SSL 憑證申請流程重點
SSL 憑證申請流程通常是:確認網站需求與憑證類型、產生 CSR 與私密金鑰、提交申請資料、完成網域控制權驗證或組織驗證、取得憑證檔案、安裝到主機或雲端服務、最後測試 HTTPS 是否正常。若是企業、機關或需要組織驗證的網站,申請時還要準備登記證明文件、申請書、契約條款與用印正本;若只是一般官網、品牌網站或電商網站,則應先確認要申請 DV、OV 或 EV 憑證,再比較 SSL 憑證費用、簽發速度、保固、支援服務與瀏覽器信任狀態。
SSL 憑證是什麼
SSL 與 TLS 的關係
SSL 憑證是什麼?SSL 憑證是安裝在網站伺服器上的數位憑證,用來證明網站身分,並讓瀏覽器與伺服器之間的資料傳輸加密。雖然多數人仍習慣稱為 SSL 憑證,但現行主流技術實際上多為 TLS,因此在正式文件、憑證中心或機關流程中,也常看到 TLS 憑證申請這個說法。
TLS/SSL 憑證可讓網站網址從 HTTP 改為 HTTPS。當使用者登入會員、填寫表單、輸入信用卡資料、傳送訂單或查詢個資時,憑證可協助降低資料在傳輸過程中遭竊聽或竄改的風險。對網站經營者而言,HTTPS 也是 Google 搜尋體驗、瀏覽器安全提示、電商交易信任與資安合規的重要基礎。
SSL 憑證的主要功能
SSL 憑證主要有三個功能:第一是加密傳輸,避免資料以明文方式在網路中流動;第二是身分識別,讓使用者確認自己連到的是正確網站;第三是資料完整性,降低傳輸內容被中途修改的可能。若網站沒有安裝有效憑證,瀏覽器可能顯示「不安全」、「連線不是私人連線」等警示,導致訪客跳出、表單轉換率下降,也可能影響品牌可信度。
申請前要先確認的事項
確認網域與 DNS 狀態
申請 SSL 憑證前,務必確認網域已完成註冊、DNS 可正常解析,並且網站可從外部網路連線。依照國際規範,憑證簽發前必須確認申請者對網域具備控制權,因此不支援無法從外部連線驗證的網域。若公司防火牆、WAF 或主機設定阻擋驗證機制,可能導致 Email 驗證、HTTP 檔案驗證或 DNS CNAME 驗證失敗。
若申請的是內部系統或內網服務,流程與公開網站可能不同。部分機關或組織會使用內網 TLS 憑證申請流程,並由網路管理員依照內網憑證安裝說明,將相關根憑證與中繼憑證設定為可信賴。若是對外公開網站,則應選擇受主流瀏覽器信任的公開憑證。
確認網站使用情境
不同網站適合不同 SSL 憑證。個人部落格、活動頁、形象網站通常可使用 DV 憑證;公司官網、B2B 服務、會員系統建議考慮 OV 憑證;若是金融、保險、大型電商或高度重視組織識別的服務,則可評估 EV 憑證。若同一張憑證要保護多個子網域,則要確認是否需要 Wildcard 萬用憑證;若要保護多個不同網域,則需評估 SAN 多網域憑證。
SSL 憑證類型比較
常見 SSL 憑證比較表
| 憑證類型 | 驗證內容 | 適合對象 | 簽發速度 | 常見費用型態 | 注意事項 |
|---|---|---|---|---|---|
| DV 網域驗證憑證 | 驗證網域控制權 | 部落格、形象網站、一般官網 | 通常較快 | 可付費,也可能有 SSL 憑證免費方案 | 不驗證公司實體資料 |
| OV 組織驗證憑證 | 驗證網域與組織資料 | 公司官網、會員網站、B2B 服務 | 較 DV 久 | 通常為付費 | 需提供登記證明或組織文件 |
| EV 延伸驗證憑證 | 嚴格驗證組織合法性 | 金融、保險、大型品牌、重要交易網站 | 通常較久 | 費用通常較高 | 審核文件與聯絡驗證較嚴格 |
| Wildcard 萬用憑證 | 保護同一主網域下多個子網域 | 有多個子系統的網站 | 依驗證類型而定 | 通常高於單一網域 | 通常格式如 *.example.com |
| SAN 多網域憑證 | 一張憑證保護多個網域 | 多品牌、多站台企業 | 依網域數與驗證類型而定 | 依網域數增加 | 需逐一完成網域驗證 |
SSL 憑證購買與費用評估
SSL 憑證購買時要看什麼
