Nginx Apache IIS Tomcat等服务器环境

支持各种CDN及SLB：阿里云SLB/阿里云CDN/腾讯云CDN/又拍云CDN/七牛CDN/Ucloud CDN 等

这款是DV通配符证书，可以用在任意二级域名，保护 *.example.com 和 example.com

比如 www.example.com 和 api.example.com 和 mail.example.com等二级域名可以使用同一张证书，节约运维成本！

此证书完美支持IKE应用以及Web应用！兼容性好！

DV验证是目前签发速度最快的安全证书验证类型，OV企业验证和EV扩展验证的验证流程一般需要1-7工作日

本店另有DigiCert/Symantec/GeoTrust/Comodo/Thawte/Entrust/RapidSSL/Certum等品牌SSL证书，欢迎联系询价

2.时效

即时签发，验证完成后一般在5分钟内下发证书

3.购买流程

联系下单-发送域名/CSR-验证域名所有权-签发证书-完成

4.其他

CSR生成方法（默认由我们系统代为生成提交，如需自定义请联系说明）：

在线工具：https://www.chinassl.net/ssltools/generator-csr.html

如果是通配符证书，域名记得要填 *.yourdomain.com，其他参照工具提示填写即可，最后记得勾上发送到邮箱

一定要妥善保存生成的key文件！DV证书公司信息无严格要求，OV/EV证书请如实填写

验证域名所有权的方式：

正规GlobalSign产品均支持三种域名验证方式，均可快速验证

邮箱验证
DNS记录验证（TXT）
网站文件验证

如邮箱验证，请提前关闭域名的Whois隐私保护，确保whois信息中的域名管理员邮箱或 admin@yourdomain.com可以收到验证邮件

admin@不能使用的话可用替代前缀：administrator/postmaster/hostmaster/webmaster

客服发送验证邮件之后，点击验证邮件内链接，审批允许签发即可

也可以直接把邮件转发给我们的邮箱，我们代为验证

如果采用DNS/HTTP文件方式验证，客服会告知详细操作方法。

关于证书格式：

本店生成CSR的，证书默认提供 PEM 和 PKCS#12 (PFX) 两种格式（格式其实都可以自己互相转换，我们即将加入Tomcat JKS格式）

可直接用于Nginx/Apache/IIS等Web服务器，如需Tomcat JKS格式Keystore文件，请告知客服

自己提供CSR的，默认只提供 PEM 格式证书，可用于Nginx/Apache，如需IIS PFX格式，请自行在线转换或者提供私钥Key文件给客服。

关于证书部署：

本店利润微薄，部分证书不包含安装服务（具体请咨询客服），如需部署调试服务，请联系客服咨询费用

附注：

如果有任何证书相关问题（兼容性问题/不出绿锁等），请与客服沟通排查问题出处，大部分的问题都是部署操作有误，请勿直接评分！

如需安装部署调试服务请联系客服咨询费用

本店经营Comodo/Digicert/Symantec/GeoTrust/GlobalSign/Thawte/Entrust/RapidSSL/AlphaSSL/Certum等品牌全系列SSL证书，欢迎联系询价！

https配置 ssl证书安装

Comodo SSL证书申请包安装网站HTTPS域名证书 APP小程序防止劫

品牌
适用于	个人网站、博客
验证方式	域名验证 (DV) – 无需提供证明文件
签发时间	10分钟左右
支持域名	1个全域名
保护域名	www.123.com + 123.com
内部域名	不支持
增加域名	不支持
手机支持	支持
加密等级	低
安全保障	$10,000
浏览器支持	100%
重新签发	无限制、免费
私钥长度	2048+
加密强度	最高至256-bit
网站签章