即将作出的更改

compliance fix new enhancement
new

DigiCert replacing multiple intermediate CA certificates

On November 2, 2020, DigiCert is replacing another set of intermediate CA certificates (ICAs). For a list of the ICA certificates being replaced, see our DigiCert ICA Update KB article.

How does this affect me?

Rolling out new ICAs does not affect existing certificates. We don't remove an old ICA from certificate stores until all the certificates issued from it have expired. This means active certificates issued from the replaced ICA will continue to be trusted.

However, it will affect existing certificates if you reissue them as they will be issued from the new ICA. We advise you to always include the provided ICA with every certificate you install. This has always been the recommended best practice to ensure ICA replacements go unnoticed.

No action is required unless you do any of the following:

  • Pin the old versions of the intermediate CA certificates
  • Hard code the acceptance of the old versions of the intermediate CA certificates
  • Operate a trust store that includes the old versions of the intermediate CA certificates

If you do any of the above, we recommend updating your environment as soon as possible. Stop pinning and hard coding ICAs or make the necessary changes to ensure certificates issued from the new ICAs are trusted (in other words, can chain up to their updated ICA and trusted root).

Intermediate CA certificate replacements

Make sure to monitor the pages listed below. These are active pages and are updated regularly with ICA certificate replacement information and copies of the new DigiCert intermediate CA certificates.

Why is DigiCert replacing intermediate CA certificates?

We are replacing ICAs to:

  • Promote customer agility with ICA replacement
  • Reduce the scope of certificate issuance from any given ICA to mitigate the impact of changes in industry standards and CA/Browser Forum guidelines to intermediate and end-entity certificates
  • Improve the security of the Internet by ensuring all ICAs operate using the latest improvements

If you have questions or concerns, please contact your account manager or our support team.

new

Scheduled maintenance

On November 8, 2020 between 08:00 – 10:00 UTC, DigiCert will perform scheduled maintenance.

How does this affect me?

During maintenance, access to these services and APIs may be affected:

  • CertCentral / Services API
  • Direct Cert Portal / Direct Cert Portal API
  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Discovery / API
  • ACME
  • ACME agent automation / API

Additionally, certificate issuance for these services and APIs may be affected:

  • CertCentral / Services API
  • Direct Cert Portal / Direct Cert Portal API
  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Complete Website Security (CWS) / API
  • Managed PKI for SSL (MSSL) / API
  • PKI Platform 7 / PKI Platform 8
  • QV Trust Link

What can I do?

Plan accordingly.

  • Schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window.
  • If you use the APIs for immediate certificate issuance and automated tasks, expect interruptions during this time.

Services will be restored as soon as the maintenance is completed.

new

为了让您更轻松地规划证书相关任务,我们提前预定了 2020 年维护时限。请参阅 DigiCert 2020 年预定维护 - 本页始终提供所有最新的维护计划信息。

鉴于我们客户遍布世界各地,我们知道该时间并非对每个人都合适。但是,在审查有关客户使用情况的数据后,我们选择了受影响的客户数量最少的时间。

关于我们的维护计划

  • 除非另外说明,否则预定维护时间是每个月的第一个周末。
  • 每次维护时限预定 2 小时。
  • 尽管我们提供了冗余以保护您的服务,但一些 DigiCert 可能不可用。
  • 完成维护后,所有运营将恢复正常。

有关这些维护时限的更多信息,请联系您的客户经理或 DigiCert 支持团队

最近作出的更改

compliance fix new enhancement
new

CertCentral Services API: Documentation updates

We added a new request parameter to the CertCentral Services API documentation for DV certificate orders: use_auth_key. In accounts with an existing AuthKey, this parameter allows you to choose whether to check your DNS records for an AuthKey request token when you place a DV certificate order.

By default, if an AuthKey exists for your account, you must add an AuthKey request token to your DNS records before ordering a DV certificate. AuthKey request tokens enable immediate certificate issuance, decreasing the time you spend on certificate lifecycle management. However, there may be times you need to verify control over domains using email validation or a DigiCert generated token. In these cases, the use_auth_key parameter allows you to disable the check for an AuthKey request token at the order level, so you can use another method to prove control over the domain. For more information about domain control validation (DCV), see Domain control validation (DCV) methods.

To disable the AuthKey verification method for a DV certificate order, include the use_auth_key parameter in the JSON payload of the request. For example:

use_auth_key sample

The following endpoints support the use_auth_key parameter:

For information about using an AuthKey for immediate DV certificate issuance, see DV certificate immediate issuance.

Note: The use_auth_key parameter is ignored in requests for Encryption Everywhere DV certificates. All requests for Encryption Everywhere DV certificates require an AuthKey request token for DCV. Additionally, OV and EV SSL products do not support the use_auth_key request parameter.

new

CertCentral Enterprise: Multi-year Plans now available

We are happy to announce that Multi-year Plans are now available in CertCentral Enterprise.

DigiCert® Multi-year Plans allow you to pay a single discounted price for up to six years of SSL/TLS certificate coverage. With Multi-year Plans, you pick the SSL/TLS certificate, the duration of coverage you want (up to six years), and the certificate validity. Until the plan expires, you reissue your certificate at no cost each time it reaches the end of its validity period.

Note: Enterprise License Agreement (ELA) and Flat Fee contracts only support 1 and 2-year Multi-year Plans.

As of September 1, 2020, the maximum validity of an SSL/TLS certificate is 397 days. When the active certificate for a Multi-year Plan is about to expire, you reissue the certificate to maintain your SSL/TLS coverage.

new

ICA certificate chain selection for public OV and EV flex certificates

We are happy to announce that public OV and EV certificates with flex capabilities now support Intermediate CA certificate chain selection.

You can add an option to your CertCentral account that enables you to control which DigiCert ICA certificate chain issues your public OV and EV "flex" certificates.

This option allows you to:

  • Set the default ICA certificate chain for each public OV and EV flex certificate.
  • Control which ICA certificate chains certificate requestors can use to issue their flex certificate.

Configure ICA certificate chain selection

To enable ICA selection for your account, contact your account manager or our Support team. Then, in your CertCentral account, on the Product Settings page (in the left main menu, go to Settings > Product Settings), configure the default and allowed intermediates for each type of OV and EV flex certificate.

For more information and step-by-step instructions, see ICA certificate chain option for public OV and EV flex certificates.

new

DigiCert Services API support for ICA certificate chain selection

In the DigiCert Services API, we made the following updates to support ICA selection in your API integrations:

  • Created new Product limits endpoint
    Use this endpoint to get information about the limits and settings for the products enabled for each division in your account. This includes ID values for each product's default and allowed ICA certificate chains.
  • Added support for ICA selection to public TLS OV and EV flex certificate order requests
    After you configure allowed intermediates for a product, you can select the ICA certificate chain that should issue your certificate when you use the API to submit an order request.
    Pass in the ID of the issuing ICA certificate as the value for the ca_cert_id parameter in the body of your order request

Example flex certificate request:

Example flex certificate request

For more information about using ICA selection in your API integrations, see OV/EV certificate lifecycle – (Optional) ICA selection.

new

CertCentral: Add emergency contacts for your account

We are happy to announce we added a new emergency contact option to CertCentral. These email addresses receive all emergency communications, such as urgent security concerns, required certificate revocations, and changes to industry guidelines.

By default, CertCentral sends emergency notifications to the organization contact for the primary organization on your account. Until you update your emergency contacts, we also send these notifications to the email addresses assigned to receive all account notifications.

We recommend verifying and updating the emergency contacts for your account. It should only take a few minutes.

To verify and update the emergency contacts for your account:

  1. Sign in to your CertCentral account.
  2. In the left main menu, go to Settings > Notifications.
  3. On the Notifications page, in the Send all emergency notifications to box, enter the email addresses you want to receive all emergency communications.
  4. When you are finished, check Verify emergency contacts.

See Add emergency contact email addresses for your account.

new

Schedule Maintenance

On Sunday October 4 between 07:00 – 09:00 UTC, DigiCert will perform scheduled maintenance.

How does this affect me?

Although we have redundancies in place to protect your services, some DigiCert services may be unavailable during this time.

During maintenance access to these services and APIs may be affected:

  • CertCentral / Service API
  • Direct Cert Portal / API
  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Discovery API
  • ACME
  • ACME agent automation

Additionally, certificate issuance for these services and APIs may be affected:

  • CertCentral / Service API
  • Direct Cert Portal / API
  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • Complete Website Security (CWS) / API
  • Managed PKI for SSL (MSSL) / API
  • Symantec, GeoTrust, and Thawte Partner Portals / APIs
  • PKI Platform 7 / PKI Platform 8
  • QV Trust Link

What can I do?

Please plan accordingly. Schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window. If you use the APIs for immediate certificate issuance and automated tasks, expect interruptions during this time.

Services will be restored as soon as the maintenance is completed.

new

Upcoming scheduled maintenance

On Sunday September 13, 2020 from 07:00 to 09:00 UTC, DigiCert will perform scheduled maintenance.

How does this affect me?

During maintenance, we will assign new dedicated IP addresses to our CertCentral mail server, some of our services, and some of our APIs.

Affected services:

  • CertCentral emails
  • CertCentral
  • CertCentral Services API
  • Certificate Issuing Service (CIS)
  • Simple Certificate Enrollment Protocol (SCEP)
  • API access URL
  • Direct Cert Portal
  • Direct Cert Portal API
  • Discovery sensor firewall settings
  • Discovery API
  • ACME
  • ACME agent automation
  • DigiCert website

For more details and easy reference, see our IP address changes knowledgebase article.

Although we have redundancies in place to protect your service, some DigiCert services may be unavailable during this time.

DigiCert services will be restored as soon as maintenance is completed.

What can I do?

  • Update allowlists and email filters
    By September 13, 2020, update IP address allowlists and email filters to ensure you don't miss important emails and to keep your DigiCert services and API integrations running as expected.
  • Schedule tasks around maintenance
    Please plan accordingly and schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window.
  • References
compliance

DigiCert will stop issuing 2-year public SSL/TLS certificates

On August 27, 2020 5:59 pm MDT (23:59 UTC), DigiCert will stop issuing 2-year public SSL/TLS certificates to prepare for the industry changes to the maximum allowed validity for public SSL/TLS certificates.

After the August 27 deadline, you can only purchase 1-year public SSL/TLS certificates.

What do I need to do?

To ensure you get needed 2-year public SSL/TLS certificates before the August 27 deadline:

  • Take inventory of needed 2-year certificates—new and renewals.
  • Order any 2-year certificates that you need before August 13.
  • Respond to any domain and organization validation requests in a timely manner.

To learn how this change will affect pending certificate orders, reissues, and duplicates, see End of 2-Year DV, OV, and EV public SSL/TLS certificates.

DigiCert Services API

For those using the DigiCert Services API, you'll need to update your API workflows to account for the new maximum certificate validity of 397 days for requests placed after the August 27 deadline. See Services API.

After August 27, 2020

After August 27, you can only purchase 1-year public SSL/TLS certificates. However, to maximize your SSL/TLS coverage, purchase your new certificates with a DigiCert® Multi-year Plan. See Multi-year Plans.

Why is DigiCert making this change?

On September 1, 2020, the industry says good-bye to 2-year certificates. Going forward Certificate Authorities (CA) can only issue public DV, OV, and EV SSL/TLS certificates with a maximum validity of 398 days (approximately 13 months).

DigiCert will implement a 397-day maximum validity for all public SSL/TLS certificates as a safeguard to account for time zone differences and to avoid issuing a public SSL/TLS certificate that exceeds the new 398-day maximum validity requirement.

Check out our blog to learn more about the transition to 1-year public SSL/TLS certificates: One-Year Public-Trust SSL Certificates: DigiCert’s Here to Help.

enhancement

DigiCert® Multi-year Plans available for all DigiCert public SSL/TLS certificates

We are happy to announce that Multi-year Plans are now available for all public SSL/TLS certificates in CertCentral. These plans allow you to pay a single discounted price for up to six years of SSL/TLS certificate coverage.

Note: Enterprise License Agreement (ELA) contracts support only 1 and 2-year Multi-year Plans. Flat Fee contracts do not support Multi-year Plans. If you have a Flat Fee contract, please contact your account manager to find a solution that works with your contract.

With Multi-year Plans, you pick the SSL/TLS certificate, the duration of coverage you want (up to six years), and the certificate validity. Until the plan expires, you reissue your certificate at no cost each time it reaches the end of its validity period. For more information, see Multi-year Plans.

enhancement

DigiCert Services API changes to support Multi-year Plans

In our Services API, we updated our public SSL/TLS certificate endpoints to support ordering a certificate with a Multi-year Plan.

To each endpoint for ordering a public SSL/TLS certificate, we added new optional* request parameters. Additionally, we've updated these endpoints such that the validity period of your order no longer must match the validity period of your certificate.

  • New optional cert_validity parameter
    Use this parameter to define the validity period of the first certificate issued for the order. If you omit the cert_validity parameter from your request, your certificate validity defaults to the maximum validity that DigiCert and industry standards allow, or the validity period of the order, whichever is sooner.
  • New optional order_validity parameter*
    Use this parameter to define the validity period for the order. Order validity determines the length of a Multi-year Plan.
  • Updated top-level validity_years, validity_days, custom_expiration_date parameters*
    For existing API integrations, you can still use these existing parameters to define the validity period of the order. However, we recommend updating your integrations to use the new parameters instead. Remember, with Multi-year Plans, your order can have a different validity period than your certificate.

*Note: Requests must include a value for either the order_validity object or for one of the top-level order validity parameters: validity_years, validity_days, or custom_expiration_date. The values provided in the order_validity object override the top-level validity parameters.

These changes should not affect your current integrations. However, to maximize your SSL/TLS coverage, you may want to start purchasing your public SSL/TLS certificates with a Multi-year Plan. For API integrations, see Order Multi-year Plan.

Example certificate request with new parameters

Example SSL certificate request with new certificate and order valdity parameters

new

Discovery: Delete all certificates and endpoints from scan results

We added a new Delete all certificates and endpoints option that enables you to delete certificate and endpoint information from your Discovery scan records in your CertCentral account.

To Delete all certificates and endpoints from scan results:

  1. In your CertCentral account, go to Discovery > Manage Discovery.
  2. On the Manage scans page, in the More actions dropdown, click Delete all certificates and endpoints.
  3. In the Delete all certificates and endpoints window, click Delete.

Permanently delete certificates and endpoint records

To permanently delete certificate and endpoint information from your scan results, you also need to remove the associated FQDNs and IP addresses from you scans. See Edit a scan.

enhancement

CertCentral Services API: Order code signing certificates with a custom expiration date

In the CertCentral Services API, we updated the Order code signing certificate endpoint to support custom expiration dates. Now, when you order a code signing certificate, you can use the custom_expiration_date request parameter to set the exact date the certificate will expire.

Example request body:

Code signing custom expiration date parameter

new

Upcoming schedule maintenance

On Sunday August 9, 2020 from 07:00 to 09:00 UTC DigiCert will perform scheduled maintenance.

How does this affect me?

During maintenance:

  • CertCentral, the CertCentral Service API, Direct Cert Portal, Direct API, and the Certificate Issuing Service will be down.
  • DigiCert will be unable to issue certificates for DigiCert platforms and their corresponding APIs and legacy Symantec consoles and their corresponding APIs.
  • PKI Platforms may also experience service interruptions.

Services that will be affected

Access to:

  • CertCentral
  • CertCentral Service API
  • Direct Cert Portal
  • Direct API
  • Certificate Issuing Service CIS

Certificate issuance for:

  • CertCentral / Service API
  • Certificate Issuing Service (CIS)
  • Complete Website Security (CWS) / API
  • Direct Cert Portal / API
  • Managed PKI for SSL (MSSL) / API
  • Symantec, GeoTrust, and Thawte Partner Portals

Possible service interruptions for:

  • PKI Platform 7
  • PKI Platform 8

Services will be restored as soon as maintenance is completed.

What can you do?

Please plan accordingly. Schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window.

If you use the API for immediate certificate issuance and automated tasks, expect interruptions during this time.

enhancement

CertCentral Services API: More versatile revoke certificate endpoint

In CertCentral, we added new Certificate Revocations (API Only) settings that allow you to determine how the revoke certificate endpoint works for your API integration:

  • Revoke an individual certificate (default configuration)
    • Allows you to use this endpoint to revoke a single certificate on an order.
    • Leaves the order active so you can continue issuing certificates on the order.
    • No refunds provided.
  • Revoke order when all certificates are revoked
    • Allows you to use this endpoint to revoke a single certificate on an order.
    • Additionally, if all certificates on the order have been revoked, it will also revoke the order.
    • If eligible, refunds are provided.

To revoke an order and all the certificates on the order, use the revoke order certificates endpoint.

Certificate Revocations (API Only) in CertCentral

To use these new revoke certificate endpoint API settings:

  1. In your CertCentral account, in the left main menu, go to Settings > Preferences.
  2. On the Division Preferences page, expand Advanced Settings.
  3. The new settings are in the Certificate Requests section, under Certificate Revocations (API Only).
new

CertCentral: DigiCert changes payment remittance bank account

To improve order processing and our customer service, we changed our payment remittance bank account.

What do I need to do?

Update your accounts payable processes to make sure all future payments are credited to our Bank of America account. For more information, see our Payment Information knowledgebase article.

Note: For customers with Symantec, GeoTrust, Thawte, and RapidSSL certificates, this is the same bank account you previously used.

new

CertCentral changing mail server IP addresses for expiring certificate renewal notifications

DigiCert is upgrading the renewal email communication's infrastructure. This upgrade includes changes to the mail server IP addresses we send expiring certificate renewal notifications from.

If your company uses allowlists and email filters, your expiring certificate renewal emails are at risk of being blocked or sent to spam directories.

What do I need to do?

To ensure you don't miss a renewal communication, update allowlists and email filters to allow emails from the new IP addresses.

For more information, see the DigiCert Renewal Email source IP change knowledgebase article. If you have questions, please contact your account manager or our support team.

new

Multi-year Plans now available

We are happy to announce that Multi-year Plans are now available in CertCentral and CertCentral Partners.

DigiCert® Multi-year Plans allow you to pay a single discounted price for up to six years of SSL/TLS certificate coverage. With Multi-year Plans, you pick the SSL/TLS certificate, the duration of coverage you want (up to six years), and the certificate validity. Until the plan expires, you reissue your certificate at no cost each time it reaches the end of its validity period.

The maximum validity of an SSL/TLS certificate will go from 825 days to 397 days on September 1, 2020. When the active certificate for a Multi-year Plan is about to expire, you reissue the certificate to maintain your SSL/TLS coverage.

compliance

Browser support for TLS 1.0 and 1.1 has ended

The four major browsers no longer support Transport Layer Security (TLS) 1.0 and 1.1.

What you need to know

This change doesn't affect your DigiCert certificates. Your certificates continue to work as they always have.

This change affects browser-dependent services and applications relying on TLS 1.0 or 1.1. Now that browser support for TLS 1.0 and 1.1 has ended, any out-of-date systems will be unable to make HTTPS connections.

What you need to do

If you are affected by this change and your system supports more recent versions of the TLS protocol, upgrade your server configuration as soon as you can to TLS 1.2 or TLS 1.3.

If you do not upgrade to TLS 1.2 or 1.3, your webserver, system, or agent will not be able to use HTTPS to securely communicate with the certificate.

Browser TLS 1.0/1.1 deprecation information

Firefox 78, released June 30, 2020

Safari 13.1, released March 24, 2020

Chrome 84, released July 21, 2020

Edge v84, released 7/16/2020

Helpful resources

With so many unique systems relying on TLS, we can't cover all upgrade paths, but here are a few references that may help:

enhancement

CertCentral Services API: Updated error message documentation

In the Services API documentation, we've updated the Errors page to include descriptions for error messages related to:

  • Immediate DV certificate issuance
  • Domain control validation (DCV)
  • Certificate Authority Authorization (CAA) resource record checks

Earlier this year, we improved the APIs for DV certificate orders and DCV requests to provide more detailed error messages when DCV, file authorization, DNS lookups, or CAA resource record checks fail. Now, when you receive one of these error messages, check the Errors page for additional troubleshooting information.

For more information:

new

Upcoming critical maintenance

On Sunday July 19, 2020 from 07:00 to 09:00 UTC DigiCert will perform critical maintenance.

Although we have redundancies in place to protect your service, some DigiCert services may be unavailable during this time.

DigiCert services will be restored as soon as maintenance is completed.

What can you do?

Please plan accordingly. Schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window.

new

Scheduled Maintenance

On July 12, 2020 from 07:00 to 09:00 UTC, DigiCert will perform scheduled maintenance.

Although we have redundancies in place to protect your service, some DigiCert services may be unavailable during this time.

DigiCert services will be restored as soon as maintenance is completed.

What can you do?

Please plan accordingly. Schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window.

enhancement

CertCentral Services API: Improved endpoints

In the DigiCert Services API, we updated the endpoints listed below, enabling you to skip the duplicate organization check to create a new organization.

Default behavior

By default, when you create a new organization (without providing an organization ID), we check the organizations that already exist in your account to avoid creating a duplicate organization. If the details you provide in the request match the details of an existing organization, we associate the order with the existing organization instead of creating a new one.

New organization.skip_duplicate_org_check request parameter

We added a new organization.skip_duplicate_org_check request parameter to the endpoints listed below so that you can override the behavior and force the creation of a new organization.