SSL 憑證購買不能只看價格,還要確認憑證品牌、瀏覽器相容性、簽發速度、驗證支援、安裝協助、續約提醒、保固金額與客服管道。若網站由主機商代管,通常可請空間廠商協助產生 CSR 與安裝憑證;若網站部署在雲端、CDN、負載平衡器或 Kubernetes 環境,則需確認憑證格式、私鑰保存方式與自動續約機制。
若是企業或機關申請,建議先建立內部流程:由技術人員負責 CSR 與 DNS 驗證,由行政或法務窗口準備登記文件、申請書與用印資料,由資訊安全或系統管理人員完成安裝與到期管理。這樣可降低因資料不符、未用印、驗證逾期或憑證過期造成的服務中斷。
SSL 憑證費用的影響因素
SSL 憑證費用通常受憑證類型、保護網域數、驗證等級、有效期間、品牌與服務內容影響。DV 憑證費用通常較低,OV 與 EV 因審核組織資料,費用較高;Wildcard 憑證因可保護多個子網域,價格也通常高於單一網域憑證。若透過經銷商或主機商購買,費用可能包含代申請、代安裝、續約提醒與技術支援。
SSL 憑證免費方案適合預算有限、技術人員能自行維護、網站風險較低的情境。例如部分自動化憑證服務可免費核發 DV 憑證,但通常有效期較短,需要定期自動續約。若網站是交易平台、企業入口、政府機關網站或需人工審核文件的服務,付費憑證與專人支援可能更符合營運需求。
SSL 憑證教學:完整申請步驟
Step 1:選擇憑證與服務商
第一步是選擇憑證類型與服務商。你可以透過憑證中心、SSL 經銷商、主機商、雲端平台或 CDN 服務購買。選擇前應確認網站是否只需要單一網域,或需要萬用網域、多網域;也要確認是否要 DV、OV 或 EV 驗證。若是中華電信憑證申請或其他國內憑證服務,應先查看官方公告、適用對象、申請流程、瀏覽器信任政策與文件要求。
Step 2:產生 CSR 與私密金鑰
CSR 是 Certificate Signing Request,中文常稱憑證簽署請求。申請人需要在伺服器、主機控制台、雲端平台或憑證工具中產生 CSR 與私密金鑰。CSR 內容通常包含網域名稱、組織名稱、所在地區、國家代碼、聯絡資訊等。
上傳 CSR 及相關申請資訊時,資料必須與申請同意書或申請書內容相符;若填寫數字內容,建議採用阿拉伯數字方式填寫,以避免系統比對或人工審核時出現不一致。私密金鑰不可外流,也不應以電子郵件任意傳送,因為私鑰一旦被取得,憑證安全性就可能受影響。
Step 3:提交憑證申請
完成 CSR 後,就可以在憑證服務商網站上提交申請。一般流程會要求填寫網域、CSR、技術聯絡人、行政聯絡人、公司或機關資料、發票或付款資訊。若是企業或機關憑證,還可能需要上傳登記證明文件、申請同意書、契約條款或其他補充資料。
部分流程在上傳申請資料並成功取得申請書單號後,技術聯絡人電子信箱會收到「SSL 憑證購買申請書」或「TLS 憑證購買申請書」。申請單位通常需列印申請書,並蓋上與登記證明文件吻合的大、小章;相關契約條款也可能需要用印。若憑證中心要求紙本正本,則需依規定掛號寄回。若流程要求傳真或 Email 送件,應使用官方指定管道,例如依服務商公告提供的傳真號碼或服務信箱辦理。
Step 4:完成網域控制權驗證
憑證機構在簽發前必須確認申請人對網域有控制權。常見驗證方式包含 Email 驗證、HTTP 檔案驗證、DNS CNAME 驗證、DNS TXT 驗證或 META 驗證。申請人只要選擇其中一種可執行的方式,並依指示完成設定即可。
Email 驗證會寄信到網域管理員或指定信箱;HTTP 驗證通常要求把特定檔案放到網站指定路徑;DNS 驗證則是在 DNS 管理後台新增指定記錄。若網站使用 CDN、反向代理或多台主機,HTTP 驗證要特別確認外部存取到的是正確檔案;若使用 DNS 驗證,則要等待 DNS 傳播時間,並確認沒有填錯主機名稱或記錄值。
Step 5:完成 OV 或 EV 組織驗證
若申請 OV 或 EV 憑證,除了網域驗證,憑證機構還會審核組織資料。審核內容可能包含公司登記資料、機關證明文件、組織名稱、地址、電話、聯絡人授權與用印文件。申請資料必須與登記證明文件一致,尤其是公司名稱、統一編號、地址、電話與聯絡人資料。
若資料不一致,憑證機構可能要求補件或重新送件。為避免延誤,建議在送出前先由行政與資訊人員共同檢查:CSR 內容、申請書、登記文件、用印名稱、聯絡信箱、網域 WHOIS 或 DNS 設定是否一致。
