EV SSL证书申请流程
EV(扩展验证)SSL证书采用最严格的身份认证级别,可提供当今业界最高级别的保证。提供包括组织的身份认证和域名域名的身份认证的加密,这些证书除了认证外还包括企业身份的认证(含企业名称,城市,省份等信息),Digicert只接受通过验证的请求者,此类产品有:
标准的CSR制作方式,是通过WEB服务器上的工具或者命令行,具体可以参见: 如何制作CSR证书申请文件。
还有一个快速制作CSR文件的方法,是通过我们的CSR在线生成工具,请注意保存好产生的KEY和CSR2个文件,如果遗漏了任何一个会导致证书无法使用。
为OV型证书制作CSR文件时,在CSR文件中:公司名称、部门、城市和省份可以使用中文。一般建议使用中文的公司名称申请证书,如果需要用英文的公司名称,需要有DUNS编码或者出具律师信。
STEP.1 制作CSR文件
CSR是Certificate Signing Request的缩写,意思是证书签名请求文件。这是申请SSL证书用户生成的PKI密钥对中公钥部分,这部分提交给CA,由CA审核后签名,就成为证书文件。标准的CSR制作方式,是通过WEB服务器上的工具或者命令行,具体可以参见: 如何制作CSR证书申请文件。
还有一个快速制作CSR文件的方法,是通过我们的CSR在线生成工具,请注意保存好产生的KEY和CSR2个文件,如果遗漏了任何一个会导致证书无法使用。
为OV型证书制作CSR文件时,在CSR文件中:公司名称、部门、城市和省份可以使用中文。一般建议使用中文的公司名称申请证书,如果需要用英文的公司名称,需要有DUNS编码或者出具律师信。
STEP.2 在线提交EV证书申请
STEP.3 EV证书的审核
DCV-域名控制验证
Digicert首先需要验证申请者对申请域名的控制权,验证的方式请参见:DCV-域名控制验证流程
与DV型证书有一点不同,EV型证书在相同的企业对相同的域名做过一次验证后,会取得12月的有效期,在有效期内同一家企业申请相同域名的其他EV证书,可以不需要重新验证。
组织身份认证
组织身份认证是为了确保申请者信息的合法性和准确性,已经企业经营状态是否正常而做的审核。正常情况下,不需要申请组织做响应,如果Digicert发现存在一定问题,会另外联系申请者。审核的信息一般包括:
- 申请证书的主体必须是证书请求所引用的特定司法管辖区(城市,省份,国家/地区)内负责企业或组织注册的政府机构确认的有效实体。
- Digicert将先通过工商局,全国组织机构代码管理中心查询组织提交的名称。如果无法查到,会要求组织提供纸质证明文件。
- 常见的证明文件包括:企业的营业执照,组织机构代码证等。申请者必须确认提交的组织(或企业)的名称与证明文件的上名称完全一致。
- 一般企业可以通过工商在线数据库查询状态信息,事业单位必须提供组织证明文件。
- 不得使用任何简称,缩写。如果需要申请英文的组织名称,则在提供企业营业执照外,还需要提供该企业可以使用该英文名称的有效证明,如DUNS编码等。
- 组织状态必须是有效或者等效状态。任何处于无效/撤销的组织均无法获得SSL证书,并且必须更新其状态。
- 验证组织未出现在组织或组织所在国家/地区的任何黑名单中。
- 验证组织未出现在欺诈和网络钓鱼“不良参与者”列表中。
组织地址认证
EV证书需要验证企业的地址信息,企业的登记地址必须是物理地址,而不是邮局信箱地址,而且必须是组织的有效办公地址。该地址可以是:- 营业执照上的公司地址。
- 企业工商年报上查询到的办公地址。
- 企查查网站上查询到的地址。
- DUNS报告查询到的公司地址。
电话验证
Digicert首先需要通过独立的第三方查询到企业的联系电话,通常包括:
- 企业最新一期工商年报中查询到的号码。
- 通过114(或者116114、118114等)查号服务,可查询到的企业的电话号码。
- 企查查网站查询到的企业联系电话。
- 百度地图中可以查询到的企业电话号码。
确认协议
完成电话验证和域名控制验证后,Digicert将会给EV证书申请人登记的邮箱发送一个确认邮件。申请人需要最后批准这个确认邮件,就可以完成最后的验证了。然后,CA就可以颁发证书了。
文档编写日期:2019年03月25日