Example request with new organization.skip_duplicate_org_check request parameter

Example API request with the skip_duplicate_org_check parameter

Updated endpoints:

new

Upcoming Emergency Maintenance

On Sunday June 28, 2020 from 07:00 to 08:00 UTC DigiCert will perform emergency maintenance.

How does this affect me?

During this time, DigiCert will be unable to issue certificates for DigiCert platforms and their corresponding APIs, legacy Symantec consoles and their corresponding APIs, for immediate certificate issuance, and for those using the APIs for automated tasks.

Emergency maintenance affects:

  • CertCentral / Service API
  • Certificate Issuing Service (CIS)
  • Complete Website Security (CWS) / API
  • Direct Cert Portal / API
  • Managed PKI for SSL (MSSL) / API

Services will be restored as soon as maintenance is completed.

What can you do?

Please plan accordingly. Schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window.

If you use the API for automated tasks, expect interruptions during this time.

new

CertCentral: Managed automation general availability

We are happy to announce the general availability of another of our Automation Tools—Managed automation. Its beta period has ended, and it is now ready for production environments.

CertCentral-managed automation allows you to automate your SSL/TLS certificate lifecycle management process. Remove time spent completing manual SSL/TLS certificate requests and installations.

Managed automation features:

  • Scalable and centralized SSL/TLS certificate management in CertCentral
  • Integrated with the CertCentral SSL/TLS certificate issuance process
  • Automate end-to-end SSL/TLS certificate provisioning: new, reissue, and renew
  • OV and EV SSL/TLS 1-year, 2-year, and custom validity certificate deployments.
  • Private SSL/TLS certificate deployments

Managed automation in CertCentral

To get started with CertCentral-managed automation, in your CertCentral account, go to the Manage automation page (in the left main menu, go to Automation > Manage automation).

For more information:

new

CertCentral ACME protocol support general availability

We are happy to announce the general availability of one of our Automation Tools—ACME protocol support. Its open beta period has ended, and it is now ready for production environments.

With ACME + CertCentral, use your preferred ACME client to automate your SSL/TLS certificate deployments and remove time spent completing manual certificate installations.

CertCentral ACME protocol support allows you to automate OV and EV SSL/TLS 1-year, 2-year, and custom validity certificate deployments. Our ACME protocol also supports the Signed HTTP Exchange certificate profile option, enabling you to automate your Signed HTTP Exchange certificate deployments.

ACME in CertCentral

To access ACME in your CertCentral account, go to the ACME Directory URLs page (in the left main menu, go to Automation > ACME Directory URLs).

For more information:

enhancement

DigiCert ACME integration now supports the use of custom fields

We are happy to announce that DigiCert ACME protocol now supports custom fields in the request forms used to create your ACME directory URLs.

For more information:

enhancement

CertCentral: Improved Orders page

We updated the Orders page making it easier to see your active certificates. Now, we no longer show the renewed certificates (certificates with a Renewed status) in the list of active certificates.

To make sure you don't lose sight of your renewed certificates, we added a new filter to the Status dropdown—Renewed—that enables you to see your "renewed" certificates.

To see the improved Orders page, in the left main menu, go to Certificates > Orders.

enhancement

Legacy account upgrades to CertCentral: Mark migrated certificate orders as renewed

When you migrate a certificate order from your legacy console and then renew it in CertCentral, the original order may not get updated automatically to reflect the renewal. To make it easier to manage these migrated certificates, we added a new option—Mark renewed.

The Mark renewed option allows you to change the certificate order's status to Renewed. In addition, the original migrated certificate no longer appears in expiring or expired certificate lists, in the expiring or expired certificate banners, or on the Expired Certificates page in CertCentral.

Mark a migrated order as renewed

In CertCentral, in the left main menu, go to Certificates > Orders. On the Orders page, in the certificate order's Expires column, click Mark renewed.

Renewed filter

To make it easier to see the migrated certificate orders that have been marked renewed, we added a new filter—Renewed. On the Orders page, in the Status filter dropdown, select Renewed and click Go.

To learn more, see Mark a migrated certificate order as renewed.

enhancement

Legacy API upgrades to CertCentral Services API: Update order status endpoint improvements

When you migrate an order from your legacy console and then renew it in CertCentral, the original order may not get updated automatically to reflect the renewal.

To prevent these "renewed" orders from appearing alongside orders that still need to be renewed, we added a new value—renewed—to the status parameter on the Update order status endpoint.

Now, when you know a migrated certificate order has been renewed, you can manually change the status of the original order to renewed.

Example request with new status parameter

Update order status-endpoint example-request

To learn more, see Update order status.

new

Scheduled Maintenance

On June 7, 2020 from 07:00 to 09:00 UTC, DigiCert will perform scheduled maintenance.

Although we have redundancies in place to protect your service, some DigiCert services may be unavailable during this time.

DigiCert services will be restored as soon as maintenance is completed.

What can you do?

Please plan accordingly. Schedule high-priority orders, renewals, reissues, and duplicate issues outside of the maintenance window.

enhancement

CertCentral: Automatic DCV checks – DCV polling

We are happy to announce we've improved the domain control validation (DCV) process and added automatic checks for DNS TXT, DNS CNAME, and HTTP practical demonstration (FileAuth) DCV methods.

This means, once you've placed the fileauth.txt file on your domain or added the random value to your DNS TXT or DNS CNAME records, you don't need to worry about signing in to CertCentral to run the check yourself. We will run the DCV check automatically. Although, you can still run a manual check, when needed.

DCV polling cadence

After submitting your public SSL/TLS certificate order, submitting a domain for prevalidation, or changing the DCV method for a domain, DCV polling begins immediately and runs for one week.

  • Interval 1—Every minute for the first 15 minutes
  • Interval 2—Every five minutes for an hour
  • Interval 3—Every fifteen minutes for four hours
  • Interval 4—Every hour for a day
  • Interval 5—Every four hours for a week*

*After Interval 5, we stop checking. If you have not placed the fileauth.txt file on your domain or added the random value to your DNS TXT or DNS CNAME records by the end of the first week, you will need to run the check yourself.

For more information about the supported DCV methods:

enhancement

New product settings for flexible certificates

To provide more control over your certificate ordering process, we added two new product settings to our flexible certificate offerings:

  • Maximum number of SANs allowed (can't exceed 250)
  • Allow wildcards.

Now, you can limit the number of SANs included on a flexible OV or EV certificate order. Additionally, you can prevent users from including wildcard domains in their flexible OV certificate orders.

To configure flexible certificate product settings, in the left main menu, go to Settings > Product Settings.

Flexible OV and EV certificates

These more flexible SSL/TLS certificates make it easier to get the certificate to fit your needs: Basic OV, Basic EV, Secure Site OV, and Secure Site EV. They will replace the old Basic and Secure Site products.

To activate any of these new certificates for your CertCentral account, contact your account manager or our Support team.

new

New addition to DigiCert Developers portal

We are happy to announce a new addition to the DigiCert Developers portal—CT log monitoring API. For DigiCert API integrations, use these endpoints to manage the CT log monitoring service that is included with your Secure Site Pro certificate order. See CT log monitoring API.

CT Log Monitoring services

CT log monitoring allows you to monitor the public CT logs for SSL/TLS certificates issued for the domains on your Secure Site Pro certificate order, in near real time.

CT log monitoring is a cloud service so there is nothing to install or manage. After we've issued your Secure Site Pro, and you've turned CT Log monitoring for the order, you can start using the service immediately to monitor the domains on the Secure Site Pro certificate order.

enhancement

CertCentral Services API: Improved order endpoints:

In the DigiCert Services API, we added a "domain ID" response parameter to the endpoints listed below. Now, when you add domains--new or existing--in your certificate request, we return the domain IDs in the response.

This reduces the number of API calls needed to get the domain IDs for the domains on the certificate order. It also allows you to perform domain-related task immediately, such as change the DCV method for one of the domains on the order or resend the WHOIS emails.

Note: Previously, after adding new or existing domains in your certificate request, you had to make an additional call to get the domain IDs: List domains or Domain info.

Updated order endpoints

Example response with new domain ID parameter

Order endpoints' example reponse with new domains parameter

enhancement

CertCentral Services API: Improved Revoke order certificates and Revoke certificate endpoints

In the DigiCert Services API, we updated the Revoke order certificates and Revoke certificate endpoints, enabling you to skip the approval step when revoking a certificate.

Note: Previously, the approval step was required and could not be skipped.

We added a new optional parameter, "skip_approval": true, that allows you to skip the approval step when submitting a request to revoke one certificate or all certificates on an order.

Note: For skip approvals to work for certificate revoke requests, the API key must have admin privileges. See Authentication.

Now, on your revoke certificate and revoke order certificate requests, you can skip the approval step and immediately submit the request to DigiCert for certificate revocation.

Example request for the revoke certificate and revoke order certificates endpoints

Example revoke certificate request with skip_approval parameter

fix

Bug fix: DV certificate issuance emails did not respect certificate format settings

We fixed a bug in the DV certificate issuance process where the Your certificate for your-domain email notification did not deliver the certificate in the format specified in your account settings.

Note: Previously, we included a certificate download link in all DV certificate issued email notifications.

Now, when we issue your DV certificate order, the email delivers the certificate in the format specified in your account's Certificate Format settings.

Configure certificate format for certificate issuance emails

In the left main menu, go to Settings > Preferences. On the Division Preferences page, expand Advance Settings. In the Certificate Format section, select the certificate format: attachment, plain text, or download link. Click Save Settings.

new

预定维护

2020 年 5 月 3 日 7:00 至 9:00 (UTC),,DigiCert 将执行预定维护。

尽管我们提供了冗余以保护您的服务,但在此期间,一些 DigiCert 可能不可用。

一旦维护完成,将立即恢复 DigiCert 服务。

您可以做什么?

请做好相应的准备。将高优先级订单、续订、补发和重复颁发预定在维护时限之外。

new

帐户的证书生命周期电子邮件语言首选项设置

我们为来自 CertCentral 的证书生命周期电子邮件增加了帐户语言设置。现在,在通知页面上,可以为整个帐户的证书生命周期电子邮件设置语言首选项。

我们目前为特定于证书生命周期的电子邮件提供 11 种语言支持:

  • 英语
  • 简体中文
  • 繁体中文
  • 法语
  • 德语
  • 意大利语
  • 日语
  • 朝鲜语
  • 葡萄牙语
  • 俄语
  • 西班牙语

证书生命周期电子邮件语言支持是如何运作的?

转到 CertCentral 中的通知页面后,使用电子邮件语言下拉列表设置整个帐户的证书生命周期电子邮件语言。

例如,如果您将电子邮件语言设置为意大利语,则所有证书生命周期电子邮件将使用意大利语,无论单个帐户语言设置如何。

注意电子邮件语言选项仅更改在证书生命周期电子邮件中使用的语言。它不会更改在单个帐户中使用的语言。在个人资料设置页面的语言下拉列表中设置帐户的语言。请参阅 CertCentral 语言首选项

这些证书生命周期设置在哪里?

要访问证书生命周期电子邮件默认设置,在左侧主菜单中,转到设置 > 通知。有关更多信息,请参阅配置证书生命周期电子邮件设置

new

新证书生命周期电子邮件设置

我们在证书生命周期电子邮件设置中新增了一项通知设置 —发送组织审批邮件给下达订单的用户。该设置允许您控制是否向证书申请人发送组织审批邮件。

组织审批邮件是什么?

如果申请人是管理员或组织联系人,我们会发送一封电子邮件,以通知他们 DigiCert 已验证组织,并且他们现在可以为其获取证书。

注意:该新设置仅适用于请求中包括新增但未经过验证的组织的订单。

这些证书生命周期设置在哪里?

要访问证书生命周期电子邮件默认设置,在左侧主菜单中,转到设置 > 通知。有关更多信息,请参阅配置证书生命周期电子邮件收件人

new

Discovery 目前在所有 CertCentral 帐户中均可用

我们很高兴地宣布,所有现有的 CertCentral 帐户目前都包括我们最新且最可靠的证书发现工具 — Discovery。

注意:对于使用证书检查器的用户,Discovery 会更换我们长期使用的 DigiCert 工具 — 证书检查器。

默认情况下,Discovery 包括云扫描和一次传感器扫描试用,最多限制 100 个证书。

云扫描

云扫描使用基于云的传感器,因此不需要安装或管理。您可以立即开始扫描,以查找您的所有面向公共的 SSL/TLS 证书,与证书颁发机构无关。云扫描每隔 24 小时运行一次。

传感器扫描

传感器扫描是我们最稳健的 Discovery 版本。它使用传感器扫描您的网络,以快速查找所有内部和公开的 SSL/TLS 证书,与证书颁发机构 (CA) 无关。Discovery 还会发现证书配置和实施中的问题,以及端点配置中与证书相关的漏洞或问题。

扫描在您的 CertCentral 帐户内集中配置和管理。扫描结果显示在 CertCentral 内的直观的交互式仪表板中。将扫描配置为按照设定的时间表运行一次或多次。

  • 有关如何安装传感器并开始扫描 SSL/TLS 证书情况的信息,请参阅 Discovery 用户指南
  • 在试用期结束后要继续使用传感器扫描,请联系客户经理或我们的支持团队
new

Discovery 审核日志

Discovery 新增了一项功能 —Discovery 审核日志,允许您跟踪 CertCentral 帐户中的 Discovery 相关活动。这些审核日志提供关于用户活动的见解,让您可以查看可能需要进行培训的领域、重新构建事件以排查问题、检测滥用行为以及发现问题领域。

为了更轻松地整理 Discovery 审核日志中的信息,我们纳入了多个筛选项:

  • 日期范围
  • 分区
  • 用户
  • IP 地址
  • 操作
    (例如,取消传感器、删除扫描,等等)

要访问 Discovery 审核日志,请在 CertCentral 帐户的左侧主菜单中,转到帐户 > 审核日志。在审核日志页面上,单击 Discovery 审核日志

new

Discovery 语言支持

随着我们致力于将我们的产品推向全球,以及改进我们的网站、平台和文档的易访问性,我们很高兴地宣布,我们增加了 CertCentral 中的 Discovery 的语言支持。

现在,在 CertCentral 中配置语言首选项时,Discovery 包括在配置中。

配置语言首选项的步骤

在帐户右上角的"用户名"下拉列表中,选择我的个人资料。在个人资料设置页面的语言下拉列表中,选择一种语言并单击保存更改

请参阅 CertCentral 语言首选项

fix

修复错误:DV 证书订单不支持“提交基域以进行验证”帐户设置

我们修复了 DV 证书域控制验证 (DCV) 流程中的以下错误:DV 证书订单不遵循提交基域以进行验证帐户设置。

注意:对于 DV 证书订单,您必须按照订单中的准确域名进行验证。

现在,DV 证书订单支持提交基域以进行验证帐户设置,允许您在 DV 证书订单上的基域级别验证子域。

要查看帐户中的域验证范围设置,请转到设置 > 首选项。在“分区首选项”页面上,展开 +高级设置域验证范围设置位于域控制验证 (DCV) 部分。

fix

修复错误:在电子邮件通知中不附加 DV 证书

我们修复了 DV 证书颁发流程中的以下错误:在您的 your-domain 证书电子邮件通知中未附加 DV 证书的副本。为了临时解决该问题,我们目前在 DV 证书电子邮件通知中附上了证书下载链接。

注意:DigiCert 颁发证书后,该证书在您的 CertCentral 帐户中立即可用。

要使用电子邮件中的下载链接,您必须具有 CertCentral 帐户的访问权限以及访问证书订单的权限。

如果电子邮件收件人没有帐户或证书订单的访问权限,您可以从 CertCentral 帐户通过电子邮件向他们发送 DV 证书的副本。请参阅我们的关于如何从 CertCentral 帐户通过电子邮件发送 DV 证书的说明。

enhancement

旧合作伙伴帐户升级至 CertCentral

在 DigiCert 服务 API 中,我们更新了 DigiCert 订单编号,让您可以更加轻松地找到与您迁移的旧 GeoTrust TLS/SSL 证书订单对应的 DigiCert 订单编号。

现在,您可以使用 GeoTrust 订单编号*访问 GeoTrust 证书订单的 DigiCert 订单编号。而且,在使用 GeoTrust 订单编号时,我们会返回最新的 DigiCert 证书订单编号。

*注意:在旧合作伙伴帐户中,您只拥有 GeoTrust TLS/SSL 证书订单的 GeoTrust 订单编号的访问权限。

背景

迁移活跃的公共 SSL/TLS 证书订单到新帐户后,我们会为每个迁移的旧 SSL/TLS 证书订单指定唯一的 DigiCert 订单编号。

有关更多信息:

enhancement

改进的域页面:DCV 到期日期以及其他

我们改进了域页面,让您可以查看域的域控制验证 (DCV)(OV 和 EV 验证)的到期日期。

注意:以前,为了查找域验证的到期日期,必须前往域的详细信息页面。

现在,当您转到域页面(在左侧主菜单中,转到证书 > 域)后,将看到这些新增项:

  • 两个新的可排序列:OV 到期EV 到期
    完成域的 DCV 后,这些列显示域验证的到期日期。如果未续订域验证,到期日期将在一年后消失。
    这些到期日期是根据完成域控制验证 (DCV) 的时间计算出来的(OV:+825 天,EV:+13 个月)。
  • 验证状态下拉列表
    • 中的四个新增筛选项OV 已过期
    • EV 已过期
    • OV 即将到期*
    • EV 即将到期*
  • 警告图标
    如果验证已过期,您将看到"到期"日期旁边有一个警告图标。

*注意:这些筛选项显示在 30 天以内到期的域验证。

enhancement

改进的域详细信息页面:DCV 到期日期以及其他

我们改进了域详细信息页面,让您可以查看域的域控制验证 (DCV)(OV 和 EV 验证)的到期日期。

现在,当您转到域详细信息页面后,将在域验证下,看到一个新的子项,验证状态,,您可以看到域的 OV 和 EV 证书域验证的到期日期*。我们还增加了警告图标,让您可以更轻松地识别验证到期日期。

*注意:这些到期日期是基于完成域控制验证 (DCV) 的时间计算出来的(OV:+825 天,EV:+13 个月)。

new

新功能:随时提交域进行重新验证

在域详细信息页面上,我们新增了一项功能,让您可以在域控制验证 (DCV) 到期前,提交域进行重新验证。现在,您可以随时提交域进行重新验证,让您可以提前完成域验证,对域保持无缝衔接的证书颁发流程。

当您转到域详细信息页面后,将在域验证下,看到一个新的子项,提交以进行验证。在域验证到期之前,您可以重新提交以进行验证,并且选择在证明对域的控制权时需要使用的 DCV 方法。请参阅域预验证:在验证到期前重新验证域

对于具有有效验证的域,您仍然会看到一个绿色勾选图标,表示域的验证仍然有效,并且在为它订购证书时可以使用。但是,您还会看到一条消息,告知您域正在等待重新验证。完成 DCV 后,到期日期将更改,并且等待重新验证的消息消失。

new

预定维护

2020 年 4 月 5 日 7:00 至 9:00 (UTC),,DigiCert 将执行预定维护。

尽管我们提供了冗余以保护您的服务,但在此期间,一些 DigiCert 可能不可用。

一旦维护完成,将立即恢复 DigiCert 服务。

您可以做什么?

请做好相应的准备。将高优先级订单、续订、补发和重复颁发预定在维护时限之外。

new

高优先级服务提供商维护时间为 4 月 5 日 6:00 至 8:00 (UTC)

4 月 3 日星期五,DigiCert 收到数据中心提供商的通知,他们将在 4 月 5 日星期六 06:00 – 08:00 UTC 时间执行一些高优先级的维护工作。

对我有什么影响?

该维护时限仅影响旧版 Symantec Website Security、Thawte、GeoTrust 和 RapidSSL 客户。

在此期间,Symantec、GeoTrust、Thawte 和 RapidSSL 控制中心、关联 API 以及证书颁发可能会受到影响。

一旦维护完成,将立即恢复服务。

您可以做什么?

请做好相应的准备。将高优先级订单、续订、补发和重复颁发预定在维护时限之外。

  • DigiCert 2020 年预定维护
    本页始终提供所有最新的维护计划信息。
  • DigiCert 状态
    要获取实时更新,请订阅 DigiCert 状态页面。
compliance

浏览器终止支持 TLS 1.0 和 1.1

2020 年,四大浏览器将终止支持传输层安全性 (TLS) 1.0 和 1.1。

此更改不影响您的 DigiCert 证书。您的证书将仍然像以前一样工作。

须知事项

此更改影响依赖于 TLS 1.0 或 1.1 的浏览器依赖性服务和应用程序。一旦浏览器终止支持 TLS 1.0 或 1.1,这些过时的系统将无法建立 HTTPS 连接。

所需操作

如果您受此更改的影响,请计划立即启用或升级至 TLS 1.2 或 TLS 1.3。给自己一些准备时间,以应对任何问题。在您开始之前,请务必确认所有可能使用 TLS 1.0 或 1.1 的系统。

请务必检查 Apache 或 Microsoft IIS、.NET Framework 之类的 Web 服务器、服务器监控代理以及可能使用它的其他商务应用程序。

有用资源

由于有许多不同类型的系统依赖于 TLS,因此我们无法涵盖所有可用的升级路径,但下面提供了一些可能有用的参考资源:

compliance

Microsoft 将停止支持第三方内核模式驱动程序包数字签名

签署内核模式驱动程序包的流程将更改。从 2021 年开始,Microsoft 将成为生产内核模式代码签名的唯一提供商。以后,您需开始依照 Microsoft 更新的说明签署任何新的内核模式驱动程序包。请参阅 Windows 硬件合作伙伴中心

DigiCert 正如何应对?

