常见问题问答(FAQ)

如下左图所示，SSL证书一般至少有3级证书链(证书路径)，最上面一级为顶级根证书，如图中的Sectigo，一般显示顶级根证书CA的名称或者根证书的通用名称，顶级根证书会预置在浏览器中默认信任。显示在第二级的根证书为中级根证书(Intermediate CA, 或Sub CA 或 Issuing CA)，也有的称之为“中间证书”，而最下面的一级为用户证书。为了保护顶级根密钥的安全，顶级根证书都是离线安全保存的，仅用于签发中级根证书，而中级根证书则是在线用于签发用户证书，所以又称之为“签发CA证书”。中级根证书主题信息中一般都含有证书签发者的单位名称(O字段)、国家(C字段)和中级根证书名称等信息，如下右图所示为CerSign EV SSL证书中级根证书签发的EV SSL证书，显示颁发者为CN字段信息。

浏览器在验证网站部署的SSL可信后，不仅会显示加密锁标识，而且还会显示此证书由哪个机构签发，如下左图所示，谷歌浏览器会显示证书由CerSign EV SSL CA签发，中图为火狐浏览器显示此证书验证者为CerSign Technology Limited，右图为微软Edge浏览器显示此网站具有由受信任的机构颁发的有效证书。

SSL证书根据身份验证类型不同分为DV SSL证书、OV SSL证书和EV SSL证书等三种证书类型，其中DV SSL证书只验证域名所有权，可以实现全自动验证并快速签发证书，所以可以做到免费或者低价。但是，此类证书的签发并没有验证网站主办方的真实身份，部署了DV SSL证书只能证明从浏览器到服务器的连接是加密的，并不能证明网站上声称的单位名称的确是真实的。而OV SSL证书不仅会验证域名所有权，而且会验证网站主的真实身份，不能能起到加密的作用，而且还能起到证明网站主的真实身份的作用。而EV SSL证书则是在OV SSL证书的基础上增加了其他身份验证，让网站身份更加可信。

由于SSL证书根据身份验证强度不同而有三种不同的类型，所以签发这三种不同类型的SSL证书也就需要三个不同的中级根证书来分开签发，这样就可以让网站用户和其他相关方能准确地识别不同类型的SSL证书。这三种不同类型的中级根证书和用户证书依据证书策略中含有不同的策略OID来区分，与中级根证书叫什么名字没有关系，EV SSL证书的策略OID为：2.23.140.1.1, OV SSL证书的策略OID为：2.23.140.1.2.2, DV SSL证书的策略OID为：2.23.140.1.2.1，如下图所示。

如果您公司定制了SSL中级根证书，则中级根证书中的主题信息中的O字段会显示您公司的公司名称，可以是中文或者英文，如果您公司仅做中国市场，则建议采用中文名称，方便用户识别和品牌推广。CN字段会显示中级根证书的名称，如某某品牌EV SSL CA，当然如果您希望叫其他名称，也可以，但是需要我们审核是否符合相关国际标准对中级根证书名称的规定。还有一个是国家字段C=CN，如果公司是中国注册，则只能显示C=CN。

如下图所示，第一个图为用户证书显示效果，后面的三个图分别是EV SSL证书、OV SSL证书和DV SSL证书的证书链显示效果。

强烈推荐定制中级根证书用户都定制3个中级根证书用于签发三种不同类型的SSL证书，如果只希望定制一个，则推荐定制DV SSL证书中级根，因为选购DV SSL证书用户最多，如果用户需要选购OV SSL证书和EV SSL证书则用户证书将从证签OV SSL中级根证书和EV SSL中级根证书签发。

定制SSL证书中级根证书需要签订合同，确定各种定制信息，在收到定制费后两个月内完成定制，最快一个月搞定。

证签技术充分利用同Sectigo长达15年的友好合作关系低价批发了一批定制中级根证书产品，并以批发成本价为用户提供定制中级根证书服务，价格超低实惠，为一次性定制费用，不收取年服务费。

从用户定制中级根证书签发的每张SSL证书享受批发价，保证定制用户能有足够的盈利空间。完成中级根证书定制和从定制中级根签发测试证书后，用户需支付预付款用于结算从定制中级根证书签发用户证书的费用。收到预付款后就可以开通账户开始签发自己品牌的SSL证书了。预祝各位定制用户成功！