申请证书

适用场景

你已经添加云账户和域名，希望申请普通域名证书、通配符证书或多域名 SAN 证书。

青桔ssl 第一阶段统一使用 DNS-01 验证。系统会根据你填写的域名标识执行预检查，确认品牌能力、DNS 能力和托管 DNS-01 配置是否满足签发条件。

前置条件

• 已完成 添加云账户。
• 已完成 添加域名。
• 证书额度充足。
• 域名没有被错误解析或锁定。
• 证书品牌已启用，并且支持你要申请的能力，例如通配符或多域名 SAN。
• 对应 DNS 云账户可以写入 _acme-challenge TXT 记录。

操作步骤

1. 打开 证书申请。

2. 选择证书品牌。

   如果你要申请通配符证书，确认品牌卡片或预检查结果里显示支持泛域名。如果品牌不支持，换一个已启用的证书品牌。

3. 填写域名标识。

   常见填写方式：

   • 普通单域名：example.com
   • 带 www 域名：www.example.com
   • 通配符域名：*.example.com
   • 同时覆盖根域名和通配符：example.com 与 *.example.com
   • 多域名 SAN：按页面提示输入多个域名标识

   不要输入协议、路径、端口或空格，例如 https://example.com、example.com/login 都不是有效证书域名标识。

4. 选择证书配置。

   私钥算法按你的兼容性要求选择。首次申请建议保持默认配置。自动续期开启后，后续签发成功的证书会进入续期管理。

5. 点击 执行预检查。

   重点查看这些信息：

   • 匹配状态：域名是否已经匹配到 DNS 能力。
   • 验证方式：是云 DNS 还是托管 DNS-01。
   • 云账户：是否是你预期的 DNS 账户。
   • 说明：未匹配时页面会提示原因。

6. 如果出现托管 DNS-01 提示，按页面生成 CNAME 并检查解析。

   托管 DNS-01 适合无法直接管理用户域名 DNS 的场景。你需要在自己的 DNS 服务商添加一次 CNAME，后续 TXT 记录由平台托管。

7. 预检查通过后，点击 创建证书申请。

   创建成功后，系统会自动写入 DNS-01 验证记录、等待解析生效并发起签发。

8. 回到证书列表或证书详情查看签发进度。

验证结果

签发成功后，你应该能确认：

• 证书状态进入已签发或可用状态。
• 证书详情显示正确的域名列表、证书品牌和有效期。
• 当前版本已经生成，可以查看证书链和私钥相关操作。
• 如果开启自动续期，证书会进入后续续期管理。
• 如果要部署到云产品或服务器，证书详情和自动部署页面可以选择这张证书。

DNS-01 验证通常需要等待解析同步。即使青桔ssl 已经写入 TXT 记录，公共递归 DNS 也可能需要一点时间才能读到新值。

常见失败

• DNS 验证记录未生效，签发任务会等待或失败。
• 云账户没有权限写入 _acme-challenge TXT 记录。
• 多个根域名混在同一张证书里，托管验证无法一次覆盖。
• 证书额度不足，无法提交新的申请。
• 品牌不支持通配符或多域名 SAN，预检查会提示能力不匹配。
• 域名没有添加到域名管理，或添加到了错误云账户下。
• 根域名和通配符覆盖关系理解错误，例如 *.example.com 不能覆盖 a.b.example.com。
• DNS 服务商已有旧的 _acme-challenge 冲突记录，导致 ACME 服务读取到错误值。

排查时先看预检查表格。预检查都无法通过时，不要反复提交申请；先修正域名、云账户或品牌能力。

下一步

如果证书需要同步到 CDN、对象存储、负载均衡或服务器，继续阅读 常见自动部署。