作为该弃用流程的第一步,DigiCert 从代码签名证书表单中移除了 Microsoft 内核模式代码平台选项:新、补发和续订。

这意味着,您以后无法再为内核模式平台订购、补发或续订代码签名证书。

这对我现有的内核模式代码签名证书有什么影响?

您可以继续使用现有的证书签署内核模式驱动程序包,直至证书链中的交叉签名根到期。DigiCert 品牌的交叉签名根证书于 2021 年到期。

有关更多详情,请参阅我们的知识库文章,Microsoft 停止支持具有内核模式签名功能的交叉签名根证书

enhancement

域详细信息页面更新

我们简化了域详细信息页面上的域验证部分,以仅显示两种验证类型及其到期日期:OV 和 EV。我们还更新了该页面,以显示根据完成域控制验证 (DCV) 的时间计算出来的域验证到期日期(OV:+825 天,EV:+13 个月)。

注意:以前,您可以看到最多两种其他验证类型:网格和私有。网格证书的有效期与 OV 相同:825 天。私有证书不需要进行域验证,因为这些证书不受公众信任。

要查看域的有效期到期日期,请在左侧主菜单中,转到证书 > 域。在域页面上,找到域并单击它的域名链接。在“域详细信息”页面的域验证下,,查看域验证及其到期日期。

enhancement

CertCentral 服务 API:改进的“列出域”和“域信息”端点

在 DigiCert 服务 API 中,我们更新了列出域域信息端点,您可以看到域的域控制验证 (DCV) 的到期日期:OV 和 EV 验证。仅当您包括 URL 查询字符串 include_validation=true 时,才会在响应中返回该新信息。

现在,当您获取所有域的列表或有关特定域的信息,并且包括 URL 查询字符串 include_validation=true 时,,您可以看到域的 DCV 的到期日期。

具有 URL 查询字符串的请求示例:

  • 域信息
    https://www.digicert.com/services/v2/domain/{{domain_id}}? include_validation=true
  • 列出域
    https://www.digicert.com/services/v2/domain?include_validation=true

响应示例 - 域控制验证 (DCV) 到期日期

Example response with DCV expiration dates

fix

移除了域页面的"待处理"列

我们找到的页面上的错误,该错误阻止我们提供有关域的待处理验证的准确信息。作为临时解决方案,我们将从该页面上移除待处理列,直至部署永久性修复方案。

要查看域是否具有待处理验证,请在左侧主菜单中,转到证书 > 域。在页面上,找到域并单击它的域名链接。在“域详细信息”页面的域验证下,,检查域是否具有待处理验证:OV 和 EV。

new

预定维护

2020 年 3 月 8 日 8:00 至 10:00 (UTC),,DigiCert 将执行预定维护。尽管我们提供了冗余以保护您的服务,但在此期间,一些 DigiCert 可能不可用。一旦维护完成,将立即恢复 DigiCert 服务。

您可以做什么?

请做好相应的准备。将高优先级订单、续订、补发和重复颁发预定在维护时限之外。

enhancement

EV 代码签名证书补发上的签名哈希选项

我们更新了扩展验证 (EV) 代码签名补发流程。现在,在补发 EV 代码签名证书时,可以为该证书选择签名哈希:SHA-256SHA-1

有关更多信息,请参阅我们的补发 EV 代码签名证书或重新发送密钥说明。

二月 28, 2020

enhancement

CertCentral 服务 API:改进的速率限制

在 DigiCert 服务 API 中,我们改进了请求速率限制。现在,我们执行的速率限制是 1000 次请求/5 分钟,,还有一个短期速率限制 100 次请求/5 分钟,以提供突增请求保护和防止滥用*。

*注意:如果请求次数超出任一速率限制,将暂时锁定 API 访问权限,并且所有请求返回 429 HTTP 状态代码 (request_limit_exceeded) 以及"服务不可用,请限制请求量"消息。

有关更多信息,请参阅速率限制

fix

我们修复了在 CertCentral 中"隐藏"的组织阻止打开证书请求表单的错误。为了修复此问题,我们在证书请求表单的可用组织列表中不再包括隐藏的组织。

如果我希望将"隐藏"的组织添加到证书请求中怎么办?

要在证书请求表单的可用组织列表中包括"隐藏"的组织,只需取消隐藏即可。

  1. 在左侧主菜单中,转到证书 > 组织
  2. 组织页面的,隐藏的组织下拉列表中,选择显示,然后单击开始
  3. 单击需要取消隐藏的组织。
  4. 组织详情页面上,,单击取消隐藏

下次订购证书时,该组织将显示在证书请求表单的可用组织列表中。

注意:此更改仅影响 CertCentral 用户界面 (UI)。该 API 支持将"隐藏"的组织添加到请求中,而无需取消隐藏组织后再将它添加到证书请求中。

new

旧帐户升级至 CertCentral

在 DigiCert 服务 API 中,我们新增一个端点 —DigiCert 订单编号,让您可以更加轻松地找到与您迁移的旧 Symantec 订单对应的 DigiCert 订单编号。

迁移活跃的公共 SSL/TLS 证书订单到新帐户后,我们会为每个迁移的旧 Symantec SSL/TLS 证书订单指定唯一的 DigiCert 订单编号。

请求示例

GET https://www.digicert.com/services/v2/oem-migration/{{symc_order_id}}/order-id

响应示例
200 OK

Example response for Digicert order ID endpoint

有关更多信息:

new

旧帐户升级 2.0

我们很高兴地宣布,目前在将旧控制中心升级至 CertCentral 时,在数据迁移中将包括经过验证的域以及活跃的公共 SSL/TLS 证书。请参阅有关帐户数据迁移的须知事项

在此次发行中,我们开始将旧控制中心分阶段升级至 CertCentral。升级条件取决于公司规模、货币首选项和功能使用情况。

注意:CertCentral 升级是免费的。如果您希望立即升级,请联系客户经理或我们的支持团队

如果您的旧帐户符合一期升级条件,在您登录到控制中心后,将看到升级至 CertCentral 的选项。升级后,我们会将您的组织和已验证的域迁移至 CertCentral 帐户。就绪后,您可以导入活跃的公共 SSL/TLS 证书。

有关升级至 CertCentral 和数据迁移的更多信息,请参阅我们的升级至 CertCentral 指南

其他类型的证书

目前不能导入私有 SSL 证书、代码签名证书、S/Mime 证书和其他类型的证书。私有 SSL/TLS 和非 SSL/TLS 证书将单独迁移。

二月 9, 2020

new

预定维护

2020 年 2 月 9 日 8:00 至 10:00 (UTC),,DigiCert 将执行预定维护。

尽管我们提供了冗余以保护您的服务,但在此期间,一些 DigiCert 可能不可用。一旦维护完成,将立即恢复 DigiCert 服务。

请做好相应的准备。将高优先级订单、续订、补发和重复颁发预定在维护时限之外。

有关更多信息,请参阅 DigiCert 2020 年预定维护。该页始终提供所有最新的维护计划信息。

new

在 DigiCert 服务 API 中,我们新增了四个用于订购更灵活的新 Basic 和 Secure Site SSL/TLS 证书的端点。这些 SSL/TLS 证书更加灵活,因此能够更轻松地获取符合您需要的证书,并且会替换旧的 Basic 和 Secure Site 产品。

这些端点仅用于下达新订单和续订订单。不能用于转换现有的 Basic 或 Secure Site 证书订单。

要对您的 CertCentral 帐户启用其中任何一种新证书,请联系您的客户经理或我们的支持团队

  • 订购 Basic OV
    POST https://www.digicert.com/services/v2/order/certificate/ssl_basic
  • 订购 Basic EV
    POST https://www.digicert.com/services/v2/order/certificate/ssl_ev_basic
  • 订购 Secure Site OV
    POST https://www.digicert.com/services/v2/order/certificate/ssl_securesite_flex
  • 订购 Secure Site EV
    POST https://www.digicert.com/services/v2/order/certificate/ssl_ev_securesite_flex

灵活的 OV 和 EV 证书

这些证书提供 DigiCert SSL/TLS 证书的加密和身份验证,让您可以构建具有任意域和通配符域*组合的 OV 或 EV 证书,以适合您的需要。

*注意:行业标准仅支持 OV SSL/TLS 证书中的通配符域。EV SSL/TLS 证书不支持使用通配符域。

new

我们很高兴地宣布,目前在 CertCentral 中新增了四种产品:

  • Basic OV
  • Basic EV
  • Secure Site OV
  • Secure Site EV

这些 SSL/TLS 证书更加灵活,因此能够更轻松地获取符合您需要的证书,并且会替换旧的 Basic 和 Secure Site 产品。要对您的 CertCentral 帐户启用其中任何一种新证书,请联系您的客户经理或我们的支持团队

灵活的 Basic OV 和 EV 证书

这些证书提供 DigiCert SSL/TLS 证书的加密和身份验证,让您可以构建具有任意域和通配符域*组合的 OV 或 EV 证书,以适合您的需要。

*注意:您只能在 OV SSL/TLS 证书中包括通配符域。EV SSL/TLS 证书不支持使用通配符域。

灵活的 Secure Site OV 和 EV 证书

这是证书包括 Basic OV 和 EV 证书的所有相同功能。而且还具有所有 Secure Site 证书的权益。

  • 优先验证
  • 优先支持
  • 两个高级网站标章
  • 恶意软件检查
  • 行业一流保证
fix

CertCentral 服务 API:修复了吊销证书端点错误

在 DigiCert 服务 API,我们修复了吊销证书端点中的错误,即,为吊销订单上的单个证书而提交的请求是针对订单上的所有证书而提交的。

注意:提交"单个证书"吊销请求后,我们返回 201 Created 响应,其中包含关于吊销订单上的所有证书的请求详情。

现在,如果使用吊销证书端点提交吊销订单上的单个证书的请求,我们会返回 201 Created 响应,其中包含关于仅吊销订单上的该单个证书的请求详情。

30 天退款保证

吊销证书端点会吊销订单上的证书,而不会吊销订单本身。我们的 30 天退款保证与订单绑定,而不是与订单上的"证书"绑定。要获取 30 天退款保证,需在 30 天内吊销订单。请参阅吊销订单证书

证书吊销流程

所有吊销请求,包括通过服务 API 提交的吊销请求,必须由管理员批准后,DigiCert 才会吊销证书。必须执行该审批步骤,不可跳过,也不能从证书吊销流程中移除。

*有关吊销证书端点的须知事项

该端点用于吊销订单上的证书,它不会吊销证书订单。

如果吊销只有一个证书的订单上的证书:

  • 订单仍然处于活跃状态
  • 对已吊销的证书不退款
  • 您仍然可以补发该订单上的证书

如果您不打算补发该订单的证书,则使用吊销订单证书端点吊销订单。

new

Discovery:帐户的已发现的证书续订通知设置

在 Discovery 中,我们新增了帐户设置,启用已发现的证书续订通知,,让您可以收到即将到期的"已发现"的 SSL/TLS 证书的续订通知。这些续订通知中包括用于向我们续订 SSL/TLS 证书的选项。续订在 CertCentral 中"发现"的 SSL/TLS 证书后,我们会将其替换为同等的 DigiCert 证书。

默认情况下,对 CertCentral 帐户禁用已发现的证书的续订通知*。要开始接收即将到期的已发现证书的续订通知,转到设置 > 首选项。在证书续订设置部分,选中启用已发现证书的续订通知

*注意:推出该新设置后,您可能需要对帐户重新启用 Discovery 续订通知。

有关更多信息,请参阅 Discovery 续订通知

enhancement

CertCentral 服务 API:改进的“提交以进行验证”端点

在 DigiCert 服务 API 中,我们更新了提交以进行验证端点,让您可以在验证到期前提交域进行重新验证。现在,您可以随时提交域进行重新验证,让您可以提前完成域验证,对域保持无缝衔接的证书颁发流程。

注意:如果在域重新验证处于待处理状态时为域订购证书,我们会使用域的当前验证颁发证书。

新请求参数:dcv_method

我们还新增了请求参数,dcv_method*。现在,当您提交域进行验证时,可以更改证明对域的控制权时所使用的 DCV 方法。

*注意:该新参数可选。如果您在请求中删除新参数,我们会返回无内容的 204 响应。您需要使用之前在证明对域的控制权时所使用的相同 DCV 方法。

具有新参数的请求示例
POST https://www.digicert.com/services/v2/domain/{{domain_id}}/validation

Submit for validation endpoint example request

请求中包含新参数时的响应示例
201 Created

Submit for validation endpoint example response

一月 14, 2020

enhancement

CertCentral 服务 API:改进的订单端点:

在 DigiCert 服务 API 中,我们对下列端点新增了"组织编号"响应参数。现在,当您在证书请求中添加新组织时,我们会在响应中返回组织编号,让您可以立即在证书请求中使用组织。

以前,在证书请求中添加新组织后,您必须额外致电以获取新组织的组织编号:订单信息

更新的订单端点:

具有新组织编号参数的响应示例

Example response with new organization ID parameter

enhancement

在文档和开发人员门户中支持 11 种语言

随着我们致力于将我们的产品推向全球,以及改进我们的网站、平台和文档的易访问性,我们很高兴宣布,我们增加了文档开发人员门户的语言支持。

我们目前支持以下 11 种语言:

  • 英语
  • 简体中文
  • 繁体中文
  • 法语
  • 德语
  • 意大利语
  • 日语
  • 朝鲜语
  • 葡萄牙语
  • 俄语
  • 西班牙语

语言支持是如何工作的?

当您访问门户时,使用语言选择器(地球图标)更改门户显示语言。您的语言选择会保留 30 天,因此您无需在每次访问我们的文档网站时重新选择语言。

提示和技巧

访问文档和开发人员门户

您可以从 DigiCert 网站和 CertCentral 访问文档和开发人员门户。

  • 进入 digicert.com
    ,在顶部菜单中,,将鼠标悬停在支持上。在资源下,,可以找到文档API 文档链接。
  • 进入 CertCentral
    ,在帮助菜单中,,选择开始使用。
    API 密钥页面,,单击 API 文档。(在左侧主菜单中,转到自动化 > API 密钥)。

在文档中创建链接

您可以链接至文档中的章节。

在文档页面上,将鼠标悬停在要链接的子标题上,单击哈希标签图标 (#)。这会在浏览器的地址栏中创建 URL。

使用该功能将说明中的特定章节加入书签或添加链接。

enhancement

CertCentral 服务 API:改进的订单文档签名 - 组织 (2000) 和 (5000) 端点:

在 DigiCert 服务 API 中,我们更新了用于订购文档签名 - 组织 (2000) 和 (5000) 证书的订购文档签名证书。我们新增了参数,"use_org_as_common_name": true,,让您可以使用组织名称作为证书上的公用名。

注意:以前,您的唯一选项是使用个人的全名作为文档签名组织证书上的公用名。

现在,如果您要使用组织名称作为文档签名组织证书上的公用名,则在证书请求中添加 "use_org_as_common_name": true 参数。当我们颁发证书时,该组织名称将成为证书上的公用名。

  • 文档签名 - 组织 (2000) 端点: https://www.digicert.com/services/v2/order/certificate/document_signing_org_1
  • 文档签名 - 组织 (5000) 端点: https://www.digicert.com/services/v2/order/certificate/document_signing_org_2

文档签名证书订购端点示例

Example Document Signing Organization certificate request

new

新证书配置文件选项

我们新增了证书配置文件选项,数据加密,,它允许您在 OV 和 EV SSL/TLS 证书中包括数据加密密钥扩展名。一旦为您的帐户启用后,在您的 SSL/TLS 证书请求单的其他证书选项下将显示证书选项中的在证书中包括数据加密密钥扩展名选项。

要为您的帐户启用证书配置文件,请联系您的客户经理或联系我们的支持团队

其他可用的证书配置文件选项

  • Intel vPro EKU
  • KDC/SmartCardLogon EKU
  • HTTP Signed Exchange
  • 授予的凭证
  • OCSP Must-Staple

有关这些受支持的证书配置文件选项的更多信息,请参阅证书配置文件选项

new

新证书订单电子邮件设置

我们新增了一些帐户通知设置 —证书生命周期电子邮件默认设置

  • 发送电子邮件给组织联系人
  • 发送电子邮件给技术联系人
  • 发送电子邮件给提交订单的用户*

通过这些新设置,您可以修改帐户默认的证书订单电子邮件设置。现在,您可以发送证书订单电子邮件给组织和技术联系人。还可以从流程中移除证书申请人。

注意*:默认情况下,提交订单的用户会收到证书订单电子邮件。

CertCentral 会为每张订单发送以下电子邮件:

  • 为新订单、续订、补发和重复订单补发的证书。
  • 续订通知

要访问证书生命周期电子邮件默认设置,在左侧主菜单中,转到设置 > 通知。有关更多信息,请参阅配置证书生命周期电子邮件收件人

十二月 10, 2019

new

Discovery 云扫描服务

我们在 Discovery 中新增了一项功能 —云扫描服务,该服务使用基于云的传感器查找您的面向公共的 SSL/TLS 证书,与证书颁发机构 (CA) 无关。

Discovery 云扫描是一项免费的云服务,因此不需要安装或管理。您可以立即开始扫描,以查找您的公共 SSL/TLS 证书。可以运行的基于云的扫描次数不受限制。

云扫描使用最近保存的扫描配置,每 24 小时运行一次。云扫描结果会提供有关找到的证书的详细信息,以及在其中安装这些证书的端点。

注意:这是云扫描服务的公测版。

要开始使用,在左侧主菜单中,转到 Discovery > 管理 Discovery。在管理扫描页面上,单击单次云扫描。有关更多信息,请参阅 Discovery 云扫描服务

new

CT 日志监控

我们很高兴宣布,Secure Site Pro 证书现在随附对 CT 日志监控服务的访问权限。CT 日志监控允许您实时监控为您的 Secure Site Pro 证书订单上的域颁发的 SSL/TLS 证书的公共 CT 日志。

CT 日志监控是一项云服务,因此不需要安装或管理。我们颁发 Secure Site Pro 证书并为该订单启用 CT 日志监控后,您可以立即开始使用该服务来监控证书订单上的域。

对 Secure Site Pro 证书的 CT 日志监控优势可追溯。要访问已颁发的活跃的 Secure Site Pro 证书订单的 CT 日志监控,请联系客户经理或我们的支持团队

CT 日志监控可帮助您:

  • 通过公共 CT 日志进行全局监控和追踪,从而了解为您的域颁发的 SSL/TLS 证书。
  • 自动检查 DigiCert 和非 DigiCert 颁发的证书,从而节省监控日志所需的时间和精力。
  • 确保为您的域颁发的每个证书均受信任,同时可以完全监督每个证书是由哪个证书颁发机构颁发的。

该服务将发现的 SSL/TLS 证书拉取到您的 CertCentral 帐户。您可以在其中查看有关证书的详细信息,以快速发现为您的域错误颁发的任何证书。您也可以从 CertCentral 帐户下载非 DigiCert 证书的副本。

电子邮件通知

为 Secure Site Pro 证书订单启用 CT 日志监控后,您将收到两种类型的电子邮件通知:每日 CT 日志摘要以及紧急通知(根据需要)。电子邮件通知发送至帐户,允许他们检查域的 CT 日志,而无需每天登录到 CertCentral 帐户。

  • 每日 CT 日志摘要
    该摘要预定每天一次,包括在公共 CT 日志中找到的 DigiCert 新颁发的 SSL/TLS 证书的每日纲要。仅当发现了 DigiCert 颁发的新证书时,才会发送每日摘要。
  • 紧急 CT 日志通知
    每当为 Secure Site Pro 证书订单上的域颁发非 DigiCert SSL/TLS 证书时,会在数分钟内发送此紧急通知。

欲了解有关每个 Secure Site Pro 证书所含项目的更多信息,请参阅 Pro TLS/SSL 证书。有关对 Secure Site Pro 证书订单启用 CT 日志监控的更多信息,请参阅启用 CT 日志监控

enhancement

改进的客户端证书流程

我们改进了客户端证书流程,让您可以取消处于已发送电子邮件给收件人状态的客户端证书订单,即等待电子邮件收件人在其中一个支持的浏览器中生成和安装客户端证书的订单。

注意:以前,当客户端证的状态为已发送电子邮件给收件人时,必须联系支持人员才能取消订单。

现在,如果需要取消处于已发送电子邮件给收件人状态的客户端证书,则转到客户端证书的订单详细信息页,选择证书操作下拉列表中取消订单。请参阅取消待处理的客户端证书订单

enhancement

CertCentral 服务 API:改进的客户端证书流程
在 DigiCert 服务 API 中,我们更新了更新订单状态端点,让您可以取消处于 waiting_pickup 状态的客户端证书订单,即等待电子邮件收件人在其中一个支持的浏览器中生成和安装客户端证书的订单。

注意:以前,当客户端证的状态为 waiting_pickup 时,会收到被禁止的错误,必须联系支持人员才能取消订单。

现在,您可以使用更新订单状态端点取消处于 waiting_pickup 状态的客户端证书订单。

new

CertCentral:默认行为变更

默认情况下,我们不再使用 CSR 中包含的组织单位信息自动填充 OV/EV SSL 证书请求表单上的组织单位值。订购这些证书时,您仍然可以手动添加组织单位信息。

注意:购买 OV/EV SSL 证书时不要求提供组织单位 (OU) 信息。而且,如果您在证书请求中包括 OU 信息,我们必须进行额外验证。这可能会延迟颁发证书,包括已经对组织和域进行预验证的请求。

new

CertCentral:新帐户设置(企业和合作伙伴)

对于 CertCentral 企业和合作伙伴帐户,我们新增了一个帐户设置 —自动填充 OU 值。该选项允许您使用 CSR 中包含的组织单位信息自动填充 OV/EV SSL 证书请求表单上的组织单位值。

注意:企业和合作伙伴帐户具有识别帐户类型的徽标:企业徽标合作伙伴徽标

在左侧主菜单中,转到设置 > 首选项。在分区首选项页面,新设置位于证书请求下的高级设置中。请参阅我们的自动填充组织单位字段说明。

十一月 21, 2019

new

Discovery:非 DigiCert SSL/TLS 证书的续订通知

在 Discovery 中,我们新增了非 DigiCert 证书的续订通知功能,因此更容易集中在一个位置 - CertCentral - 管理所有 SSL/TLS 证书。从现在起,当 Discovery 找到非 DigiCert 证书时,我们会发送这些证书的续订通知,与证书颁发机构 (CA) 无关。

注意:续订 CertCentral 中的非 DigiCert SSL/TLS 证书后,我们会将其更换为同等的 DigiCert 证书。例如,我们会将非 DigiCert 单域 SSL 证书更换为 DigiCert 单域 SSL 证书。

谁会收到这些续订通知?

