Sectigo CaaS:重新定义合作伙伴管理与盈利数字证书的方式
SSL/TLS证书市场持续增长,预计2028年将达42亿美元。随着47天有效期TLS证书等短期生命周期逐渐成为新常态,手动管理证书不仅耗时,更难以扩展。Sectigo CaaS助您化挑战为机遇。
专为合作伙伴设计的Sectigo CaaS,赋能自动化证书管理、简化运营流程,为客户提供无缝安全体验。
为何选择Sectigo CaaS?
Sectigo CaaS助您以同等人力管理12倍量级证书。无论服务客户还是内部运维,自动化平台均可消除人为错误、减少停机时间,让团队专注业务增长。
核心优势
客户账户管控
通过无缝ACME账户监管与报告,灵活管理客户证书签发权限,复杂需求简单实现。
弹性扩展业务
随客户规模增长轻松应对SSL/TLS证书需求,高吞吐量设计保障速度与安全。
可预测成本与利润增长
告别单次采购的不确定性,订阅模式提供透明成本规划,助力营收持续增长。
安全合规保障
规避证书过期风险,Sectigo确保所有证书符合最新行业标准(含47天TLS及后量子加密准备)。
无缝系统集成
通过灵活ACME管理API,将订阅与账户管理融入现有系统,随业务需求自由扩展。
极简自动化流程
ACME协议实现高价值低投入:
- 单一API端点管理订阅与ACME账户
- 客户仅需配置ACME客户端
- 告别CSR复制粘贴、人工验证、邮件延迟与年度续订提醒
- 最低IT资源需求
FAQ
概述
通过Sectigo CaaS可以获取域名验证(DV)、组织验证(OV)和扩展验证(EV)证书吗?
DV支持现已可用,OV支持即将推出。Sectigo CaaS目前仅提供DV证书。我们正在实施对OV证书的支持,计划在第二季度交付。
目前,暂无支持EV的计划。
OV验证如何运作?
OV支持将很快添加到CaaS中。组织需要在证书注册前完成预验证,并与正确的域名绑定。一旦组织通过验证,提交OV证书请求后,在完成域名验证时,将签发包含该预验证组织信息(且绑定到所请求证书的域名)的证书。
这将允许在订阅期内,无限量获取包含该预验证组织详细信息的OV证书。
CaaS是否包含通配符证书?
是的,通过CaaS颁发的TLS证书可以包含通配符域名。
我们是按客户订阅销售吗?
这个答案取决于“客户”的含义:
如果客户指ACME客户端,一个订阅可以被多个共享相同外部账户绑定(EAB)信息的ACME账户下的ACME客户端使用。一个ACME客户端可以操作多个ACME账户;但这不适用于典型的命令行ACME客户端。
如果客户指最终客户(您的客户),为每个客户销售一个订阅是合理的。但是,您也可以选择向同一个客户销售多个订阅(如果需要),方法是向其“发放”多个EAB信息。每个EAB信息对应一个需要单独管理的订阅。
一个订阅不应由不同的(最终)客户共享。
对于共享托管Web服务器或云应用服务(我们无法直接控制服务器),其自动化流程是怎样的?
安装和使用ACME客户端需要足够的权限来安装和运行该客户端,以及访问Web服务器或DNS的能力,并且可能需要重启某些服务(如果客户端需要并支持安装)。如果这些前提条件都无法满足,那么CaaS(以及任何ACME CA)都将无法支持。
定价
使用CaaS的费用是多少?
CaaS按年度或多年度订阅定价。使用CaaS的好处在于它不会显著增加当前同等证书的年均成本。
我们根据合作伙伴管理的客户端和证书数量,采用分级定价模式。
DV单域名、多域名和通配符证书的价格是多少?
CaaS提供所有列出的选项。
需要购买域名订阅,按完全限定域名(FQDN)或通配符域名收费。在订阅期内,可以为已订阅的域名请求无限数量的单域名证书、多域名证书(包含通配符证书)。
如果我们有sectigo.com和www.sectigo.com,我们会按两个FQDN收费吗?或者如果我们购买了sectigo.com的订阅,它会覆盖sectigo.com、www.sectigo.com和*.sectigo.com吗?
如果先将 *.sectigo.com添加到订阅,然后再添加sectigo.com,则仅收取通配符域名的费用。www.sectigo.com被通配符域名覆盖。
如果先将sectigo.com添加到订阅,然后再添加www.sectigo.com,则仅收取一个FQDN的费用。
如果我们的客户只有少量证书怎么办?确实,每月左右续订一次会令人头疼,但这取决于订阅成本(包含无限证书但不强制要求)。
即使只有少量证书,手动复制粘贴CSR和手动进行域名验证的任务也是没人喜欢待办清单上的工作。尤其是在证书寿命持续缩短的情况下,例行执行此操作还存在人为错误的风险。我们的价格具有竞争力——请联系我们的合作伙伴销售团队:business@racent.com 获取报价。
技术
CaaS 使用 DNS 认证、HTTP 认证还是电子邮件认证作为认证方法?
ACME 协议提供了几种不同的域名验证方法。Sectigo 在 ACME 中支持基于 DNS 的验证方法(使用 dns-01)和基于 HTTP 的验证方法(使用 http-01)。
ACME 协议不支持基于电子邮件的验证,因无法实现自动化。
部署 SSL 的客户端服务器与贵公司服务器之间需要哪种通信机制?
ACME 客户端与 ACME 服务器之间的通信按照 ACME 协议进行,该协议文档详见:https://datatracker.ietf.org/doc/html/rfc8555。
ACME EAB 信息会过期并需要定期更新吗?
不会过期。ACME EAB 凭证仅在创建 ACME 账户时使用,用于表明您同意将此 ACME 账户绑定到您的 Sectigo 合作伙伴账户,以及您批准该 ACME 账户密钥。
我们提供的 EAB 凭证可以重复使用。如果您的客户拥有多台服务器或多个客户端,他们可以复用这些凭证来创建多个 ACME 账户。这些账户将共享相同的订阅和可以颁发证书的域名。
合规
90 天证书要求何时开始执行——是否有具体日期?
我们目前尚无确切日期。根据苹果公司当前提出的投票提案,证书有效期将在明年(2026 年)缩短至 200 天,2027 年缩短至 100 天,并在 2029 年初缩短至 47 天。虽然不能保证该提案一定通过,但我们确实预计要么此提案通过,要么谷歌和/或苹果公司会在其计划中强制执行新标准。一旦证书寿命的调整方案更加明确且有最终日期,Sectigo 将向其所有客户公布此信息。
浏览器供应商是否说明了他们将如何处理私有证书颁发机构(Private Certificate Authorities),以及对此类证书的限制是什么?
私有 CA 及其证书通常不在这些变更的范围内,但某些信任库运营商(如苹果)历来将私有 TLS 证书的有效期限制为 825 天。当前的 CA/浏览器论坛投票提案完全不涉及私有证书。需要提醒的是,CaaS 涵盖的是公共信任证书(publicly-trusted certificates)。
这是一项强制性变更吗?现有的流程/API 会被取消吗?
现有的 API 和证书配置流程将保持不变。一旦要求缩短证书寿命,Sectigo 系统将强制执行此要求,就像我们之前从 3 年证书过渡到 2 年和 1 年证书时所做的那样。