多年期证书交付方式说明

一、SSL证书的最长有效天数

根据 CA/Browser Forum（国际证书颁发机构与浏览器联盟）的规定，自 2020年9月1日 起，所有公开信任的SSL证书（包括DV、OV、EV类型）的最长有效期不得超过398天（约13个月）。 无论证书品牌（如DigiCert、Sectigo等）或类型（单域名、多域名、通配符），均需遵守此规则。

背景与例外说明

• 历史政策变化：

  • 2018年前允许颁发最长5年的证书，后逐步缩短至2年、1年。
  • 缩短有效期旨在降低私钥泄露风险，强制定期更新以提升安全性。

• 例外情况：

  • 私有PKI/内部证书：企业自建CA签发的证书不受限制，但仅限内部系统使用。
  • 测试证书：部分测试用途证书可提供更长有效期（需手动信任，不适用于生产环境）。

二、多年证书的交付方式

虽然单张证书有效期不超过398天，但多数证书颁发机构（CA）提供 “多年套餐”（如2年、3年），实际交付流程如下：

1. 购买多年套餐

• 费用支付：一次性支付多年套餐费用（部分CA提供折扣）。
• 首次签发：立即获得有效期398天的第一张证书。

2. 后续证书续签流程

• 自动续签（推荐）：
  • 部分CA在到期前自动重新签发新证书（仍需完成域名验证）。
  • 需登录CA控制台手动提交续签请求，重新验证域名所有权。
• 手动续签：
  • 需登录CA控制台手动提交续签请求，并重新验证域名所有权。

3. 续签流程要点

• 域名验证：每次续签均需重新验证域名控制权（DNS、HTTP文件或邮箱验证）。
• 生成新私钥与CSR：建议每次续签时生成新的私钥和CSR（证书签名请求），避免私钥长期暴露风险。
• 证书替换：将新证书需手动或通过自动化工具（CLM系统）部署到服务器。

4. 实际交付案例

以购买2年证书为例：

• 首次交付：有效期398天的证书（约13个月）。
• 第二年证书交付：第一张证书到期前30天，我司将提醒您完成续签并获取新证书, 更换第二年证书的签发。

提示

• 多年套餐：实为“多年服务订阅”，需每年续签并重新验证。
• 核心目标：通过缩短有效期和强制续签，提升网络安全性。

建议提前规划证书更新流程，避免因过期导致服务中断。

5. 注意事项

• 价格风险：多年套餐续费时可能面临价格调整（如第二年续费时CA涨价）。
• 技术支持：确保多年套餐包含持续的技术支持服务。
• 退款政策：部分CA不提供未使用年限的退款。

三、长期证书管理建议

1. 自动化工具

• 使用锐安信CLM来实现自动续签自动部署。

2. 监控与提醒

• 通过锐安信CLM来监控证书到期时间，避免服务中断。

3. 集中管理平台

• 企业用户建议采用证书自动化运维平台（锐安信CLM），统一管理多张证书。