默认情况下,Discovery 会向主要 CertCentral 管理员(即,创建帐户并接收所有帐户通知的个人)发送非 DigiCert SSL/TLS 证书的续订通知。

我们还会向指定接收帐户通知的任何其他电子邮件地址发送续订通知。请参阅设置帐户邮件通知证书续订通知

何时发送这些续订通知?

Discovery 根据您的 CertCentral 续订通知设置来确定发送非 DigiCert 证书续订通知的时间。默认情况下,CertCentral 会在证书到期前 90 天、60 天、30 天、7 天和 3 天以及证书到期后 7 天时发送续订通知。

要自定义续订通知时间,请参阅证书续订通知

new

Discovery:自定义非 DigiCert SSL/TLS 证书续订通知流程

在 Discovery 的证书页面上,我们在非 DigiCert 证书的操作列下拉列表中新增了三个证书续订操作:禁用续订通知,启用续订通知,和续订通知续订通知允许您添加要接收证书续订通知的电子邮件地址。

从现在起,您可以在证书页面上更新非 DigiCert 证书续订流程,以适合您的证书需求。(在左侧主菜单中,转到 Discovery > 查看结果。

注意:默认情况下,Discovery 会为所有已发现的非 DigiCert SSL/TLS 证书发送续订通知。

要自定义非 DigiCert SSL/TLS 证书的续订通知,请参阅 Discovery 续订通知

new

新功能:文档签名证书续订

我们修复了我们在其中为即将到期的文档签名 (DS) 证书订单提供立即续订链接的“即将到期的证书”页面上的错误。当您单击立即续订时,,它会打开一个 SSL 证书续订表单,您无法在其中完成 DS 证书续订。

注意:要续订 DS 证书,您必须订购一个新证书。

从现在起,在“即将到期的证书”页面上,当您单击即将到期的 DS 证书订单的立即续订时,它会打开一个 DS 证书续订表单,您可以在其中续订证书。

要了解有关续订 DS 证书的更多信息,请参阅续订文档签名证书

new

我们更新了文档签名 (DS) 证书的订单详细信息页面和订单详细信息面板,新增了续订证书选项,让您能够更轻松地在 DS 证书到期前进行续订。请注意,直到距离到期还有 90 天时,续订证书选项才会显示在订单详细信息面板和页面上。

订单详细信息面板

在左侧主菜单中,单击证书 > 订单。在“订单”页面,单击 DS 证书订单的快速查看链接。在订单详细信息面板上,,将看到新的续订证书选项。

订单详细信息页面

在左侧主菜单中,单击证书 > 订单。在“订单”页面,单击 DS 证书的订单编号链接。在订单详细信息页面的,订单操作下拉列表中,将看到新的续订证书选项。

new

在 DigiCert 服务 API 中,我们新增了一个端点 - 附加电子邮件地址。该端点允许您更新接收订单证书通知电子邮件(例如,证书续订、补发和重复订单)的电子邮件地址。

注意:这些用户不能管理订单。他们只能接收与证书有关的电子邮件。

有关服务 API 的更多信息,请参阅我们的开发人员门户

十一月 12, 2019

new

我们很高兴宣布,我们已经实现了 CertCentral 变更日志的 RSS 源。您可以在这里看到新的变更日志源:https://docs.digicert.com/change-log/feed/

RSS 源返回 15 个最近的变更日志条目。为了更容易识别即将作出的更改,我们将其标记为即将作出的更改

变更日志 RSS 源遵循 RSS 2.0 规范,兼容符合 RSS 2.0 标准的源聚合器。

RSS 源阅读程序提示

所有主要浏览器都有 RSS 源扩展程序,可自动访问您选择的 RSS 源并为您整理结果。例如,Chrome 扩展程序 RSS Feed Reader 用于包含在帖子中的截图。

compliance

更新的维护计划

我们重新预定了维护时限。在 2019 年 11 月 9 日 9:00 至 12:00 (UTC),,DigiCert 将执行一些计划内维护任务。

在此期间,DigiCert 服务可能不可用:

  • CertCentral
  • DigiCert 网站 (digicert.com)
  • 证书验证
  • 证书颁发

一旦维护完成,将立即恢复 DigiCert 服务。

请做好相应的准备。将高优先级订单、续订、补发和重复颁发预定在维护时限之外。

DigiCert 服务 API 集成

在维护期间,对 DigiCert 服务 API 的访问将不稳定或不存在。如果您使用 API 执行自动化任务,在此期间将会中断。

十一月 8, 2019

new

我们很高兴宣布,在 DigiCert 开发人员门户中新增了 Discovery API。我们刚刚发布了首个 Discovery API 端点集。随着我们继续扩充 Discovery API 文档,将来会推出更多端点。

为什么使用它?

  • 无需登录 CertCentral 帐户也能访问 Discovery 功能。
  • 根据组织需要定制个性化的 Discovery 体验。
  • 与现有工具集成。

可以立即开始使用的端点示例:

提示和技巧

  • Discovery API 使用该基本 URL:https://daas.digicert.com/apicontroller/v1/
  • Discovery API 要求具有管理员或经理级别的权限。
enhancement

我们更新了 OV 和 EV SSL/TLS 证书订购单,新增了 DCV 验证方法下拉列表。从现在起,在订购 OV 和 EV 证书时,可以选择在验证订单上的新域时需要使用的 DCV 方法。请参阅我们的订购 SSL/TLS 证书说明。

注意:所选的 DCV 方法适用于订单上的所有未验证的域。提交订单后,可以在证书的“订单详细信息”页面上更改各个域的 DCV 方法。请参阅我们的证明对待处理证书订单上所列域的控制权说明。

enhancement

我们更新了域预验证表单,整合了 OV 和 EV 证书验证选项。从现在起,在对域进行预验证时,使用新整合的域验证选项—OV/EV 域验证*。请参阅我们的域预验证:域控制验证 (DCV) 方法说明。

注意*:适用于 OV 和 EV 证书的域控制验证 (DCV) 方法相同(验证电子邮件、DNS TXT 等)。它们之间的唯一区别是域验证的有效期不同。对于 OV SSL 证书,需每隔 825 天(大约 27 个月)重新验证域。对于 EV SSL 证书,需每隔 13 个月重新验证域。

new

在 Discovery 中,我们新增了一项功能添加根和中间证书颁发机构,让您可以上传公共和私有根和中间证书颁发机构。使用该功能获取其所在证书链中的证书的更准确的安全性评级。

如果 Discovery 无法找到证书的根证书和中间证书颁发机构,它会降低证书的安全性评级。通过上传证书的中间证书和根证书颁发机构的副本,Discovery 下一次运行包含该证书的扫描时,您会获得更加准确的评级。

注意:支持的证书格式:.der 和 .cer

在 CertCentral 的左侧主菜单中,单击 Discovery > 管理 Discovery。在“管理扫描”页面的更多操作下拉列表中,单击管理根和中间证书颁发机构。请参阅我们的 Discovery 用户指南中的添加公共和私有根和中间证书颁发机构

new

在 Discovery 中,我们新增了黑名单功能,可以从扫描结果中排除特定 IP 地址和 FQDN。例如,您可能要将 CDN 网络中的域列入黑名单。

注意:将 IP 地址或 FQDN 列入黑名单后,在以后的所有帐户 Discovery 扫描中将排除其信息。该功能不会从现有扫描结果中移除信息。

在 CertCentral 的左侧主菜单中,单击 Discovery > 管理 Discovery。在“管理扫描”页面的更多操作下拉列表中,单击管理黑名单。请参阅我们的 Discovery 用户指南中的将 IP 地址和 FQDN 列入黑名单

new

面向合作伙伴、经销商和企业的子帐户管理

许多子帐户功能在以前的测试版发行中已经提供。在此次发行版本中,所有子帐户管理功能在 CertCentral 中完全可用。

具有分层组织结构的合作伙伴、经销商和企业可以:

  • 为他们的零售或企业客户或他们自己的自主二级经销商创建和管理所有子帐户详细信息。
  • 为子帐户指定自己的客户经理。
  • 通过 CertCentral 控制中心或 API 查看子帐户订单和报告。
  • 将订单帐单直接发送给子帐户或父级帐户/子帐户。
  • 自定义可用产品和定价。
  • 管理基于佣金的财务,它在 CertCentral 中已经进行更新和增强。

子帐户在哪里?

  • 转到 CertCentral 左侧导航中的子帐户菜单
  • 如果在帐户中看不到子帐户,请联系您的客户经理或客户支持人员。
new

在 CertCentral API 中,我们新增了一个自定义报告 API,它使用强大的 GraphQL 查询语言,使您可以生成全面和自定义的数据集以生成更加可靠的报告。

自定义报告 API 将多个 REST 端点整合到一个端点中,使您能更好地定义查询中的类型和字段,从而仅返回需要的信息。而且还能用它来创建用于生成和调度报告的可重用查询模板。

有关更多信息,请参阅开发人员门户中的自定义报告 API

new

API 密钥和 ACME 目录 URL 的新位置

随着越来越多的组织希望自动实现 SSL/TLS 证书部署,我们在左侧主菜单中新增了一个选项自动化并且在新菜单选项中放置了两个用于自动实现证书部署的基本工具:API 密钥ACME 目录 URL

以前,您从“帐户访问权限”页面中访问这些功能。从现在起,我们已经将它们添加到左侧主菜单中的便捷位置(在主菜单中,单击自动化 > API 密钥自动化 > ACME 目录 URL)。

注意:只有帐户管理员和经理可以在左侧主菜单中看到自动化菜单选项。

compliance

Apple 关于私有 SSL 证书的新合规性要求

Apple 最近宣布对 SSL/TLS 证书实行一些新的安全性要求,这些要求将随着 iOS 13 和 macOS 10.15 的发布而生效。这些要求影响在 2019 年 7 月 1 日以后颁发的私有证书。

对于您的公共 DigiCert SSL/TLS 证书,无需执行任何操作。

DigiCert 公共 SSL/TLS 证书已经满足所有这些安全性要求。您的公共 SSL/TLS 证书不受这些新要求的影响,并且在 iOS 13 和 macOS 10.15 中受信任。

新增内容

Apple 即将对所有 SSL/TLS 证书实施更多安全性要求,在设计上影响私有 SSL/TLS 证书。请参阅在 iOS 13 和 macOS 10.15 中受信任的证书的要求

帐户管理员根据公共证书要求颁发的 DigiCert 私有 SSL/TLS 证书满足这些要求。

我们在下方提供了可能影响您的私有 SSL/TLS 证书的要求列表。这些版本的 Apple OS 计划在今年秋季发布。这意味着您需要立即开始准备。

新的私有 SSL/TLS 证书要求:

  • 在签名算法中必须使用来自 SHA-2 系列的算法。SHA-1 签名的 SSL/TLS 证书不再受信任。
  • 有效期不得超过 825 天。有效期超过 825 天的 SSL/TLS 证书不再受信任。

您可以做什么?

如果您的私有 SSL/TLS 证书需要获得 Apple iOS 和 macOS 信任,则验证在 2019 年 7 月 1 日以后颁发的所有私有 SSL/TLS 证书是否符合他们的新要求。如果找到不符合这些要求的证书,则需尽快采取这些行动:

new

我们在组织组织详细信息页面新增了两种状态:验证即将到期,验证已过期。这些新状态让您可以更轻松地主动跟踪组织验证,确保验证始终保持最新。

从现在起,当您访问组织页面(在侧栏菜单中,单击证书 > 组织)时,可以快速找到验证即将到期或已过期的组织。有关即将到期或已过期的组织验证的更多详细信息,请单击组织名称。

fix

我们修复了一些帐户无法提交组织进行 EV CS(代码签名组织扩展验证)的错误。受影响的帐户仅含有 EV 代码签名产品和代码签名产品。

作为修复的一部分,我们拆分了已验证的 EV 和 EV CS 联系人选项。从现在起,在提交组织进行 EV CS(代码签名组织扩展验证)时,只能提交组织的已经获得 EV CS 订单审批验证的联系人。同样,在提交组织进行 EV(扩展组织验证)时,只能提交组织的已经获得 EV SSL 证书订单审批验证的联系人。

注意:对于 EV 代码签名证书订单,需要对组织和组织的已验证的联系人进行预验证。有关组织预验证的更多信息,请参阅我们的关于提交组织以进行预验证的说明

compliance

例行服务器维护

2019 年 9 月 22 日 6:30 至 8:30 (UTC),DigiCert 将执行一些例行服务器维护任务。在此期间,您可能会被退出 CertCentral 帐户,并且在登录时遇到问题。此外,证书验证和颁发服务也可能无法运行。

请做好相应的准备。例如,在维护时限之外提交高优先级续订、补发或新证书订单。

注意:我们将尽快恢复访问。

DigiCert 服务 API 集成

在服务器维护期间,对 DigiCert 服务 API 的访问将不稳定或不存在。如果您使用 API 执行自动化任务,在此期间将会中断。

new

我们在 API 密钥生成流程中新增了一项权限,允许您将 API 密钥限制为"仅查看"权限。

将 API 密钥关联到用户时,您是将该用户的权限关联到该密钥。从现在起,您可以将用户的 API 密钥的权限限制为仅 GET 请求。

有关更多信息,请参阅生成 API 密钥

new

在 DigiCert 服务 API 中,我们更新了创建密钥编辑密钥端点,新增了访问角色限制 - 仅查看

从现在起,使用 API 创建或编辑 API 密钥时,在请求中添加 restricted_to_role_id 参数并包含新的 102 值,从而将 API 密钥限制为仅 GET 请求。

创建密钥请求端点示例

Example Create API key request

new

我们在即将到期的证书页面(在侧栏中,单击证书 > 即将到期的证书)上新增了两个功能,让您可以更轻松地管理即将到期的证书的续订通知。

首先,我们新增了带有交互式复选框的续订通知列。使用该复选框为即将到期的证书启用或禁用续订通知。

其次,我们新增了两个续订通知筛选项:禁用启用。这些筛选项允许您仅查看启用或禁用了续订通知的证书订单。

enhancement

在 DigiCert 服务 API 中,我们更新了列出密钥获取密钥信息端点响应参数,使您可以查看与您的 ACME 证书订单关联的组织。

从现在起,当您调用列出密钥获取密钥信息端点时,我们在响应中返回与 ACME 证书关联的组织的名称 (organization_name)。

Get key info: example reponse with new parameter

compliance

Firefox 不再支持密钥生成

随着 Firefox 69 的发行,Firefox 最终终止支持 Keygen。Firefox 使用 Keygen 帮助生成密钥材料,用于在浏览器中生成代码签名、客户端和 SMIME 证书时提交公钥。

注意:Chrome 已经终止支持密钥生成,而 Edge 和 Opera 从不支持密钥生成。

对您有什么影响?

DigiCert 颁发代码签名、客户端或 SMIME 证书后,我们向您发送一封电子邮件,其中包含用于创建和安装证书的链接。

发行 Firefox 69 后,您只能使用两种浏览器生成这些证书:Internet Explorer 和 Safari。如果公司政策要求使用 Firefox,您可以使用 Firefox ESR 或 Firefox 的可携带副本。

有关更多信息,请参阅 Firefox 69 将终止支持 Keygen

提示和技巧

  • 您仍然可以使用 Firefox 69 进行客户端身份验证。首先,在 IE 11 或 Safari 中生成 SMIME 证书。然后,将 SMIME 证书导入到 Safari。
  • 为了绕过在浏览器中生成代码签名、客户端或 SMIME 证书,请通过订单生成和提交 CSR。DigiCert 不会提供链接,而是在电子邮件中以附件的形式添加证书。
new

我们已将新状态已发送电子邮件给收件人,添加到代码签名和客户端证书订单的订单订单详细信息页面,使其更容易识别这些订单在证书颁发流程中所处的阶段。

该新状态表示 DigiCert 已经验证订单,且证书正在等待用户/电子邮件收件人在以下其中一种支持的浏览器中生成它:IE 11、Safari、Firefox 68 和便携式 Firefox

(在侧栏菜单中,单击证书 > 订单。然后,在“订单”页,单击代码签名证书或客户端证书订单的订单编号。)

enhancement

我们更新了扩展验证 (EV) 代码签名 (CS)文档签名 (DS) 证书补发流程,使您无需自动吊销当前证书(原始证书或之前补发的证书)就能补发这些证书。

注意:如果您不需要当前证书(原始证书或之前补发的证书),则需联系支持人员,请求他们为您吊销。

从现在起,当您下次补发 EV CS 或 DS 证书时,您可以让之前补发的证书在当前有效期内(或您需要的期间内)一直保持有效。

compliance

行业标准合规性提醒

对于公共和私有证书,证书颁发机构 (CA) 不接受在证书订单或组织预验证请求中的地址的这些部分使用缩略词:

  • 州或省*
  • 城市或区*

*适用于组织和管辖区地址。

new

我们简化了在提交域进行验证(预验证或通过证书订单进行验证)时为帐户定义域验证范围的流程。

在“分区首选项”页面上,我们添加了两个域验证范围选项:

  • 提交要验证的准确域名
    为新域提交请求以按照准确的域名进行验证(例如,为 sub.example.com 提交请求以按照准确的域名 sub.example.com 进行验证)。也进行“更高级”域(例如,example.com)验证。这是 CertCentral 的默认行为。
  • 将验证范围限制为仅基域
    该选项允许您将域验证范围限制为基域(例如,example.com)。对于包含新子域(例如,sub.example.com)的请求,我们仅接受基域(例如,example.com)的域验证。不对子域(例如,sub.example.com)进行验证。

要为帐户配置域验证范围,请在侧栏菜单中,单击设置 > 首选项。在“分区首选项”页面上,展开高级设置。在“域控制验证 (DCV)”部分的域验证范围下,将看到新设置。

fix

我们修复了将 Wildcard SSL 证书补发和新证书订单上的 SAN 最大允许数量限制为 10 个的错误。

现在,在补发或订购新 Wildcard SSL 证书时,可以添加最多 250 个 SAN。

new

在 DigiCert 服务 API 中,我们新增了两个订单信息端点。现在,您可以使用订单 ID、证书的序列号或证书的指纹查看证书订单的详细信息。

  • GET https://www.digicert.com/services/v2/order/certificate/{{拇指指纹}}
  • GET https://www.digicert.com/services/v2/order/certificate/{{serial_number}}

目前,这些新端点仅检索主证书的数据。有关服务 API 的更多信息,请参阅我们的开发人员门户。

new

PQC 容器化工具包指南现已推出

Secure Site Pro Secure Site Pro 证书现在随附对 DigiCert 后量子加密 (PQC) 工具包的访问权限。要创建自己的 PQC 测试环境,请使用以下其中一个选项:

我们的工具包包含创建混合 SSL/TLS 证书所需的一切工具。工具包中的混合证书使用 PQC 算法与 ECC 算法配对,您可以测试在您的网站上托管后量子、向后兼容的混合证书的可行性。

注意:要访问 PQC 工具包,请进入 Secure Site Pro 证书的订单编号详细信息页面。(在侧栏菜单中,单击证书 > 订单。在订单页面,单击 Secure Site Pro 证书的订单编号链接。在证书的订单详细信息页上,单击 PQC 工具包。)

要了解有关后量子加密的更多信息,请参阅我们的后量子加密。欲了解有关每个 Secure Site Pro 证书所含项目的更多信息,请参阅 Pro TLS/SSL 证书

new

DigiCert 很高兴宣布,我们简化了 DigiCert 帐户使用零售 API 升级至我们的新证书管理平台 DigiCert CertCentral 的流程,而且免费

为了实现尽可能无缝的升级流程,我们新增了这些零售 API 端点:

现在,您无需中断 API 集成,就能升级 DigiCert 帐户。升级后,计划构建与 CertCentral 之间的新集成。

  • 有关 CertCentral 服务 API 的更多信息,请参阅我们的开发人员门户。

有关 DigiCert 零售 API 的更多信息,请参阅我们的 DigiCert 零售 API 文档

enhancement

在 Discovery 了,我们更新了证书页面,添加了新的操作(更换证书)到操作下拉列表中。现在,您可以从证书页面将任何证书更换成 DigiCert 证书,无论证书颁发机构是谁。

(在侧栏菜单中,单击 Discovery > 查看结果。在证书页面上的“操作”下拉列表中找到需要更换的证书。单击操作 > 更换证书。)

enhancement

在 Discovery 中,我们更新了 Discovery 控制面板上的按评级分类的证书小组件,方便您更轻松地查看公共 SSL/TLS 证书的安全性评级(在侧栏菜单中,单击 Discovery > Discovery 控制面板)。

作为更新的一部分,我们更改了小组件的名称:通过安全性评级分析的证书。接着,我们把小组件上的图表分成了两个图表:公共其他。现在,您可以使用小组件上的公共 | 其他切换开关选择需要查看的图表。

通过安全评级分析的证书 - 公共图表仅显示公共 SSL/TLS 证书的评级。通过安全性评级分析的证书 - 其他图表显示所有其他 SSL/TLS 证书(例如,私有 SSL 证书)的评级。

enhancement

在 Discovery 中,我们更新了端点服务器详情页面,方便您更轻松地查看 IP 地址和来源主机名/FQDN 扫描。

现在,当您为主机名/FQDN 配置扫描时,且扫描的端点结果返回 IP 地址时,我们会随 IP 地址提供来自扫描的主机名/FQDN。

更新备注:主机名更新在最新的传感器版本 3.7.10 中可用。完成传感器更新后,再次运行扫描以查看扫描结果上的主机名/IP 地址关联。

new

在 DigiCert 服务 API 中,我们为订购 Secure Site Pro 证书新增了两个端点:订购 Secure Site Pro SSL订购 Secure Site Pro EV SSL

  • POST https://www.digicert.com/services/v2/order/certificate/ssl_securesite_pro
  • POST https://www.digicert.com/services/v2/order/certificate/ssl_ev_securesite_pro

每张 Secure Site Pro 证书所包含的优势

每个 Secure Site Pro 证书均免费包括高级功能(例如,Post Quantum Cryptographic (PQC) 工具包)的首次访问权限。

其他优势包括:

  • 优先验证
  • 优先支持
  • 两个高级网站标章
  • 恶意软件检查
  • 行业一流保证 - 保护您和您的客户!

