证书周期缩短与自动化应对

背景

CA/Browser Forum 已通过投票决议（SC-081），将逐步缩短 SSL 证书的最长有效期：

生效时间	最长有效期	最长 DCV 复用期
当前	398 天	398 天
2026 年 3 月 15 日	200 天	200 天
2027 年 3 月 15 日	100 天	100 天
2029 年 3 月 15 日	47 天	10 天

这意味着：

• 到 2029 年，证书每 47 天就需要更换一次，一年至少操作 8 次
• DCV（域名控制验证）复用期缩短到 10 天，几乎每次续签都需要重新验证域名

手动管理将不再可行，自动化是唯一的出路。

自动化方案

应对证书周期缩短，需要解决两个核心问题：

1. 自动签发——域名验证自动完成，证书到期前自动续签
2. 自动部署——新证书签发后自动部署到服务器，无需人工介入

自动化流程分为两条路径，根据续签模式选择其一：

路径 1：服务端重签

证书到期前
  → 服务端自动发起重签
  → 域名委托自动完成 DNS 验证
  → CA 签发新证书
  → 部署工具拉取并更新证书
  → 重载 Web 服务器
  → 完成 ✓

路径 2：本机提交

首次部署
  → 一键部署完成后切换「本机提交」模式
证书到期前
  → 部署工具本地生成私钥与 CSR
  → 部署工具提交 CSR 并完成验证（文件验证 / 域名委托）
  → CA 签发新证书
  → 部署工具拉取并更新证书
  → 重载 Web 服务器
  → 完成 ✓

两条路径均无需人工参与，一次配置即可持续运行。

第一步：配置自动签发

自动签发的关键是让平台能够自动完成域名验证。根据验证方式不同，有两种方案：

域名委托（DNS 验证）

适用于所有域名证书类型，包括通配符证书。

配置方式：在 DNS 中添加一条 CNAME 记录，将 CA 验证主机名指向平台托管域名。配置一次后，平台在每次续签时自动写入验证值，CA 自动完成验证。

不同 CA 使用的验证主机记录前缀不同，请根据订单所用 CA 添加对应的 CNAME 记录：

CA	主机记录前缀
DigiCert	_dnsauth
Sectigo	_pki-validation
Certum	_certum

提示

具体前缀以订单详情中的提示为准。如果使用通配符证书（*.example.com），主机记录填写对应前缀即可，不需要加 *。

详细配置方法参见 自动化验证。

文件验证（由自动部署工具生成验证文件）

适用于标准域名和IP证书（不适用通配符）。

配置方式：在服务器安装自动部署工具后，工具会在签发/续签时自动将 CA 所需的验证文件写入站点根目录，CA 访问验证路径即可完成验证。

详细说明参见 自动化验证。

如何选择

场景	推荐方案
通配符证书（*.example.com）	域名委托
标准域名证书，服务器已部署自动部署工具	域名委托 / 文件验证
无法在服务器运行工具	域名委托
无法修改 DNS 记录	文件验证

第二步：配置自动部署

证书签发后需要自动部署到服务器。在证书详情页的「一键部署」中根据服务器环境选择对应的工具，复制安装命令与一键部署命令到服务器执行即可：

服务器环境	工具	详细文档
宝塔面板	sslbt	宝塔面板自动部署
Linux Nginx / Apache	sslctl	Nginx / Apache 自动部署
Windows IIS	sslctlw	IIS 自动部署

工具安装完成后会自动安装守护服务（或计划任务），定时检查证书状态并自动续签部署。

配置完成后

当自动签发和自动部署都配置好之后：

• 平台在证书到期前 14 天自动发起续签
• 域名委托 / 自动部署工具自动完成域名验证
• CA 签发新证书
• 部署工具自动拉取新证书并部署到服务器
• Web 服务器自动重载，新证书立即生效

无论证书有效期是 398 天、100 天还是 47 天，自动化流程都能可靠运行，无需任何人工干预。

常见问题

现在就需要配置吗？

建议尽早配置。

已经购买了多年期证书怎么办？

多年期证书通过重签实现续期，每次证书到期都要重新验证和签发。配置自动化后，续签会自动完成。

自动化会影响证书安全吗？

不会。自动化只是替代了手动操作，证书的签发标准和验证流程不变。使用本机提交模式时，私钥始终保留在服务器本地，安全性更高。

47 天有效期后需要做什么特别配置吗？

不需要。自动化流程会根据证书有效期自动调整续签时间，无需额外配置。只要域名委托和自动部署工具正常运行，一切都会自动处理。