FAQ
回答青桔ssl 新用户最常见的证书申请和自动部署问题。
适用场景
你想快速确认青桔ssl 的能力边界,或在正式接入前了解常见限制。
这篇 FAQ 适合在开始配置前快速扫一遍,也适合遇到概念不清时回查。
前置条件
- 已了解基本 SSL 证书、域名和 DNS 概念。
- 准备根据答案跳转到对应教程继续操作。
- 已经知道自己的域名当前托管在哪个 DNS 服务商,或准备先去确认。
操作步骤
- 先确认你的域名是否可以通过 DNS-01 验证。
- 再确认云账户是否能管理该域名的 DNS 记录。
- 如果要自动部署,确认目标云产品或服务器是否在支持范围内。
- 遇到具体失败时,回到对应教程或 常见错误 按阶段排查。
验证结果
如果 FAQ 中的问题能匹配你的场景,按答案中的链接继续操作。不能匹配时,优先从快速开始重新检查前置条件。
常见失败
- 以为域名注册商就是 DNS 托管商,实际 DNS 在另一个平台。
- 以为通配符证书覆盖所有层级,实际只覆盖一个子域层级。
- 以为部署目标保存后立即生效,实际需要执行部署或等待续签触发。
- 以为云账户只要能登录云控制台就够了,实际 API Token 还需要明确权限。
- 以为证书签发成功就等于线上已更新,实际还需要部署到对应资源。
下一步
继续阅读 快速开始,按顺序完成第一张证书申请。
常见问题
是否支持通配符证书?
支持。通配符证书使用 DNS-01 验证,适合覆盖同一根域名下的一层子域名。
例如 *.example.com 可以覆盖 www.example.com、api.example.com,但不能覆盖 a.b.example.com。如果要覆盖更深层级,需要申请对应层级的通配符证书,例如 *.b.example.com。
没有完整托管 DNS 可以申请吗?
可以,但自动化程度取决于你的 DNS 管理权限。
如果青桔ssl 不能直接管理你的 DNS 区域,证书申请页可能会提示托管 DNS-01。你需要按页面生成 CNAME,并在自己的 DNS 服务商添加一次记录。之后平台可以通过托管域名写入 TXT 记录,减少每次手动配置。
如果既不能添加云账户,也不能添加托管 CNAME,就无法稳定完成自动 DNS-01。
自动部署会直接修改服务器配置吗?
服务器 Agent 会按部署任务写入证书文件,并在配置检查通过后重载服务。
如果 Nginx 配置测试失败,系统不会强制重载服务。这样可以避免因为证书路径、权限或配置语法问题导致线上站点不可用。
续签失败会影响已有证书吗?
续签失败不会立即删除正在使用的旧证书,但你需要尽快处理失败原因,避免证书过期。
建议开启证书监控或通知能力,让临期、续签失败、部署失败等事件尽早暴露。
云账户凭据会用来做什么?
DNS 云账户主要用于读取 DNS 区域、写入 _acme-challenge TXT 记录,以及在验证结束后清理相关记录。证书部署云账户用于读取云资源、上传证书、绑定证书或更新资源配置。
建议使用最小权限子账号或 API Token,并定期轮换密钥。
域名管理里应该添加 *.example.com 吗?
通常不需要。
域名管理里建议添加 DNS 区域,例如 example.com。通配符域名 *.example.com 应该在证书申请页的“域名标识”中填写。
证书签发成功后,线上站点为什么还是旧证书?
证书签发只代表青桔ssl 已经拿到新证书,不代表它已经部署到你的 CDN、负载均衡或服务器。
你需要在 自动部署 创建部署目标,选择“保存并部署”,或开启续期自动部署。部署成功后,再从云产品控制台或浏览器证书信息里确认线上证书已更新。
一个证书可以部署到多个地方吗?
可以。只要目标域名被证书覆盖,就可以为同一张证书创建多个部署目标,例如同时部署到 CDN 和负载均衡。
需要注意的是,同一个部署域名不要重复创建相同目标,否则系统会阻止重复配置。
DNS 记录已经写入,为什么签发还在等待?
DNS 记录写入后,还需要等待递归 DNS 同步。不同服务商、不同地区的同步速度不一致。
如果等待较久仍失败,检查 _acme-challenge 是否写在正确 DNS 区域、TXT 值是否冲突、云账户是否写到了旧 DNS 服务商。
我应该先配置自动部署还是先申请证书?
建议先申请证书,再配置自动部署。
第一张证书签发成功后,你可以清楚看到证书覆盖了哪些域名,也更容易在自动部署候选列表里判断哪些云资源可以被这张证书覆盖。
最后编辑于