欲了解有关我们的 Secure Site Pro 证书的更多信息,请参阅 DigiCert Secure Site Pro

要对您的 CertCentral 帐户启用 Secure Site Pro 证书,请联系您的客户经理或我们的支持团队

enhancement

我们改进了 SAML 单一登录和 SAML 证书请求工作流,因此您可以关闭 SAML 单一登录和 SAML 证书请求。以前,在为帐户配置 SAML SSO 或 SAML 证书请求后,关闭它们的唯一办法是从帐户中移除这两个 SAML 功能。

现在,您可以通过在联盟设置页面上删除联盟设置的方式,为帐户关闭 SAML SSO 和 SAML 证书请求。

注意:仅当您配置联盟设置(启用该功能)后,关闭 SSO关闭 SAML 证书请求按钮才会显示。

有关 SAML 单一登录和 SAML 证书请求与 CertCentral 集成的更多信息:

new

Secure Site Pro 证书现在随附对 DigiCert 后量子加密 (PQC) 工具包的访问权限。我们的工具包包含创建混合 SSL/TLS 证书所需的一切工具。工具包中的混合证书使用 PQC 算法与 ECC 算法配对,您可以测试在您的网站上托管后量子、向后兼容的混合证书的可行性。

注意:对 Secure Site Pro 证书的 PQC 优势可追溯。要访问 PQC 工具包,请进入 Secure Site Pro 证书的订单编号详细信息页面。(在侧栏菜单中,单击证书 > 订单。在订单页面,单击 Secure Site Pro 证书的订单编号链接。在证书的订单详细信息页上,单击 PQC 工具包。)

欲了解有关后量子加密和 PQC 工具包的更多信息:

欲了解有关每个 Secure Site Pro 证书所含项目的更多信息,请参阅 Pro TLS/SSL 证书

compliance

行业标准变更

从 2019 年 7 月 31 日 (19:30 UTC) 开始,您必须使用 HTTP 实用演示 DCV 方法演示对证书订单上的 IP 地址的控制权。

有关 HTTP 实用演示 DCV 方法的更多信息,请参阅这些说明:

行业标准过去允许使用其他 DCV 方法证明对 IP 地址的控制权。但是,随着投票 SC7 的通过,IP 地址验证法规已更改。

投票 SC7:更新 IP 地址验证方法

该投票重新定义了验证客户对证书中所列 IP 地址控制权的允许流程和程序。投票 SC7 合规性更改从 2019 年 7 月 31 日 (19:30 UTC) 开始生效。

为了保持合规,从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 仅允许客户使用 HTTP 实用演示 DCV 方法验证 IP 地址。

移除对 IPv6 的支持

从 2019 年 7 月 31 日 (19:30 UTC) 开始,DigiCert 移除了对 IPv6 地址证书的支持。由于服务器限制,DigiCert 无法连接到 IPv6 地址以验证在客户的 HTTP 实用演示 DCV 方法网站上放置的文件。

enhancement

在 DigiCert 服务 API 中,我们更新了列出补发端点响应参数,您可以在补发的订单上看到接收者 ID、购买的域的数量以及购买的通配符域的数量。

现在,我们将根据情况在补发证书的订单详细信息中返回这些响应参数:

  • receipt_id
  • purchased_dns_names
  • purchased_wildcard_names
Example of the new List reissues endpoint response-parameters

new

在 Discovery 中,我们在扫描设置中增加了扫描配置的密码套件选项,您可以查看在服务器上启用的密码套件。添加或编辑扫描时,当您选择选择扫描内容后,该选项位于设置部分。请参阅设置和运行扫描编辑扫描

扫描完成后,密码套件信息列于服务器详细信息页面的服务器详细信息部分。(在侧栏菜单中,单击 Discovery > 查看结果。在“证书”页面上,单击查看端点。在“端点”页面上,单击该端点的 IP 地址/FQDN 链接。然后,在“服务器详细信息”页面的“服务器详细信息”部分,单击密码视图链接。)

更新备注:新的扫描配置的密码套件选项在最新的传感器版本 3.7.7 中可用。传感器更新完成后,编辑扫描设置。,选择选择扫描内容,选中扫描配置的密码套件,然后重新运行扫描。

enhancement

在 Discovery 中,我们更新了严格传输安全 (STS) 安全标头的分级系统。现在,我们仅为 HTTP 200 请求检查 STS,而为 HTTP 301 请求忽略。当网站缺少严格传输安全 (STS) 安全标头或设置错误时,我们才会惩罚服务器。在这些情况下,我们将服务器分级为"存在风险"。

以前,我们为 HTTP 301 请求检查 STS,并且当它缺少严格传输安全 (STS) 安全标头时惩罚服务器。在这些情况下,我们将服务器分级为"不安全"。

要查看安全标头结果,请前往该端点的“服务器详细信息”页面。在侧栏菜单中,单击 Discovery > 查看结果。在“证书”页面上,单击查看端点。在“端点”页面上,单击该端点的 IP 地址/FQDN 链接。

更新备注:更新的 STS 分级系统在最新的传感器版本 3.7.7 中可用。在传感器更新完成后,请重新运行扫描以查看更新的 STS 分级。

enhancement

我们改进了“补发订单证书”页面上的交易记录摘要,您可以看到证书即将到期的剩余天数。现在,当您补发证书时,交易记录摘要显示证书有效期以及即将到期的剩余天数,例如,1 年(在 43 天后到期)。

enhancement

在 DigiCert 服务 API 中,我们更新了列出订单,订单信息,列出补发,和列出副本端点,您可以看到证书即将到期的剩余天数。对于这些端点,我们在其响应中返回 days_remaining 参数。

Example of the days_remaining response parameter.png

enhancement

我们改进了仅 SAML SSO 用户与 CertCentral 服务 API 的集成,增加了可用于向仅 SSO 用户授予 API 访问权限的帐户设置。在 SAML 登录 (SSO) 页的“为用户配置 SSO 设置”下,您现在可以看到为仅 SSO 用户启用 API 访问权限复选框(在侧栏菜单中,单击设置 > 单一登录)。请参阅配置 SAML 单一登录

注意:该设置允许拥有 API 密钥的仅 SSO 用户绕过单一登录。为仅 SSO 用户禁用 API 访问权限不会吊销现有的 API 密钥。它只会阻止生成新的 API 密钥。

七月 9, 2019

fix

为了改进来宾 URL 的自定义有效期的工作方式,我们需要临时移除对该功能的访问权限。现在,在创建新来宾 URL 时,,您只有 1 年、2 年和 3 年有效期选项。

此更改不影响现有的来宾 URL。包括自定义有效期选项的现有来宾 URL 将继续像以前一样工作。

注意:3 年有效期选项仅适用于私有 SSL 和客户端证书。从 2018 年 2 月 20 日开始,DigiCert 将不再提供 3 年的公共 SSL/TLS 证书。有关此更改的详细信息,请单击此处

创建来宾 URL
在侧栏菜单中,单击帐户 > 帐户访问权限。在“帐户访问权限”页上的“来宾 URL”部分,单击添加来宾 URL。请参阅管理来宾 URL

fix

我们修复了如下错误:从证书订购流程中移除审批步骤将会阻止自定义表单字段值记录到证书的订单详细信息页面。

现在,如果您为证书订购表单创建自定义字段并且为您的帐户启用跳过审批步骤,自定义订单值将记录在证书的订单详细信息页面。

自定义订单表单字段

在侧栏菜单中,单击设置 > 自定义订单字段。在“自定义订单表单字段”页面上,单击添加自定义订单表单字段。请参阅管理自定义订单表单字段

跳过审批步骤

在侧栏菜单中,单击设置 > 首选项。在“分区首选项”页面上,展开高级设置。在“证书请求”部分的“审批步骤”下,选择跳过审批步骤:移除证书订购流程中的审批步骤。请参阅从证书订购流程中移除审批步骤

fix

我们修复了证书订购表单错误,以前添加到订单的其他电子邮件地址未记录到证书的订单详细信息页面。

现在,如果您向订单添加您希望让其接收证书通知邮件的其他电子邮件地址,这些电子邮件地址会记录到证书的订单详细信息页面。

fix

我们修复了取消订单错误,以前取消证书续订会从订单中移除续订选项。

注意:要续订这些证书,您必须联系我们的支持团队。

现在,如果您取消证书续订,该订单仍然保留续订选项,以便您以后再续订证书。

enhancement

我们改进了证书的订单编号详细信息页面和订单编号详细信息面板,新增了提出订单请求的方式,您可以查看请求订单的位置:通过 API、通过 ACME 目录 URL 或从 CertCentral 内。如果通过 API 密钥或 ACME 目录 URL 请求订单,我们还包括 API 密钥名称或 ACME 目录 URL 名称。

注意:此外还在“订单详细信息”部分新增了提出订单请求者条目,更容易看到请求证书的用户是谁。以前,我们将请求者信息包括在请求日期详细信息中。

订单编号详细信息面板

在侧栏菜单中,单击证书 > 订单。在“订单”页面,单击证书订单的快速查看链接。在订单编号详细信息面板中,展开显示更多证书信息。在“订单详细信息”部分,您将看到新的提出订单请求的方式条目。

订单编号详细信息页面

在侧栏菜单中,单击证书 > 订单。在“订单”页面,单击证书订单编号链接。在“订单编号详细信息”页面的“订单详细信息”部分,您将看到新的提出订单请求的方式条目。

enhancement

我们改进了与 CertCentral 集成的 SAML 单一登录 (SSO) 的用户邀请工作流,您可以在发送帐户用户邀请之前指定被邀请者作为仅 SSO 用户。现在,在邀请新用户弹窗中,使用仅 SAML 单一登录 (SSO) 选项限制被邀请者为仅 SAML SSO。

注意:此选项为这些用户禁用所有其他身份验证方式。而且,仅当您为 CertCentral 帐户启用 SAML 时,此选项才显示。

(在侧栏菜单中,单击帐户 > 用户邀请。在“用户邀请”页面上,单击邀请新用户。请参阅 SAML SSO:邀请用户加入帐户。)

简化的注册表

我们还简化了仅 SSO 用户注册表,删除了密码和安全问题要求。现在,仅 SSO 被邀请者需仅添加他们的个人信息。

new

我们添加了发现的即将到期的证书,您可以更容易地从帐户中的 CertCentral 仪表板中看到 Discovery 证书扫描结果,证书颁发机构,和按等级分析证书小工具。

每个小工具都包含一个交互式图表,您可以通过钻取以轻松找到有关即将到期的证书的更多信息(例如,哪些证书将在 8 至 15 天内到期)、每个证书颁发机构(例如,DigiCert)颁发的证书以及各安全性等级(例如,不安全)的证书。

有关 Discovery 的更多信息

Discovery 使用传感器扫描您的网络。扫描在您的 CertCentral 帐户内集中配置和管理。

new

在 DigiCert 服务 API 中,我们更新了订单信息端点,您可以查看请求证书的方式。对于通过服务 API 或 ACME 目录 URL 请求的证书,我们返回新的响应参数:api_key. 该参数包括密钥名称以及密钥类型:API 或 ACME。

注意:对于通过其他方式(例如,CertCentral 帐户、来宾请求 URL 等)请求的订单,在响应中忽略 api_key 参数。

现在,在查看订单详细信息时,对于通过 API 或 ACME 目录 URL 请求的订单,您将在响应中看到新的 api_key 参数:

GET https://dev.digicert.com/services-api/order/certificate/{order_id}

响应:

Order info endpoint response parameter

new

我们在“订单”页面新增了一个搜索筛选项 - 请求方式,您可以搜索通过特定 API 密钥或 ACME 目录 URL 请求的证书订单。

现在,在“订单”页面上,使用请求方式筛选项查找通过特定 API 密钥或 ACME 目录 URL 请求的有效、已到期、已吊销、被拒绝、等待补发、待处理和副本证书。

(在侧栏菜单中,单击证书 > 订单。在“订单”页面上,单击显示高级搜索。然后,在请求方式下拉列表中,选择 API 密钥或 ACME 目录 URL 名称或在框中键入其名称。)

enhancement

我们改进了 Basic 和 Secure Site 单域证书组合(Standard SSL、EV SSL、Secure Site SSL 和 Secure Site EV SSL),将在证书中同时包括[your-domain].com 和 www.[your-domain].com 选项添加到这些证书的订购、补发和副本表单中。该选项可用于选择是否在这些单域证书中免费包括两个版本的公用名 (FQDN)。

  • 要获取两个版本的公用名 (FQDN),请选中在证书中同时包括[your-domain].com 和 www.[your-domain].com
  • 要仅获取公用名 (FQDN),请取消选中在证书中同时包括[your-domain].com 和 www.[your-domain].com

请参阅订购 SSL/TLS 证书

子域同上

该新选项可用于同时获取基域和子域版本。现在,要获取两个版本的子域,请将该子域添加到公用名框 (sub.domain.com),然后选中在证书中同时包括[your-domain].com 和 www.[your-domain].com。当 DigiCert 颁发您的证书时,它将在证书上包括两个版本的子域:[sub.domain].com 和 www.[sub.doman].com。

删除为子域使用 Plus 功能

在证书中同时包括[your-domain].com 和 www.[your-domain].com 选项将使 Plus 功能 - 为子域使用 Plus 功能失效。因此,我们从“分区首选项”页面上移除了该选项(在侧栏菜单中,单击设置 > 首选项)。

enhancement

在 DigiCert 服务 API 中,我们更新了订购 OV/EV SSL,订购 SSL (type_hint),订购 Secure Site SSL,订购私有 SSL,补发证书,和副本证书端点,如下所列。这些更改使您在请求、补发和重复单域证书时拥有更大的控制权,可选择是否在这些单域证书上免费包括特定的附加 SAN。

  • /ssl_plus
  • /ssl_ev_plus
  • /ssl_securesite
  • /ssl_ev_securesite
  • /private_ssl_plus
  • /ssl*
  • /补发
  • /duplicate

*注意:对于订购 SSL (type_hint) 端点,仅使用下面描述的 dns_names[] 参数添加免费 SAN。

要获取域的两个版本([your-domain].com 和 www.[your-domain].com),在您的请求中使用 common_name 参数添加域 ([your-domain].com),使用 dns_names[] 参数添加域的另一个版本 (www.[your-domain].com)。

当 DigiCert 颁发您的证书时,它将保护域的两个版本。

example SSL certificte request

要仅获取公用名 (FQDN),忽略请求中的 dns_names[] 参数即可。

六月 27, 2019

fix

我们修复了 SAML 单一登录 (SSO) 错误,以前一些仅单一登录用户会看到关于重置其已到期的不存在的 CertCentral 密码的提示。

注意:该提示仅在用户登录到其帐户后显示。这些仅 SSO 用户仍然可以访问所有帐户功能并执行所有相关任务。

enhancement

我们改进了订单编号详细信息页面,您可以查看在您的证书中添加的证书配置文件选项。现在,当您进入证书的订单编号详细信息页面时,在订单详细信息部分,可以看到包括在该证书订单中的配置文件选项

证书配置文件选项

为您的帐户启用证书配置文件后,配置文件选项将显示在您的 SSL/TLS 证书请求表的附加证书选项下。在订购 SSL/TLS 证书时,您可以向证书添加配置文件。

欲了解有关受支持的证书配置文件选项的更多信息,请参阅证书配置文件选项。要为您的帐户启用证书配置文件,请联系您的客户经理或联系我们的支持团队

enhancement

我们改进了 API 密钥生成流程,增加了将 API 密钥权限限制为特定操作集的功能。

将密钥关联到用户时,您是将该用户的权限关联到该密钥。现在,您可以将该密钥的权限限制为该用户角色范围内的操作子集。

有关更多信息,请参阅生成 API 密钥

new

我们在帐户访问权限页面上的 API 密钥列表上添加了新信息图标,可帮助您快速确定具有限制权限的 API 密钥(在侧栏菜单中,单击帐户 > 帐户访问权限)。单击该图标即可看到该密钥可用于哪些集成。

new

我们新增了编辑 API 密钥功能,您可以编辑有效的 API 密钥的描述和权限。

要编辑 API 密钥,在侧栏菜单中,单击帐户 > 帐户访问权限。在“帐户访问权限”页面的 API 密钥下,单击 API 密钥名称链接。

有关更多信息,请参阅编辑 API 密钥

enhancement

在 DigiCert 服务 API 中,我们改进了副本证书端点工作流。现在,如果可以立即颁发副本证书,我们会在响应主体中返回副本证书。

有关更多信息,请参阅副本证书

enhancement

我们改进了 CertCentral 中的副本证书订购流程。现在,如果可以立即颁发副本证书,您会直接跳转到副本页面,可在其中立即下载证书。

enhancement

我们改进了跳过审批步骤帐户设置,将该设置应用于通过在线门户及 API 提出的证书请求。

要访问帐户中的跳过审批步骤,请在侧栏菜单中,单击设置 > 首选项。在“分区首选项”页面上,展开高级设置,向下滚动到“证书请求”部分。请参阅从证书订购流程中移除审批步骤

fix

我们修复了“来宾 URL 申请证书”页面上的错误,以前单击立即订购将重定向到 DigiCert 帐户登录页面。

现在,当您从来宾 URL 订购证书时,单击立即订购,,您的请求将提交到您的帐户管理员进行审批。有关来宾 URL 的更多信息,请参阅管理来宾 URL

enhancement

我们在“新建分区”页面新增了自动续订用户功能,可选择性地允许您在创建新分区时为该分区的自动续订订单设置默认用户。如果设置,该用户将替换所有分区自动续订证书订单上的原始请求者并有助于防止自动续订中断。

在您的帐户的侧栏菜单中,单击帐户 > 分区。在分区页面上,单击新建分区。在“新建分区”页面的自动续订用户下拉列表中,为所有分区自动续订订单设置默认用户。

new

我们在 CertCentral 组合中新增了一个工具 - ACME 协议支持 - 您可以将 ACME 客户端与 CertCentral 集成以订购 OV 和 EV TLS/SSL 证书。

注意:这是 CertCentral 中的 ACME 协议支持的开放测试期。要报告错误或获取关于如何将 ACME 客户端与 CertCentral 连接的帮助,请联系我们的支持团队

要访问 CertCentral 帐户中的 ACME,请转到“帐户访问权限”页(在侧栏菜单中,单击帐户 > 帐户访问权限),您将看到新的 ACME 目录 URL 部分。

有关如何将 ACME 客户端与 CertCentral 帐户连接的信息,请参阅我们的 ACME 用户指南

要对您的帐户禁用 ACME,请联系您的客户经理或我们的支持团队

已知问题

有关目前已知问题的列表,请参阅 ACME 测试版:已知问题

enhancement

我们改进了证书颁发机构页面,为待处理和已颁发的私有 CA 中间证书和根证书订单增加了证书详细信息面板。该面板包括其他证书详细信息(签名哈希、序列号等)以及用于下载已颁发的私有 CA 证书的选项。

要访问证书详细信息面板,在“证书颁发机构”页面(在侧栏菜单中,单击证书 > 证书颁发机构)上,单击私有 CA 根证书或中间证书链接。

new

我们在“编辑分区”页面新增了自动续订用户功能,可选择性地允许您为该分区的自动续订订单设置默认用户。如果设置,该用户将替换所有分区自动续订证书订单上的原始请求者并有助于防止自动续订中断。