Step 6:取得憑證並安裝
通過驗證後,憑證服務商會核發憑證檔案,常見格式包含 CRT、CER、PEM、P7B,也可能提供中繼憑證或憑證鏈。安裝時需把伺服器憑證、中繼憑證與私密金鑰正確配置在 Apache、Nginx、IIS、Tomcat、Plesk、cPanel、雲端負載平衡器或 CDN 平台。
安裝完成後,應測試 HTTPS 是否能正常連線,並確認憑證鏈完整、網域名稱正確、到期日正確、TLS 版本符合安全要求。若出現「憑證不受信任」或「憑證名稱不符」,常見原因是中繼憑證未安裝、私鑰不匹配、CSR 申請網域錯誤或伺服器仍使用舊憑證。
SSL 憑證驗證方式比較
驗證方式分析表
| 驗證方式 | 操作方式 | 優點 | 常見失敗原因 | 適合情境 |
|---|---|---|---|---|
| Email 驗證 | 點擊驗證信中的確認連結 | 操作簡單 | 信箱不存在、信件被擋、收件人無權限 | 網域管理信箱明確的網站 |
| HTTP 檔案驗證 | 上傳指定檔案到網站指定路徑 | 不需改 DNS | 防火牆阻擋、CDN 快取、路徑錯誤 | 可控制網站檔案的網站 |
| DNS CNAME 驗證 | 新增指定 CNAME 記錄 | 適合無法放檔案的系統 | DNS 傳播未完成、記錄值錯誤 | 使用雲端、CDN 或多主機環境 |
| DNS TXT 驗證 | 新增指定 TXT 記錄 | 彈性高、常用於自動化 | 主機名稱填錯、舊記錄干擾 | 技術人員可管理 DNS 的網站 |
| META 驗證 | 在網頁加入指定 META 標籤 | 不一定需上傳檔案 | 網頁快取、標籤位置錯誤 | 可修改首頁 HTML 的網站 |
| OV/EV 組織驗證 | 提交組織文件並配合審核 | 提升組織可信度 | 文件不符、用印不符、電話無法確認 | 企業、機關、金融與電商網站 |
中華電信憑證申請與瀏覽器信任注意事項
申請前應確認官方公告
若你正在評估中華電信憑證申請,應先確認目前官方服務範圍、憑證類型、申請入口、審核文件與瀏覽器信任政策。依公開公告資訊,Chrome 信任政策曾針對特定日期後由中華電信簽發的新憑證進行調整;通常在調整日期前已簽發的憑證,仍可依原有效期使用,但新申請或續約時應特別確認是否會影響 Chrome、Edge、Safari、Firefox 等主要瀏覽器的信任狀態。
對企業與機關而言,TLS 憑證申請不只是取得一張憑證,更涉及使用者瀏覽器是否信任、內外網服務是否可連線、憑證鏈是否正確、根憑證是否已部署,以及到期前是否能順利續約。若是內網 TLS 憑證,還要依內部規範將根憑證與中繼憑證設為可信賴;若是公開網站,則應使用主流瀏覽器預設信任的公開憑證。
文件與用印要求
企業或機關申請 SSL/TLS 憑證時,常見要求包含申請書、登記證明文件、契約條款、技術聯絡人資料與用印正本。申請書內容應與登記文件一致,用印章別也要與證明文件吻合。若系統產生申請書單號,應妥善保存,方便後續查詢審核進度或補件。
若憑證服務商要求將文件傳真、Email 寄送或掛號寄回正本,應依官方指定方式辦理。送件前建議再次檢查:網域名稱是否正確、公司名稱是否完整、統一編號是否正確、技術聯絡人信箱是否可收信、CSR 是否與私鑰配對、申請類別是否選對。
安裝後的檢查與維護
HTTPS 測試重點
憑證安裝後,不代表流程結束。網站管理者應檢查 HTTP 是否正確導向 HTTPS、憑證鏈是否完整、TLS 1.0 與 TLS 1.1 等舊版協定是否停用、是否支援現行安全加密套件,以及混合內容問題是否排除。混合內容是指 HTTPS 頁面中仍載入 HTTP 圖片、CSS、JavaScript 或 API,可能造成瀏覽器警示或功能異常。
如果網站有多個子網域,例如 www、api、admin、shop,應逐一確認是否都在憑證保護範圍內。若使用 Wildcard 憑證,需注意它通常只保護同一層級子網域;例如 *.example.com 可保護 www.example.com,但不一定保護 a.b.example.com。
到期管理與續約
