SSL证书有效期内重签是否可以更换域名?
很多客户在SSL证书签发后,由于企业因项目调整、域名到期等原因需更换SSL证书域名时,能否通过“重签(Reissue)”直接修改?答案取决于证书类型和颁发机构(CA)政策。以下是关键要点解析:
一、证书类型决定能否更换域名
| 证书类型 | 能否更换域名? | 操作限制 |
|---|---|---|
| 单域名证书 | ❌不可更换 | 仅绑定单一域名(如 racent.com),需重新购买新证书。 |
| 多域名证书 | ✔️可调整域名列表(SAN证书) | - 允许新增/删除/修改域名(需验证所有权) - 域名总数受CA限制(通常100-250个) - 可能产生额外费用, 具体以系统为准 |
| 通配符证书 | ❌不可更换 | 保护主域名及其所有子域名(如 *. racent.com),无法通过重新签发更换主 域名。需重新购买新证书。 |
二、证书颁发机构(CA)政策要点
-
域名修改权限
- 部分CA支持重签时修改多域名证书的域名列表,但需重新验证新增域名所有权。
- 证书的主域名(Common Name)通常不可变更,需重新申请证书。
-
验证要求
- 新增域名需重新完成域名所有权验证(DNS/HTTP/邮箱验证),流程与首次申请一致。
三、操作流程
-
联系CA或供应商
- 确认是否支持重签修改域名,了解费用及限制。
-
提交新CSR(如更换主域名)
- 若需变更主域名,需生成新私钥和CSR(证书签名请求)。
-
验证新域名
- 新增域名需通过CA的验证流程。
-
重新签发并部署
- 获取新证书后,替换旧证书并部署到服务器。
证书重签后注意事项:
- 有效期不变:重签后证书有效期与原证书一致,不会延长。
- 费用问题:新增域名需补差价(如从单域名升级至多域名)。
- 特殊限制:EV证书等需严格审核的类型通常不支持域名修改。
总结:不同证书的更换规则
根据证书类型
| 证书类型 | 能否更换主域名? | 能否修改域名列表? |
|---|---|---|
| 单域名证书 | 否 | 否 |
| 多域名证书 | 否 | 是(需验证) |
| 通配符证书 | 否 | 否 |
操作建议:重签前务必与CA或供应商确认政策细节,避免流程不符导致失败。
根据颁发机构(CA)政策
| CA | 是否可以更换域名 | 可售最长年份 |
|---|---|---|
| 锐安信 | 支持 | 5年 |
| 锐安信Pro | 不支持 | 3年 |
| Digicert系列 | 可以但需手工操作,需说明原因提起申请 | 3年 |
| Geotrust | 可以但需手工操作,需说明原因提起申请 | 3年 |
| CFCA | 不支持 | 1年(国密3年/普通服务器5年) |
| Globalsign | 不支持 | 1年 |
| Certum | 不支持 | 1年 |