(在您的帐户的侧栏菜单中,单击帐户 > 分区。在分区页面上,选择分区(或单击我的分区)。在编辑分区自动续订用户下拉列表中,为所有分区自动续订订单设置默认用户。

enhancement

我们改进了自动续订证书功能,在该过程中增加了"禁用自动续订"通知。如果出现阻止我们自动续订证书的情况,我们现在会发送一封"禁用自动续订"通知邮件,告知您已经为该订单禁用自动续订、现在将发生什么以及如何为该订单重新启用自动续订。

注意:自动续订证书与特定用户绑定(特定于订单或特定于分区)。如果该用户失去提交订单的权限,自动续订证书流程将被禁用。

new

我们的 CertCentral 组合中增加了一个新工具 - Discovery - 提供有关您整个 SSL/TLS 证书状况的实时分析。

为了快速找到您的所有内部和公开的 SSL/TLS 证书,无论证书颁发机构 (CA) 是什么,Discovery 能发现证书配置和实现中的问题,以及您的端点配置中与证书相关的漏洞或问题。

注意:Discovery 使用传感器扫描您的网络。传感器是您安装在战略性位置的小软件应用程序。每次扫描都关联一个传感器。

扫描在您的 CertCentral 帐户内集中配置和管理。扫描结果显示在 CertCentral 内的直观的交互式仪表板中。将扫描配置为按照设定的时间表运行一次或多次。

五月 13, 2019

enhancement

Secure Site Pro TLS/SSL 现在包括在所有 CertCentral 帐户中。有关您需要知道的有关这些证书的一切信息,请参阅 DigiCert Secure Site Pro

在您的帐户的侧栏菜单中,将鼠标停留在请求证书上。在 Business SSL 证书下,您将找到新的 Secure Site Pro 证书。

五月 10, 2019

fix

我们修复了您可以在内部域名上显示我们的 DigiCert 和 Norton 网站标章的错误。

现在,我们的网站标章不再解析到内部域名。

enhancement

我们更新了 CertCentral SAML 联盟设置,您可以让联盟名称不显示在 SAML 单一登录 IdP 选择 SAML 证书请求 IdP 选择页面的 IdP 列表中。

现在,在联盟设置页面的 IDP 元数据下,我们添加了包括联盟名称选项。如果您不希望联盟名称显示在 IdP 选择页面的 IdP 列表中,取消选中将我的联盟名称添加到 IdP 列表

new

Secure Site Pro TLS/SSL 在 CertCentral 中可用。通过 Secure Site Pro,您按域缴费,无基本证书费用。添加一个域,则收取一个域的费用。如果需要 9 个域,则收取 9 个域的费用。一张证书上最多可保护 250 个域。

我们提供两种类型的 Secure Site Pro 证书,一种是 OV 证书,另一种是 EV 证书。

  • Secure Site Pro SSL
    获取适合您需要的 OV 证书。为一个域、一个通配符域及其所有子域提供加密和授权,或者使用使用者可选名称 (SAN) 保护一个证书上的多个域和通配符域。
  • Secure Site Pro EV SSL
    获取适合您需要的扩展验证证书。提供加密和授权以保护一个域或使用使用者可选名称 (SAN) 保护一个证书上的多个站点(完全限定的域名)。

每张 Secure Site Pro 证书所包含的优势

每张 Secure Site Pro 证书包括(免费)对未来在 CertCentral 中新增的高级功能(例如,CT 日志监视和验证管理)的最先访问权。

其他优势包括:

  • 优先验证
  • 优先支持
  • 两个高级网站标章
  • 恶意软件检查
  • 行业一流保证

要对您的 CertCentral 帐户启用 Secure Site Pro 证书,请联系您的客户经理或我们的支持团队

欲了解有关我们的 Secure Site Pro 证书的更多信息,请参阅 DigiCert Secure Site Pro

compliance

公共 SSL 证书不再保护具有下划线的域名 ("_")。所有之前颁发的在域名中包含下划线的证书必须在此日期前失效。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。

有关更多信息,请参阅停用域名中的下划线

compliance

关于在 ECC SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名的行业标准要求:

  • 包括 "cansignhttpexchanges=yes" 参数的域的 CAA 资源记录*
  • 椭圆曲线密码体制 (ECC) 密钥对
  • CanSignHttpExchanges 扩展名
  • 最长 90 天有效期*
  • 仅用于 Signed HTTP Exchange

*注意:这些要求从 2019 年 5 月 1 日开始生效。Signed HTTP Exchanges 扩展名目前正在积极开发中。随着行业的进一步发展,可能会对要求作出其他更改。

90 天证书最长有效期要求不影响在 2019 年 5 月 1 日之前颁发的证书。请注意,补发的证书将缩短为自补发日期起 90 天。但是,您可以继续补发证书以达到已购买的完整有效期。

CanSignHttpExchanges 扩展名

最近我们新增了证书配置文件 HTTP Signed Exchanges,以帮助解决 AMP URL 显示问题,即,在地址栏中不显示您的品牌。请参阅显示具有 Signed Exchange 的优化 AMP URL

新的配置文件允许在 OV 和 EV SSL/TLS 证书中包括 CanSignHttpExchanges 扩展名。一旦为您的帐户启用后,在您的 OV 和 EV SSL/TLS 证书请求单的其他证书选项下将显示在证书中包括 CanSignHttpExchanges 扩展名选项。请参阅获取 Signed HTTP Exchange 证书

要为您的帐户启用该证书配置文件,请联系您的客户经理或联系我们的支持团队

new

我们新增了一项功能,可用于自定义 CertCentral 体验 - 自定义我的体验。初步推出该功能时,我们增加了自定义帐户登录页的功能。(在帐户右上方的您的姓名下拉列表中,选择自定义我的体验。)

例如,在您每次登录时,您的第一个操作项是管理即将到期的证书。为了计划该工作流,请将“即将到期的证书”页面设置为登录页。每当您登录时,您将直接进入即将到期的证书。(在自定义我的体验页面的“登录页”下拉列表中,选择即将到期的订单保存。)

enhancement

DigiCert 将继续为代码签名证书支持 SHA1 签名。我们将在 2019 年 12 月 30 日移除最长有效期限制。

enhancement

我们将 DV 证书添加到了来宾 URL 的可用产品。现在,您可以将 GeoTrust 和 RapidSSL DV 证书添加到来宾 URL

fix

我们修复了向来宾 URL 添加 Secure Site 证书会阻止您编辑来宾 URL 的错误。现在,当您向来宾 URL 添加 Secure Site 证书时,如有需要,可以编辑来宾 URL

fix

我们修复了向来宾 URL 添加私有 SSL 证书会阻止您编辑来宾 URL 的错误。现在,当您向来宾 URL 添加私有 SSL 证书时,如有需要,可以编辑来宾 URL

四月 16, 2019

enhancement

我们更新了 CertCentral 帮助菜单和“帐户访问权限”页面上指向新文档门户的文档链接。

现在,在 CertCentral 帮助菜单中,,当您单击入门指南时,,会跳转到新的 DigiCert 文档门户。同样,当您单击变更日志时,,会跳转到改进的变更日志页面。现在,在帐户访问权限页面上(在侧栏菜单中,单击帐户 > 帐户访问权限),当您单击 API 文档时,,会跳转到新的 DigiCert 开发人员门户

fix

我们修复了在 SSL/TLS 证书请求过程中添加的新组织未在“组织”页面(在侧栏菜单中,单击证书 > 组织)列出的错误。

修复该问题后,在 SSL/TLS 证书请求过程中添加的新组织以后将自动在您的帐户的“组织”页面列出。

回溯性修复:所有组织将被列出

该错误的修复也是回溯性的。如果您允许用户在请求过程中添加新组织,您下次进入帐户的“组织”页面时,这些组织将添加到列表中。

注意:该错误不影响您为这些组织申请附加的 SSL/TLS 证书,因为它们显示在证书请求表上的现有组织列表中,您可以将其添加到证书。该错误也不影响从“新组织”页面(在“组织”页面上,单击新组织)添加的组织。

enhancement

我们改进了 CertCentral 审核日志,更容易追踪 API 密钥的创建。现在,审核日志将包含关于 API 密钥的创建者是谁、创建时间、API 名称等的信息。

(要查看帐户中的审核日志,请在侧栏菜单中,单击帐户 > 审核日志。)

四月 2, 2019

new

我们很高兴宣布推出新的 DigiCert 文档门户。该新网站采用现代风格的外观和风格,包含优化的、基于任务的帮助文档、产品新闻、变更日志以及 API 开发人员文档。

我们还很高兴地宣布,新的 DigiCert 开发人员门户已经完成测试。该开发人员网站采用现代风格的外观和风格,包含关于可用端点、用例和工作流的信息。

提示和技巧

  • 您可以访问文档门户 www.digicert.com,位于顶部菜单的支持下(单击支持 > 文档)。
  • 在我们文档中,将鼠标悬停在副标题上,单击标签图标。这会在浏览器的地址栏中创建一个 URL,您可以添加书签或链接至说明的特定部分。

即将推出

入门指南将包含有用信息以帮助您熟悉您的帐户中的功能。

compliance

CA 不再颁发在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。

有关更多信息,请参阅停用域名中的下划线

compliance

您可以在最后一天从任何 CA 订购在域名中含有下划线(公用名和使用者可选名称)的 30 天公共 SSL 证书。

注意:首选下划线解决方案是为含有下划线的主机名 (FQDN) 重命名并替换证书。但是,对于无法重命名的情况,您可以使用私有证书,而且在有些情况下,可以使用通配符证书保护整个域。

有关更多信息,请参阅停用域名中的下划线

new

我们新增了一个证书配置文件选项“OCSP Must-Staple”,您可以在 OV 和 EV SSL/TLS 证书中包括 OCSP Must-Staple 扩展名。一旦为您的帐户启用后,在您的 SSL/TLS 证书请求单的其他证书选项下将显示在证书中包括 OCSP Must-Staple 扩展名选项。

注意:支持 OCSP Must-Staple 的浏览器可能会向访问您的网站的用户显示一条阻止消息。在安装证书前,请确保您的网站配置正确,能够可靠地服务于装订的 OCSP 响应。

要为您的帐户启用证书配置文件,请联系您的客户代表或联系我们的支持团队

其他可用的证书配置文件选项

如果为您的帐户启用,这些配置文件选项将显示在您的 SSL/TLS 证书请求表的附加证书选项下。

  • Intel vPro EKU
    允许在 OV SSL/TLS 证书中包括 Intel vPro EKU 字段。
  • KDC/SmartCardLogon EKU
    允许在 OV SSL/TLS 证书中包括 KDC/SmartCardLogon EKU(扩展密钥用法)字段。
  • HTTP Signed Exchange
    允许在 OV 和 EV SSL/TLS 证书中包括 CanSignHTTPExchanges 扩展名(请参阅使用 Signed HTTP Exchange 改进 AMP URL)。
  • 授予的凭证
    允许在 OV 和 EV SSL/TLS 证书中包括 DelegationUsage 扩展名。
new

我们新增了一个证书配置文件选项“授予的凭证”,您可以在 OV 和 EV SSL/TLS 证书中包括 DelegationUsage 扩展名。一旦为您的帐户启用后,在您的 SSL/TLS 证书请求单的其他证书选项下将显示在证书中包括 DelegationUsage 扩展名选项。

要为您的帐户启用证书配置文件,请联系您的客户代表或联系我们的支持团队

背景

Internet 工程任务组 (IETF) 正在积极开发为 TLS 授予的凭证扩展名。为了支持互操作性测试,我们增加了颁发符合最新规范草案的证书的功能。请注意,随着行业的进一步发展,可能会对草案作出诸多更改。

其他可用的证书配置文件选项

如果为您的帐户启用,这些配置文件选项将显示在您的 SSL/TLS 证书请求表的附加证书选项下。

  • Intel vPro EKU
    允许在 OV SSL/TLS 证书中包括 Intel vPro EKU 字段。
  • KDC/SmartCardLogon EKU
    允许在 OV SSL/TLS 证书中包括 KDC/SmartCardLogon EKU(扩展密钥用法)字段。
  • HTTP Signed Exchange
    允许在 OV 和 EV SSL/TLS 证书中包括 CanSignHTTPExchanges 扩展名(请参阅使用 Signed HTTP Exchange 改进 AMP URL)。
  • OCSP Must-Staple
    允许在 OV 和 EV SSL/TLS 证书中包括 OCSP Must-Staple 扩展名。
enhancement

我们改进了证书请求页面上的交易记录摘要,更方便追踪证书的费用。例如,您请求多域证书并添加了 5 个域。在交易记录摘要中,我们显示基准价格(包括 4 个 SAN)以及添加到订单的附加 SAN 的价格。

以前,交易记录摘要仅追踪证书的总费用,不列出费用明细。

new

Secure Site 证书现在随附对 VirusTotal 恶意软件检查的便捷访问。使用超过 70 个杀毒软件和 URL/域黑名单服务快速分析您的公共域。使用扫描结果识别恶意软件威胁,以便您可以采取措施防止您的网站被列入黑名单,避免影响网站可用性和网站收入。

注意:该优势不可追溯。转到 Secure Site 证书的订单编号详细信息页面可使用新的 VirusTotal 恶意软件检查。(在侧栏菜单中,单击证书 > 订单。在订单页面,单击 Secure Site 证书的订单编号链接。)

请参阅 Secure Site 现在具有 DigiCert 的所有优势,进一步了解每个 Secure Site 证书中包括的内容。

fix

我们修复了等待补发证书的错误,以前我们将原始证书或以前颁发的证书中被删除的域纳入等待补发证书的订单编号详细信息页面的您需要执行的操作部分。

该问题仅影响域验证已过期的域。如果您删除了最新完成域验证的域,我们不会将其纳入到您需要执行的操作部分。

注意:您只需要为您纳入到补发请求的域完成 DCV。您可以忽略您已删除的域。此外,当我们补发证书时,我们不会将原始证书或以前颁发的证书中被删除的域纳入到补发证书中。

现在,当您补发证书并且移除包括在原始证书或以前颁发的证书中的域时,在等待补发的订单编号详细信息页面的您需要执行的操作部分仅显示包括在等待域验证的补发请求中的域。

fix

我们修复了副本证书订单错误,以前我们将原始证书申请者添加为所有副本证书订单的申请者,无论提出副本请求的用户是谁。

现在,我们在副本证书订单上添加请求副本的用户的姓名。

注意:该修复不可追溯,并且不影响已颁发的副本证书订单。

fix

在 DigiCert 服务 API 中,我们修复了列出副本端点中的错误,以前我们不返回副本证书订单上的申请者的姓名。

现在,当您使用列出副本端点时,我们返回请求副本证书的用户的姓名。

为了修复该问题,我们新增了一些响应参数,因此可以在响应中返回申请者的姓名:

…user_id= Requestor's user ID
…firstname= Requestor's first name
…lastname= Requestor's last name

列出副本端点响应的示例

三月 18, 2019

fix

在 DigiCert 服务 API 中,我们修复了订单信息端点中的错误,以前它不会返回已颁发的客户端证书订单(Authentication Plus、Email Security Plus 等)的电子邮件地址。

注意:使用列出订单端点检索所有已颁发证书的信息时,返回客户端证书订单的电子邮件地址。

现在,当您使用订单信息端点查看已颁发的客户端证书订单的详细信息时,在响应中将返回电子邮件地址。

Authentication Plus 订单信息响应示例

fix

我们修复了组织单位 (OU) 条目字符限制错误,以前我们限制具有多个 OU 的 SSL/TLS 证书请求的 OU 条目字符总长度不得超过 64 个字符,而不是限制每个 OU 条目的字符长度。当管理员试图批准请求时,他们会错误地收到"组织单位必须少于 64 个字符才符合行业标准"的错误消息。

注意:该错误仅影响需要管理员审批的请求。

现在,当管理员批准具有多个 OU 的 SSL/TLS 证书请求时(每个条目在 64 个字符长度的标准限制内),该请求会如期提交给 DigiCert。

合规性备注:行业标准规定每个组织单位条目的字符长度限制为 64 个字符。但是,当您向订单添加多个 OU 时,每个 OU 分开计算,而不是合并在一起计算。请参阅公共可信证书 - 违反行业标准的数据条目

fix

我们修复了证书请求上无法编辑为请求/证书分配的分区的错误。

注意:颁发证书后,您可以进入其订单编号详细信息页面,编辑为证书分配的分区。

现在,当您编辑证书请求时,可以更改为请求/证书分配的分区。

三月 12, 2019

fix

我们修复了证书补发错误,以前它显示为您可以吊销等待补发的证书。为了修复此错误,我们改进了补发证书工作流,从等待补发的证书中移除了吊销证书选项。

以前,如果证书正等待补发,您可以提交请求以吊销原始证书或以前颁发的证书。当管理员批准请求后,证书在请求页面上错误地标记为已吊销。但是,当您进入订单页面时,证书正确地标记为已颁发且仍有效。

当证书等待补发时,您无法吊销证书,因为它已经与证书补发流程绑定。如果您需要吊销等待补发的证书,您有两个选择:

  1. 取消证书补发,然后吊销原始证书或以前颁发的证书。
  2. 等待 DigiCert 补发证书,然后吊销证书。
fix

我们修复了 DigiCert 服务 API 错误,以前它显示为您可以请求吊销等待补发的证书。当您使用吊销证书端点时,我们返回 201 已创建响应以及关于请求的详细信息。

现在,当您使用吊销证书端点吊销等待补发的证书时,我们返回错误消息说明您无法吊销等待补发的证书,并且提供信息说明如何吊销证书。

"无法吊销正在等待补发的订单。您可以取消补发后再吊销证书,或等待补发完成后吊销证书。"

fix

我们修复了 DV 证书补发错误,以前对于还剩一年以上时间才到期的证书,我们不会保留原始证书订单上的到期日期。

现在,当您补发还剩一年以上时间才到期的 DV 证书时,补发的证书将保留原始证书上的到期日期。

enhancement

在 DigiCert 服务 API 中,我们改进了 DV 证书请求端点,您可以更准确地使用新的 email_domain 字段以及现有的 email 字段设定域控制验证 (DCV) 电子邮件的目标接收人。

例如,为 my.example.com 订购证书时,您可以要求基域 (example.com) 的域所有者验证子域。要更改 DV 电子邮件的接收人,请在您的 DV 证书请求中添加 dcv_emails 参数。然后添加 email_domain 字段指定基域 (example.com),添加 email 字段指定所需 DCV 电子邮件接收人的电子邮件地址 (admin@example.com)。

GeoTrust Standard DV 证书请求示例

DV 证书端点:

fix

我们修复了证书补发订单编号详细信息页面上无法为该证书正确显示签名哈希的错误。这仅发生在您更改签名哈希的补发证书上(即,在原始证书中,您使用的是 SHA256,而在补发证书中,您使用的是 SHA384)。

注意:补发的证书使用正确的签名哈希。

现在当您使用不同的签名哈希补发证书时,在证书的订单编号详细信息页面将正确显示哈希。

fix

我们修复了代码签名证书补发中未发送电子邮件告知您的证书已颁发的错误。

注意:当您在您的帐户中查看订单时,可从订单编号详细信息页面下载补发的代码签名证书。

现在当我们补发您的代码签名证书时,我们会发送电子邮件告知您的代码签名证书已颁发。

enhancement

我们改进了 DigiCert 服务 API 请求端点,使证书请求可以更快地获得响应。

enhancement

我们简化了 OV 证书订单(Standard SSL、Secure Site SSL 等)的添加联系人流程。现在,当您订购 OV 证书时,我们为您填充组织联系人卡。如果需要,您可以添加技术联系人。

  • 在添加包括您的帐户中的现有组织的 CSR 时,我们使用分配给该组织的联系人信息填充组织联系人卡。
  • 手动添加现有组织时,我们使用分配给该组织的联系人信息填充组织联系人卡。
  • 添加新组织时,我们使用您的联系人信息填充组织联系人卡。

要使用其他组织联系人,请删除自动填充的组织联系人并手动添加。

enhancement

我们简化了 EV 证书订单(EV SSL、Secure Site EV SSL 等)的添加联系人流程。现在,当您订购 EV 证书时,如果在您的帐户中有可用的已验证的 EV 联系人信息,我们将为您填充已验证的联系人卡。如果需要,您可以添加组织和技术联系人。

  • 在添加包括您的帐户中的现有组织的 CSR 时,我们使用分配给该组织的已验证的 EV 联系人信息填充已验证的联系人卡。
  • 手动添加现有组织时,我们使用分配给该组织的已验证的 EV 联系人信息填充已验证的联系人卡。

向组织分配已验证的联系人不是添加组织的先决条件。在有些情况下,可能没有对组织可用的已验证的联系人信息。此时可手动添加已验证的联系人

二月 25, 2019

fix

我们修复了订单页面(在侧栏菜单中,单击证书 > 订单)上的错误,以前使用产品列标题按证书类型给订单排序时不显示任何结果。

注意:发生这种情况时,为了查看完整的订单列表,您必须单击其他列标题(例如,订单编号)或离开页面后重新返回。

现在,在订单页面上,可以使用产品列标题按证书类型给订单列表排序。

fix

我们修复了一些表单上的错误,以前州字段显示两次,或者当特定国家不需要提供州信息时,州字段显示为必填。

现在,在编辑帐单联系人,新建采购订单,和 EV 代码签名证书订购、补发和续订表单上,州字段仅显示一次,且当特定国家不需要提供州信息时,州/省/地区字段列为选填。

编辑帐单联系人表单

要更改帐户的帐单联系人,在侧栏菜单中,单击财务 > 设置。在“财务设置”页面的“帐单联系人”下,单击编辑链接。如果没有为帐户设置帐单联系人,请单击更改帐单联系人链接。

compliance

您无需执行任何操作。

从 2019 年 2 月 13 日开始,DigiCert 不再颁发具有曲线-哈希对 P-384 和 SHA-2 512 (SHA-512) 的 ECC TLS/SSL 证书(即,具有 ECDSA 密钥的证书)。该曲线-哈希对不符合 Mozilla 的根存储策略。