SSL 憑證有有效期限,到期後網站會出現安全警告。企業應建立到期提醒機制,至少在到期前 30 天至 60 天確認續約流程。若使用免費自動化憑證,應定期檢查自動續約是否成功;若使用付費 OV 或 EV 憑證,應預留組織審核與文件補件時間。
續約不應等同於「自動延長」,許多憑證仍需要重新完成網域驗證或組織驗證。若公司名稱、登記地址、網域管理權或 DNS 服務商有變更,更要提前處理,避免憑證到期當天才發現無法驗證。
SSL 憑證免費與付費憑證怎麼選
免費憑證適合的情境
SSL 憑證免費方案適合技術能力足夠、可接受較短有效期、網站風險較低,且不需要人工組織驗證的情境。常見用途包含個人網站、測試站、內容型網站或小型專案。免費憑證的優點是成本低、可自動化部署;缺點是通常只提供 DV 驗證,若自動續約失敗,網站可能突然出現憑證過期警告。
付費憑證適合的情境
付費憑證適合需要品牌信任、客服支援、文件審核、保固服務或企業級管理的網站。若網站涉及會員個資、金流交易、企業客戶登入、機關服務或正式營運系統,建議評估 OV 或 EV 憑證,以及是否需要專人協助申請、安裝與續約。付費不一定代表加密強度更高,但通常代表驗證層級、支援服務與管理機制更完整。
結論
SSL 憑證申請的核心不只是把網站改成 HTTPS,而是建立可信、安全、可維護的網站連線機制。完整流程包含選擇憑證、產生 CSR、提交申請、完成網域驗證、配合組織審核、下載憑證、安裝設定與定期續約。若是一般網站,可從 DV 憑證或 SSL 憑證免費方案開始;若是企業、電商、機關或高信任需求網站,則應評估 OV、EV、Wildcard 或 SAN 憑證,並把 SSL 憑證費用、瀏覽器信任、文件審核與技術支援納入決策。
進行中華電信憑證申請或 TLS 憑證申請時,務必以官方最新公告為準,確認憑證是否適用公開網站、是否受主要瀏覽器信任,以及文件、用印、根憑證與中繼憑證安裝要求。依照本篇 SSL 憑證教學逐步檢查,可降低申請失敗、驗證延誤、安裝錯誤與憑證過期風險,讓網站長期維持安全且可信賴的 HTTPS 連線。
常見問題
1. SSL 憑證和 TLS 憑證一樣嗎?
日常用語中常稱 SSL 憑證,但現行安全連線多使用 TLS 技術,因此 SSL 憑證與 TLS 憑證常被混用。正式申請文件可能寫作 TLS 憑證、SSL 伺服器憑證或 TLS/SSL 憑證。
2. 申請 SSL 憑證一定要 CSR 嗎?
大多數憑證申請都需要 CSR。CSR 由伺服器或憑證管理工具產生,並需搭配私密金鑰使用。私密金鑰必須妥善保存,不可公開。
3. SSL 憑證申請需要多久?
DV 憑證若驗證順利,通常較快完成;OV 與 EV 憑證因需審核組織文件,時間較長。實際時間取決於文件完整度、網域驗證速度與憑證機構審核流程。
4. 為什麼網域驗證會失敗?
常見原因包括 DNS 尚未生效、驗證檔案路徑錯誤、CDN 快取、網站無法從外部連線、防火牆阻擋、Email 驗證信未收到或網域填寫錯誤。
5. SSL 憑證免費可以用在正式網站嗎?
可以,但需確認網站需求。免費憑證多為 DV 驗證,適合一般網站;若需要組織身分驗證、企業支援或較完整管理機制,建議評估付費憑證。
6. 付費 SSL 憑證加密比較安全嗎?
不一定。加密安全性主要與 TLS 設定、伺服器配置與演算法有關。付費憑證的差異通常在驗證等級、品牌信任、保固、客服與企業管理服務。
7. OV 與 EV 憑證需要準備哪些文件?
通常需要公司或機關登記證明文件、申請書、契約條款、聯絡人資料與用印文件。不同憑證機構要求不同,應依官方流程準備。
8. 憑證安裝後還要做什麼?
應檢查 HTTPS 導向、憑證鏈、到期日、TLS 版本、混合內容、各子網域憑證是否正確,以及是否建立續約提醒。
9. 中華電信憑證申請要注意什麼?
應確認官方最新公告、申請入口、適用對象、文件要求、根憑證與中繼憑證安裝方式,以及主要瀏覽器的信任政策。公開網站尤其要確認使用者瀏覽器是否會信任該憑證。
10. SSL 憑證過期會怎樣?
憑證過期後,瀏覽器會顯示安全警告,使用者可能無法正常進入網站,表單提交、會員登入與交易流程也可能受到影響。建議到期前 30 天至 60 天開始續約。