Mozilla 的根存储策略支持的曲线-哈希对仅包括:

  • P‐256 和 SHA-256
  • P‐384 和 SHA-384

注意:您是否拥有具有 P-384 和 SHA-512 曲线-哈希对的证书?不用担心!即将续订证书时,将自动使用支持曲线-哈希对颁发。

二月 13, 2019

new

我们添加了两个新端点,您可以使用 order_id 下载该订单的当前有效证书。

这些端点只能用于获取订单的最近补发的证书。这些端点不能用于下载副本证书。

副本证书备注

要下载订单的副本证书,请先使用列出订单副本端点,以获取副本证书的 certificate_id - GET https://www.digicert.com/services/v2/order/certificate/{{order_id}}/duplicate

然后使用获取证书端点下载副本证书 - GET https://www.digicert.com/services/v2/certificate/{{certificate_id}}/download/platform

补发证书备注

要下载过去的补发证书(非最新补发),请先使用列出订单补发端点获取补发证书的 certificate_id - GET https://www.digicert.com/services/v2/order/certificate/{{order_id}}/reissue

然后使用获取证书端点下载补发证书 - GET https://www.digicert.com/services/v2/certificate/{{certificate_id}}/download/platform

API 文档说明

有关 DigiCert 服务 API 中可用的这些端点以及其他端点的更多信息,请参阅 CertCentral API

enhancement

我们改进了 DV 证书。您现在可以续订 DV 证书订单,而保留原来的订单编号。

以前,当 DV 证书订单临近到期日期时,您必须为即将到期的订单上的域订购新证书。

注意:DV 证书不支持域预验证。续订 DV 证书时,您必须证明对续订订单上的域的控制权。

DV 证书注册指南中,请参阅续订 DV 证书

new

我们新增了证书配置文件选项,KDC/SmartCardLogon EKU,您可以在 OV SSL/TLS 证书中包括 KDC 和 SmartCardLogon EKU(扩展密钥用法)。一旦为您的帐户启用后,在您的 SSL/TLS 证书请求单的其他证书选项下将显示包括证书中的 KDC/SmartCardLogon EKU(扩展密钥用法)字段选项。

要为您的帐户启用证书配置文件,请联系您的客户代表或联系我们的支持团队

注意:以前,该功能只能通过 DigiCert 服务 API 可用(请参阅 CertCentral API)。

其他可用的证书配置文件选项

如果为您的帐户启用,这些配置文件选项将显示在您的 SSL/TLS 证书请求表的附加证书选项下。

  • Intel vPro EKU
    允许在 OV SSL/TLS 证书中包括 Intel vPro EKU 字段。
  • HTTP Signed Exchange
    允许在 OV 和 EV SSL/TLS 证书中包括 CanSignHTTPExchanges 扩展名(请参阅使用 Signed HTTP Exchange 改进 AMP URL)。
new

我们新增了证书颁发机构页面替换中间证书页面。要访问该新页面,在侧栏菜单中,单击证书 > 证书颁发机构

注意:我们在该页面列出了对您的帐户可用的所有中间证书和根证书:公共和私有。

我们还对该页面进行了一些改进。现在,当您单击证书名称链接时,将打开证书详细信息面板,您可以从中下载证书并查看它的更多详细信息,例如证书的签名哈希、序列号和拇指指纹。

enhancement

我们改进了待处理的 OV SSL 和 EV SSL 证书订单的订单编号详细信息页面。在 DigiCert 需要部分的验证组织详细信息下,我们现在列出了验证组织需要完成的步骤(例如,完成经营地点验证)以及每个步骤的状态:已完成或待处理。

以前,我们仅提供对组织验证过程的高度概要信息 - 验证组织详细信息 - 对于在充分验证组织前需要完成的步骤不提供任何详细信息。

fix

我们修复了 CertCentral 中的表单上的错误,以前当所选国家不需要提供州/省/地区信息时,这些字段显示为必填(例如,在添加新组织或信用卡时)。

注意:该错误不会阻止您完成这些交易。例如,您即使不填写州/省/地区字段,也仍然可以添加组织或信用卡。

现在,当针对具体国家的交易不需要提供州/省/地区信息时,表单中的州/省/地区字段标记为可选。

注意:美国和加拿大是唯一要求添加州/省/地区信息的国家。

new

我们在 OV SSL/TLS 证书请求单上新增了添加联系人功能,您可以在申请流程中添加一位技术联系人和一位组织联系人

以前,您在订购 OV SSL/TLS 证书(例如,Secure Site SSL 和 Multi-Domain SSL 证书)时无法添加联系人。

注意:技术联系人是当我们在处理您的订单时遇到问题时可以与其联系的人。组织联系人是我们在为您的证书完成组织验证时可以与其联系的人。

enhancement

我们改进了 EV SSL/TLS 证书请求单上的添加联系人功能,您可以在申请流程中添加一位技术联系人和一位组织联系人

以前,您在订购 EV SSL/TLS 证书(例如,Secure Site EV 和 EV Multi-Domain SSL)时只能添加已验证的联系人(针对 EV)。

注意:技术联系人是当我们在处理您的订单时遇到问题时可以与其联系的人。组织联系人是我们在为您的证书完成组织验证时可以与其联系的人。

new

我们新增了取消补发功能,您可以取消证书上的待处理的补发请求。

在订单页面(在侧栏菜单中,单击证书 > 订单),找到等待补发的证书订单并单击其订单编号链接。在“订单详细信息”页面的“证书详细信息”部分的证书操作下拉列表中,选择取消补发

注意:对于等待批准的补发请求,审批者必须拒绝补发请求。对于已颁发的补发证书,管理员必须吊销证书。

fix

我们修复了标准用户无法在其 SSL/TLS 证书的订单编号详细信息页面上访问域控制验证 (DCV) 功能的错误。

注意:帐户管理员和经理无法访问订单编号详细信息页面上的 DCV 功能并为订单完成 DCV。

现在,当标准用户为新域订购证书时,可以访问订单编号详细信息页面上的 DCV 功能。

(在侧栏菜单中,单击证书 > 订单。在订单页面上找到待处理的证书订单并单击其订单编号链接。在订单编号详细信息页面上,单击域链接。)

enhancement

我们已将 CertCentral DV 证书注册指南移动到了 https://docs.digicert.com/certcentral/documentation/dv-certificate-enrollment/

该指南的 PDF 版本仍然可用(请参阅引言页面底部的链接)。

此外,我们更新并添加了说明以介绍在 CertCentral 中支持的 DV 证书的 DCV 方法。

  • 新增了域控制验证 (DCV) 说明
    • 使用电子邮件 DCV 方法
    • 使用 DNS TXT DCV 方法
    • 使用文件 DCV 方法
    • 文件 DCV 方法常见错误
  • 更新了订购 DV 证书说明
    • 订购 RapidSSL Standard DV 证书
    • 订购 RapidSSL Wildcard DV 证书
    • 订购 GeoTrust Standard DV 证书
    • 订购 GeoTrust Wildcard DV 证书
    • 订购 GeoTrust Cloud DV 证书
  • 更新了补发 DV 证书说明
    • 补发 RapidSSL Standard DV 证书
    • 补发 RapidSSL Wildcard DV 证书
    • 补发 GeoTrust Standard DV 证书
    • 补发 GeoTrust Wildcard DV 证书
    • 补发 GeoTrust Cloud DV 证书
new

我们向 DV 证书订单补发页面新增了两个域控制验证 (DCV) 方法:DNS TXT 和文件。

注意:以前(除非您使用 DigiCert 服务 API),您只能使用电子邮件 DCV 方法证明对您的 DV 证书订单上的域的控制权。

现在,当您订购补发 DV 证书时,您可以选择 DNS TXT、文件或电子邮件作为 DCV 方法以完成该订单的域验证。

new

我们在 DV 证书订单编号详细信息页面上新增了证明对域的控制权功能。

以前,您无法在 DV 证书订单编号详细信息页面上执行任何操作以完成域验证。

现在,您可以执行更多操作以完成该订单的域验证:

  • 使用 DNS TXT、电子邮件和文件 DCV 方法
  • 重新发送/发送 DCV 电子邮件并选择收件人的电子邮件地址
  • 验证域的 DNS TXT 记录
  • 验证域的 fileauth.txt 文件
  • 选择与在订购证书时所选的 DCV 方法不同的 DCV 方法

(在侧栏菜单中,单击证书 > 订单。在 DV 证书订单的订单页面的订单编号列,单击订单编号。)

enhancement

我们改进了 DV 证书的证书编号详细信息页面的证书详细信息部分,添加了额外的 DV 证书信息:序列号拇指指纹

注意:该改进功能不可追溯。该新信息仅对在 2019 年 1 月 15 日 UTC 时间 17:00 之后下达的订单显示。

(在侧栏菜单中,单击证书 > 订单。在 DV 证书订单的订单页面的订单编号列,单击订单编号。)

enhancement

我们改进了获取订单详细信息端点,可以在响应中返回 DV 证书的拇指指纹和序列号。

{
"id":"12345",
"证书":{
"id":123456,
"拇指指纹":"{{拇指指纹}}",
"serial_number":"{{serial_number}}
...
}

注意:该改进功能不可追溯。仅对在 2019 年 1 月 15 日 UTC 时间 17:00 之后下达的订单返回拇指指纹和序列号。

有关更多信息,请参阅 DigiCert 服务 CertCentral API 文件中的获取订单详细信息端点。

compliance

证书颁发机构 (CA) 吊销所有含有下划线(在公用名和使用者可选名称中)且最长有效期超过日结束后 30 天(UTC 时间)的公共 SSL 证书。

如果您有总有效期 31 天或更长时间(包括所有 1 年、2 年和 3 年证书)且在 2019 年 1 月 14 日后到期的 SSL 证书,颁发您的证书的证书颁发机构需吊销该证书。

有关更多信息,请参阅停用域名中的下划线

fix

我们修复了在您对证书订单上的域完成验证后,SSL/TLS 证书订单编号详细信息页面和订单详细信息面板不显示已完成域控制验证的错误。

注意:该错误不会妨碍在您完成域控制验证后颁发您的证书订单。

现在,当您对订单上的域完成域控制验证后,该订单的订单编号详细信息页面和订单详细信息面板显示已完成域验证。

(在侧栏菜单中,单击证书 > 订单。在证书订单的订单页面的订单编号列,单击订单编号或快速查看链接。

一月 7, 2019

enhancement

我们改进了 DigiCert 帐户登录页面的外观和风格 (www.digicert.com/account/),与我们的证书管理平台 CertCentral 的设计保持一致。

请参阅重新设计的 DigiCert 帐户登录页面

fix

我们修复了当订购证书未转移到订单编号详细信息页面时添加特定于订单的续订消息的错误。

注意:您可以在订单的快速查看面板中看到续订消息。

现在,当您在订购证书时添加特定于订单的续订消息时,可以在证书的订单编号详细信息页面上的订单详细信息部分看到续订消息。

(在侧栏菜单中,单击证书 > 订单。在证书订单的订单页面的订单编号列,单击订单编号链接。)

enhancement

我们改进了订单备注功能,可以将上一个订单的订单备注转移到续订的证书订单。

以前,如果您要转移任何备注,必须在续订订单上手动添加备注。

现在,来自上一个订单的备注将自动转移到续订订单。这些备注添加了时间戳和编写者名称(例如,2018 年 12 月 18 日 8:22 PM John Smith)。

这些备注位于续订的订单编号详细信息页面(在侧栏菜单中,单击证书 > 订单,然后单击订单编号链接)。也位于订单编号详细信息面板中(单击快速查看链接)。

enhancement

我们改进了 DV 证书订单编号详细信息页面,您可以看到订单上的哪些域在等待验证(即,您仍然需要证明控制权的域)。

以前,等待验证的域不会列于订单编号详细信息页面。

现在,当您访问 DV 证书的订单编号详细信息页面时,将会显示等待验证的域。(在侧栏菜单中,单击证书 > 订单,然后单击订单页面上的订单编号链接)。

fix

我们修复了在订单页面(在侧栏菜单中,单击证书 > 订单)上的订单编号详细信息面板中缺少组织联系人信息的错误。

现在,当您访问订单页面并使用快速查看链接查看订单详细信息时,将看到订单编号详细信息面板中的组织联系人信息。(展开显示更多证书信息,然后展开订单详细信息部分的显示组织联系人)。

compliance

DigiCert 开始颁发含有下划线且具有有限时间的公共 SSL 证书。

  • 域名中含有下划线且最长 30 天有效期的公共 SSL 证书。
  • 基域中不得含有下划线(允许使用 "example_domain.com")。
  • 最左侧域标签不得含有下划线(允许使用 "_example.domain.com" 和 "example_domain.example.com")。

有关更多信息,请参阅停用域名中的下划线

new

在顶部菜单中,我们新增了两个联系支持选项(电话和聊天图标),更方便联系 CertCentral 内的支持人员(通过电子邮件、聊天或电话)。

电话图标为您提供电子邮件和电话选项。聊天图标为您提供聊天窗口,您可以与我们的其中一位支持团队专员开始聊天。

enhancement

我们改进了侧栏菜单。,更容易看到您正在访问的页面的菜单选项。现在,当您访问 CertCentral 中的页面时,该页面的菜单选项旁边会有一个蓝色横栏。

fix

我们修复了 SSL/TLS 证书请求表上的添加组织功能,以前,在证书订单中不包括新增的已验证组织的验证状态(EV 和 OV 验证)。

现在,在订购 SSL 证书时新增的组织将显示已验证状态。

注意:直到我们充分验证组织后才显示组织的验证状态。

enhancement

我们改进了 RapidSSL DV 证书组合,您可以在这些单域证书中包括第二个特定域。

  • RapidSSL Standard DV
    现在在订购 RapidSSL Standard DV 证书时,您将默认获得证书中的两个公用名版本 -[your-domain].com 和 www.[your-domain].com。
    输入公用名后,确保选中在证书中同时包括 www.[your-domain].com 和[your-domain].com 框。
    以前,您必须分别订购单独的证书:[your-domain].com 和 www.[your-domain].com。
  • RapidSSL Wildcard DV
    现在在订购 RapidSSL Wildcard DV 证书时,您将默认获得证书中的通配符域和基域 - *.[your-domain].com 和[your-domain].com。
    输入公用名后,确保选中在证书中同时包括 *.[your-domain].com 和[your-domain].com 框。
    以前,您必须分别订购单独的证书:*.[your-domain].com 和[your-domain].com。

请参阅 CertCentral:DV 证书注册指南

enhancement

我们改进了 RapidSSL 证书端点以包括 dns_names 参数,您可以在这些单域证书中包括第二个特定域。

  • RapidSSL Standard DV
    现在在订购 RapidSSL Standard DV 证书时,您可以在证书中包括两个域版本 -[your-domain].com 和 www.[your-domain].com。
    "common_name": "[your-domain].com",
    "dns_names":["www.[your-domain].com"],

    以前,您必须订购单独的证书:[your-domain].com 和 www.[your-domain].com。
  • RapidSSL Wildcard DV
    现在在订购 RapidSSL Wildcard DV 证书时,您可以在证书中包括基域 - *.[your-domain].com 和[your-domain].com)。
    "common_name": "*.your-domain.com",
    "dns_names":["[your-domain].com"],

    以前,您必须订购单独的证书:*.[your-domain].com 和[your-domain].com。

有关 DigiCert 服务 API 文件,请参阅 CertCentral API

new

个人文档签名证书在 CertCentral 中可用:

  • 文档签名 - 个人 (500)
  • 文档签名 - 个人 (2000)

要对您的 CertCentral 帐户启用个人文档签名证书,请联系您的销售代表。

以前只提供组织文档签名证书。

  • 文档签名 - 组织 (2000)
  • 文档签名 - 组织 (5000)

欲了解有关这些证书的更多信息,请参阅文档签名证书

enhancement

我们改进了订单页面上的订单报告功能(在侧栏菜单中,单击证书 > 订单)。现在,当您运行报告时(单击订单报告),它将包括您的 DV SSL 证书订单。

enhancement

我们改进了组织详细信息页面的添加已验证的联系人流程,更方便在提交组织预验证时添加现有和新的已验证的联系人(在侧栏菜单中,单击证书 > 组织。然后在名称列中,单击组织名称链接)。

为了更方便添加已验证的联系人,我们删除了单独的链接(添加新联系人从现有联系人添加)及其各自的窗口。现在,我们提供单个添加联系人链接和单个添加联系人窗口,可用于添加新的或现有的联系人。

添加新联系人备注

默认情况下,对 CertCentral 帐户启用允许使用非 CertCentral 帐户用户作为已验证的联系人功能。

您可以在分区首选项页面上启用该功能(在侧栏菜单中,单击设置 > 首选项)。在高级设置部分的已验证的联系人下,您可以允许使用非 CertCentral 帐户用户作为已验证的联系人(选中允许使用非 DigiCert 用户作为已验证的联系人)。

new

我们添加了新的搜索筛选项证书编号订单页面,您可以使用证书编号搜索证书订单。

您现在可以使用证书编号查找有效、到期、吊销、拒绝、等待补发、待处理和副本证书。

订单页面(在侧栏菜单中,单击证书 > 订单),单击显示高级搜索。然后,在证书编号搜索框中,添加证书编号并单击开始

new

RapidSSL 和 GeoTrust DV 证书在 CertCentral 中可用:

  • RapidSSL Standard DV
  • RapidSSL Wildcard DV
  • GeoTrust Standard DV
  • GeoTrust Wildcard DV

文档

new

我们新增了功能允许用户在申请 TLS 证书时添加新联系人,您可以灵活地选择标准用户、财务经理和受限用户在其帐户内或使用来宾 URL 订购 EV TLS/SSL 证书时是否可以添加新的非 CertCentral 帐户用户作为已验证的联系人(针对 EV)

以前,阻止这些用户角色在订购流程中添加新的非 CertCentral 帐户用户作为已验证的联系人的唯一方法是从订单编辑请求并选择现有组织或拒绝证书请求。

现在,您可以控制用户、财务经理和受限用户角色是否可以从 EV SSL/TLS 证书请求页面添加新的非 CertCentral 帐户用户作为已验证的联系人。该功能不会从 EV SSL/TLS 证书订购页面删除管理员和经理角色的选项。

分区首选项页面(设置 > 首选项)。在证书请求部分(展开高级设置)的添加新联系人下,取消选中在请求 TLS 证书时允许用户添加新联系人,然后单击保存设置

注意:这一更改不会删除 EV SSL/TLS 证书订单所需的“向订单添加现有联系人(CertCentral 帐户用户或非 CertCentral 帐户用户)作为已验证的联系人”的功能。

enhancement

我们改进了功能允许用户在申请 TLS 证书时添加新组织,您可以灵活地选择标准用户、财务经理和受限用户在其帐户内或使用来宾 URL 订购 TLS 证书(OV 和 EV)时是否可以添加新组织。

以前,该功能删除了所有用户角色添加新组织的功能:管理员、经理、标准用户、财务经理和受限用户。

现在,允许用户在申请 TLS 证书时添加新组织功能仅影响用户、财务经理和受限用户角色从证书请求页面添加新组织的功能。无论是否启用或禁用添加新组织的功能,管理员和经理角色保留该功能。

分区首选项页面(设置 > 首选项)。在证书请求部分(展开高级设置)的添加新组织下,取消选中在请求 TLS 证书时允许用户添加新组织,然后单击保存设置

注意:这一更改不会删除所有 OV 和 EV TLS 证书订单所需的“向订单添加已验证的现有组织”的功能。

enhancement

我们改进了为 EV SSL/TLS 证书订购流程添加现有组织的功能,更方便为证书订单中的组织包括已验证的 EV 联系人。

以前,EV 证书请求页面上不会显示关于组织的已验证的 EV 联系人的信息。

现在,当您添加已经向其指定了已验证的 EV 联系人的现有组织时,已验证的联系人(针对 EV)卡片将填充已验证联系人的信息。

注意:如果您的 CSR 包括在帐户中当前使用的组织,组织卡片将填充您的帐户中包含的组织信息。如果该组织已经分配了已验证的 EV 联系人,将在已验证的联系人(针对 EV)卡片中填充其信息(姓名、职位、电子邮件地址和电话号码)。

fix

我们修复了用户邀请页面阻止邀请者筛选项向管理员显示谁发送了用户邀请请求的错误。

现在,当您进入用户邀请页面(在侧栏菜单中,单击帐户 > 用户邀请)后,邀请者筛选项将向管理员显示谁发送了用户邀请。

enhancement

我们改进了 SSL/TLS 和客户端证书产品组合,您在订购其中一种证书时可以设置自定义有效期(天)。以前,您只能选择自定义到期日期。

自定义有效期从我们颁发证书之日开始计算。证书价格按自定义证书期限按比例计算。

注意:自定义证书有效期不得超出行业针对该证书规定的最高允许生命周期期限。例如,您不能为 SSL/TLS 证书设置 900 天有效期。

enhancement

我们改进了 SSL/TLS 证书和客户端证书端点,以包括一个允许设置证书有效天数的新 validity_days 参数。

参数优先性备注:如果您的请求中包括多个证书有效期参数,我们在该订单中的证书有效期参数优先顺序为:custom_expiration_date > validity_days > validity_years。

有关 DigiCert 服务 API 文件,请参阅 CertCentral API

new

我们新增了订单管理 - 列出订单补发 API 端点,您可以查看证书订单的所有补发证书。请参阅列出订单补发端点。

fix

我们修复了待处理的 SSL 证书订单详细信息页面上的错误,其中为您提供证明对域的控制权的操作的待处理域的链接被破坏。

现在,当您进入待处理证书的订单详细信息页面并单击处理域的链接时,将打开证明对域的控制权窗口,您可以在其中选择一种 DCV 方法证明对域的控制权。

enhancement

我们改进了 SSL/TLS 证书订购流程的添加现有组织功能,您可以筛选现有组织列表以仅查看已经过充分验证的组织。

注意:如果您的 CSR 包括在帐户中当前使用的组织,组织卡片将自动填充您的帐户中包含的组织信息。

在订购 SSL/TLS 证书时,要手动添加现有组织,请单击添加组织。在添加组织窗口中,选中隐藏未通过验证的组织以筛选组织,从而仅显示已经过充分验证的组织。

注意:如果您的帐户中有超过 9 个有效的组织,筛选项还会应用于组织下拉列表。

enhancement

我们改进了 SSL/TLS 证书订购流程的组织单位功能,您可以添加多个组织单位。以前,您只能添加一个组织单位。

注意:请求单上面的组织单位字段将自动填充来自您的 CSR 的值。

在订购 SSL/TLS 证书时,要手动添加组织,请展开其他证书选项,然后在组织单位字段中可以添加一个或多个组织单位。

注意:添加组织单位是可选的。此字段可以为空。但是,如果您的订单中包括组织单位,DigiCert 需要进行验证后,我们才能颁发证书。

fix

我们修复了自定义订单字段*的错误,以前在停用、启用字段、将必填字段更改为选填字段以及将选填字段更改为必填字段时,该功能无法正常使用。

*自定义订单字段默认禁用。要为您的 CertCentral 帐户启用此功能,请与您的 DigiCert 客户代表联系。请参阅高级 CertCentral 入门指南中的管理自定义订单表单字段

enhancement

我们改进了已颁发证书的订单详细信息页面,更方便查找页面上的证书详细信息。(在侧栏菜单中,单击证书 > 订单,然后单击订单页面上的订单编号)。

为了更方便查找证书详细信息,我们移动了该信息的位置,使您在订单详细信息页面上可以最先看到该信息。此外,我们将所有证书操作的位置,例如补发证书吊销证书,,移到了证书操作下拉列表中。

fix

我们修复了订单详细信息页面上的域验证显示错误,以前验证已到期的域显示已完成状态,无需执行操作完成域验证。

现在,当您进入订单详细信息页面时,我们在域旁边显示等待验证状态符号以及用于完成域验证的操作。(在侧栏菜单中,单击证书 > 订单,然后单击订单页面上的订单编号)。

enhancement

我们改进了域管理 - 获取域控制电子邮件 API 端点的功能。您现在可以使用域名检索任何域的域控制验证 (DCV) 电子邮件地址(基于 WHOIS 的电子邮件和构造的电子邮件)。

以前,您必须具有域 ID 才能检索 DCV 电子邮件地址。但是,要为域获得 ID,必须提交域进行预验证。

现在,您可以使用域名或域 ID,通过域管理 - 获取域控制电子邮件端点检索域的 DCV 电子邮件地址(基于 WHOIS 的电子邮件和构造的电子邮件)。请参阅获取域电子邮件端点。

enhancement

我们修复了 TLS/SSL 证书订购单上的错误,以前添加 CSR 只会自动填充公用名字段。修复该错误后,我们改进了 CSR 上传功能,还自动填充组织字段。

我们现在使用您的 CSR 的信息自动填充以下订购单字段:公用名、其他主机名 (SAN)、组织单位 (OU) 和组织。

您仍然可以根据需要更改这些字段的信息(例如,您可以添加或删除 SAN)。

组织字段备注

当您包括在帐户中当前使用的组织时,组织卡片自动填充您的帐户中包含的组织信息。

fix

我们修复了无法取消待处理的客户端证书订单(Premium、Authentication Plus、Grid Premium、Grid Robot Email 等)的错误。

现在,您可以进入订单页面(在侧栏菜单中,单击证书 > 订单),找到需要取消的客户端证书。然后在证书的订单编号详细信息页面的证书操作下拉列表中,选择取消订单

fix

我们修复了向电子邮件收件人发送找不到服务页面的链接,导致其无法下载补发的证书的错误。

现在,当您向别人发送补发证书的下载链接后,该链接可以正常使用。收件人可以下载证书。

fix

我们修复了副本页面上的下载 csv 文件错误。以前,当您下载 csv 文件时,将获得无 .csv 扩展名的文件。为了可以正常使用,必须在文件名末尾添加 .csv 扩展名。

现在,当您从副本页面下载 csv 文件时,将获得可以正常工作的 csv 文件:duplicates.csv

new

我们新增了允许补发文档签名证书的功能[文档签名 - 组织 (2000) 和文档签名 - 组织 (5000)]。

注意:以前,您无法补发文档签名证书。唯一的办法是吊销和替换文档签名证书。

现在,您可以进入订单页面(在侧栏菜单中,单击证书 > 订单),找到您的文档签名证书,然后在订单编号详细信息页面上,根据需要补发证书

enhancement

我们改进了 TLS/SSL 证书订购流程中的添加现有组织功能,您可以看到组织的地址、电话号码及其验证状态(已完成 EV 验证、等待 OV 验证等)。请注意,尚未提交验证的组织不会列出任何验证状态。

以前,我们在申请证书页面无法看到有关组织的任何信息。要查看组织详细信息和验证状态,必须访问组织页面(在侧栏菜单中,单击证书 > 组织)。

注意:如果您的帐户中有超过 9 个活跃的组织,您将仍然使用组织下拉列表,而且仍然需要访问组织页面查看有关组织的详细信息。但是,您现在将在列表顶部的最近使用下看到两个最近使用的组织。

十月 17, 2018

new

我们新增了订单管理 - 吊销证书 API 端点,您可以使用订单编号吊销与单个订单关联的所有证书,因此更容易使用 API 吊销已颁发的证书。这确保可以一次性吊销与订单关联的所有副本或补发证书。

注意:在提交证书吊销请求后,管理员需批准请求后,DigiCert 才能吊销与该订单关联的证书。请参阅更新请求状态 API 端点。

有关新端点和其他公开可用端点的更多信息,请参阅我们的 CertCentral API 文件中的吊销证书 API 端点。

enhancement

客户端证书改进。在订购客户端证书(Premium、Email Security Plus、Digital Plus 和 Authentication Plus)时,您现在可以为您的客户端证书包括一个自定义到期日期

以前,在订购客户端证书时,您只能为证书有效期选择 1 年、2 年或 3 年。

enhancement

我们改进了 EV TLS/SSL 证书订购流程中的添加联系人功能,您将看到所列的现有联系人是 CertCentral 帐户用户还是联系人(非 CertCentral 帐户用户)。

以前,为您的 EV TLS 证书订单添加现有联系人作为已验证的联系人时,将向您显示可供选择的联系人列表,但您无法分辨出是帐户用户还是非帐户用户。

改进此功能后,列出的联系人现在分类用户(CertCentral 帐户用户)和联系人(非 CertCentral 帐户用户)。

注意:默认情况下,对 CertCentral 帐户启用允许使用非 CertCentral 帐户用户作为已验证的联系人功能。

如何启用允许使用非 CertCentral 帐户用户作为已验证的联系人功能

分区首选项页面(设置 > 首选项)的高级设置部分的已验证的联系人下,您可以允许使用非 CertCentral 帐户用户作为已验证的联系人(选中允许使用非 DigiCert 用户作为已验证的联系人)。

启用非 CertCentral 用户功能后,在 EV 证书请求流程中添加已认证的联系人时,您将看到两个选项:现有联系人新建联系人现有联系人选项用于将 CertCentral 用户指定为已验证的 EV 联系人。新建联系人选项用于输入非 CertCentral 帐户用户的信息。

enhancement

我们改进了 TLS/SSL 证书订购流程的添加新组织功能,让您可以编辑新添加组织的详细信息。

以前,在证书请求页面添加新组织后,您无法返回去编辑组织的详细信息。要编辑组织的详细信息,必须删除该组织并使用正确的信息重新添加组织。

改进此功能后,您现在可以编辑新添加组织的详细信息。单击编辑图标(铅笔),可以修改组织的详细信息,然后再提交订单。

new

我们新增了一个功能,可用于灵活地选择用户在其帐户内或使用来宾 URL 订购 TLS 证书(OV 和 EV)时能否添加新组织。

注意:以前,阻止用户在订购流程中添加新组织的唯一方法是从订单编辑请求并选择现有组织或拒绝证书请求。

新增该功能后,您可以禁止或允许用户从证书请求页面添加新组织。

分区首选项页面(设置 > 首选项)。在证书请求部分(展开高级设置)的添加新组织下,取消选中在请求 TLS 证书时允许用户添加新组织,然后单击保存设置

注意:这一更改不会删除所有 OV 和 EV TLS 证书订单所需的“用户向订单添加已验证的现有组织”的功能。

compliance

行业标准合规性更改。对于公共可信证书,子域中不可再包含下划线 ( _ )。现在也对子域执行 RFC 5280。

请参阅公共可信证书 - 违反行业标准的数据条目

new

Secure Site TLS/SSL 证书在 CertCentral 中可用:

  • Secure Site SSL
  • Secure Site EV SSL
  • Secure Site Multi-Domain SSL
  • Secure Site EV Multi-Domain SSL
  • Secure Site Wildcard SSL

要对您的 CertCentral 帐户启用 Secure Site 证书,请联系您的销售代表。

每张 Secure Site 证书所包含的优势:

  • 优先验证
  • 优先支持
  • 两个高级网站标章
  • 行业一流保证

欲了解有关我们的 Secure Site 证书的更多信息,请参阅 DigiCert Secure Site 概述
其他资源:

fix

更新至完整的 SHA256 EV 层次结构证书配置文件

2018 年 9 月 27 日,我们从完整 SHA256 EV 层次机构中颁发的 EV TLS 证书中删除了 Symantec 策略 OID[DigiCert Global G2 Root => DigiCert Global G2 Intermediate => EV TLS/SSL 证书]。

问题:macOS 上出现 Chrome 错误

2018 年 7 月,我们发现 macOS 上存在 Chrome 错误,无法显示具有两个以上策略 OID 的 EV TLS 证书的 EV 指示符 - https://bugs.chromium.org/p/chromium/issues/detail?id=867944

解决方案

我们从完整的 SHA256 EV 层次结构证书配置文件中删除了 Symantec 策略 OID。通过此更改,macOS 上的 Chrome 再次显示从完整的 SHA256 EV 层次结构颁发的 EV TLS 证书 EV 指示符。

受影响的 EV TLS 证书

在 2018 年 1 月 31 日之后至 2018 年 9 月 27 日之前颁发的(来自完整的 SHA256 EV 层次结构)的 EV TLS 证书的证书扩展名 - 证书策略中包含这三个策略 OID:

  • 2.16.840.1.114412.2.1 (DigiCert OID)
  • 2.16.840.1.113733.1.7.23.6 (Symantec OID)
  • 2.23.140.1.1 (CAB/F OID)

我需要做些什么?

  • 您是否有在 macOS 的 Chrome 中未显示 EV 指示符的 EV TLS 证书?
    请替换(补发)您的 EV TLS 证书以显示 macOS 的 Chrome 中的 EV 指示符。
    在 2018 年 9 月 27 日之前颁发的完整的 SHA256 EV TLS 证书在证书扩展名 - 证书策略中仅包含两个策略 OID:
    • 2.16.840.1.114412.2.1 (DigiCert OID)
    • 2.23.140.1.1 (CAB/F OID)
  • 其他类型的证书是什么情况?
    对于所有其他类型的证书,无需执行任何操作。

九月 18, 2018

new

我们添加了 IPv6 地址支持(缩写和完整)。

您现在可以订购公共和私有 OV TLS/SSL 证书(SSL、Multi-Domain SSL、Wildcard SSL 和私有 SSL 等),并且包括 IPv6 地址作为公用名或 SAN。

注意:EV TLS/SSL 证书(EV SSL 和 EV Multi-Domain SSL)不支持 IPv6 地址。

九月 17, 2018

fix

我们修复了订单详细信息页面错误,以前在该页面上显示与证书订单无关的信息。

现在,当您访问 TLS/SSL、代码签名、EV 代码签名、客户端和文档签名证书订单详细信息页面时,仅显示与该订单相关的信息。

enhancement

我们改进了 TLS/SSL 证书订购流程中的添加组织步骤。

以前,您必须在申请证书前添加新组织(证书 > 组织)。而且,在我们完成此组织验证之前,新组织在证书请求上不可用。

进行改进后,您可以在申请过程中添加新组织。请注意,由于组织未经过预验证,因此 DigiCert 需要验证新组织后,我们才能颁发您的证书。

注意:证书请求页面添加新组织时,申请者(订购证书者)成为新组织的联系人。

订购 TLS/SSL 证书时,您仍然可以选择使用现有的预验证的组织

编辑请求

在批准 TLS/SSL 证书请求前,您可以编辑请求并添加新组织。添加新组织者成为新组织的联系人。

new

我们在 EV TLS/SSL 证书请求流程中新增了添加联系人功能,因此您可以在申请过程中指定现有 CertCentral 用户(管理员、经理、财务经理或用户)为该组织的已验证的 EV 联系人。

以前,您必须在申请证书前为组织指定已验证的 EV 联系人(证书 > 组织)。

启用允许使用非 CertCentral 帐户用户作为已验证的联系人

分区首选项页面(设置 > 首选项)的高级设置部分的已验证的联系人下,您可以允许使用非 CertCentral 帐户用户作为已验证的联系人(选中允许使用非 DigiCert 用户作为已验证的联系人)。
启用非 CertCentral 用户功能后,在 EV 证书请求过程中添加已认证的联系人时,您将看到两个选项:现有联系人新建联系人现有联系人选项用于将 CertCentral 用户指定为已验证的 EV 联系人。新建联系人选项用于输入非 CertCentral 帐户用户的信息。

九月 11, 2018

enhancement

我们添加了跳过审批步骤功能,该功能可用于删除 SSL、代码签名和文档签名证书订购流程中的审批步骤。

注意:仅证书吊销请求、来宾 URL 证书请求以及财务管理员、标准用户和受限用户证书请求需要提交管理员审批。

您可以在分区首选项页面上启用该功能(设置 > 首选项)。在证书请求部分(展开高级设置)的审批步骤下,选择跳过审批步骤:移除证书订购流程中的审批步骤,返回单击保存设置

注意:这些订单无需审批,因此不会在请求页(证书 > 请求)列出。而是仅显示在订单页(证书 > 订单)。

九月 6, 2018

new

我们新增了获取订单状态更改端点,使用 DigiCert 服务 API 的用户可检查所有证书订单在指定时间范围内(最多一周)的状态。

有关此新端点的更多信息,请参阅订单管理 - 获取订单状态更改(位于 DigiCert 服务 API 文档中)。

fix

我们修复了 CT 日志消息错误,以前我们指示私有或其他非公共 SSL/TLS 证书已记录到 CT 日志中,而实际上没有。

注意:DigiCert 不会将私有 SSL/TLS 证书和非 SSL/TLS 证书记录到 CT 日志。业内仅对公共 SSL/TLS 证书使用 CT 日志。

现在,当您查看您的私有 SSL/TLS 证书或非 SSL/TLS 证书(例如,客户端证书)的证书详细信息时,您不会看到任何 CT 日志记录信息。

fix

我们修复了订单页面(证书 > 订单)上的搜索功能错误,以前您无法使用公用名搜索客户端证书。

现在,当您使用公用名搜索特定客户端证书时,如果存在匹配,将返回您的结果。

九月 5, 2018

fix

我们修复了证书服务协议 UI 错误,以前有些字符和符号使用错误的编码显示。

现在当您浏览证书服务协议时,所有字符和符号都将具有正确的编码。

八月 31, 2018

fix

我们修复了受限用户角色错误。当管理员为证书订单指定受限用户时,受限用户不会获得续订、补发或吊销证书所需的权限。

现在,当为证书订单指定受限用户后,他们可以续订、补发或吊销证书。

八月 30, 2018

fix

我们修复了其他电子邮件地址错误,以前添加到证书订单上的其他电子邮件地址不会被保存。

现在,当您转到证书的订单详细信息页面并向订单添加和保存其他电子邮件地址时,其他电子邮件地址将保存并且当您返回页面时可找到它。

fix

我们修复了代码签名 (CS) 证书审批电子邮件错误,以前当 CS 申请者也是已验证的 CS 联系人时发送 CS 审批电子邮件。

现在,当代码签名证书申请者也是组织的已验证的 CS 联系人时,我们不会发送 CS 审批者电子邮件。

八月 29, 2018

fix

我们修复了请求页面上的搜索功能错误和分区筛选错误(证书 > 请求)。

现在,当您使用请求编号、订单编号、公用名等搜索特定请求时,如果存在匹配,将返回您的结果。此外,分区筛选将返回所选分区的请求。

fix

我们修复了 CertCentral 仪表板上的待处理的证书请求小工具错误。

现在,待处理的证书请求小工具上的待处理的证书请求的数量(新请求和吊销请求)将和请求页面(证书 > 请求)上的待处理的证书请求数量一致。

八月 28, 2018

new

新增了更改 CSR 功能。该功能可用于更改待处理的证书订单上的 CSR(在批准证书之后且颁发证书之前)。

订单页面(证书 > 订单),找到待处理的证书订单并单击其订单编号链接。在订单详细信息页面的正在验证部分的您需要执行的操作下,单击更改 CSR 链接可更改 CSR。

注意:对于等待审批的证书请求,您可以在证书审批之前更改 CSR。在请求页面(证书 > 订单),找到待处理的证书请求并单击其订单编号链接。在右侧的请求详细信息窗格,单击编辑链接可更改 CSR。

CertCentral API:新更改 CSR 端点

我们还增加了更改 CSR 端点,使用 DigiCert 服务 API 的用户可在待处理的 SSL/TLS 证书上更改 CSR。有关此新端点的更多信息,请参阅订单管理 - 添加 CSR(位于 DigiCert 服务 API 文档中)。

八月 27, 2018

enhancement

改进了通配符证书。您可以保护一个通配符证书上的多个通配符域。

当您在 CertCentral 中订购通配符证书时,可以保护一个通配符证书上的多个通配符域(*.example.com、*.yourdomain.com 和 *.mydomain.com)。您仍然可以使用您的通配符证书保护一个通配符域 (*.example.com)。

注意事项:

  • 对于每个通配符域,还免费保护基域(例如,*.yourdomain.com 保护 yourdomain.com)。
  • 其他主机名 (SAN) 必须是通配符域(例如,*.yourdomain.com)或基于您列出的通配符域。例如,如果您的一个通配符域是 *.yourdomain.com,您可以在您的证书订单中添加 SAN www.yourdomain.com 或 www.app.yourdomain.com。
  • 在证书订单上添加通配符 SAN 可能会产生额外费用。

八月 1, 2018

compliance

行业标准更改并删除了基准要求 (BR) 中的两种域控制验证 (DCV) 方法。

从 2018 年 8 月 1 日开始,证书颁发机构无法再使用以下域控制验证 (DCV) 方法:

  • 3.2.2.4.1 验证申请者为域联系人
    CA 可通过该方法和域名注册员直接确认证书申请者是域联系人,从而验证申请者对 SSL/TLS 证书订单上的域的控制权。
  • 3.2.2.4.5 域授权文档
    CA 可通过该方法确认申请者订购域授权文档中包含的所述域的授权,从而验证申请者对 SSL/TLS 证书订单上的域的控制权。
    请参阅投票 218:删除验证方法 1 和 5

欲了解关于可用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法

new

CertCentral 中的语言支持测试版。

语言支持可用于更改和保存您的 CertCentral 平台语言首选项。

CertCentral 平台语言:

  • Deutsch
  • Español
  • Français
  • Italiano
  • 日本語
  • 한국어
  • Português
  • Русский
  • 简体中文
  • 繁體中文
  • 英语

要试用 CertCentral 即将推出的语言支持?

在帐户右上角的"用户名"下拉列表中,选择我的个人资料。在个人资料设置页面的语言下拉列表中,选择一种语言并单击保存更改

请参阅 CertCentral:保存并更改您的语言首选项

七月 23, 2018

new

新增了取消订单功能。该功能可用于取消待处理的证书订单(在批准证书之后且颁发证书之前)。

订单页面(在侧栏菜单中,单击证书 > 订单),找到待处理的证书订单。然后在订单详细信息页面的证书操作部分取消订单。

注意:对于等待批准的证书请求,审批者必须拒绝该请求。对于已颁发的证书,管理员必须吊销证书。

七月 6, 2018

new

订单页面新增了高级搜索筛选(在侧栏菜单中,单击证书 > 订单,然后在订单页面上单击显示高级搜索链接)。

该功能可用于按接收人的电子邮件地址搜索客户端证书。

五月 25, 2018

compliance

DigiCert 符合 GDPR

《一般数据保护条例》(GDPR) 是一项对所有欧盟地区人士提供数据保护和隐私保护的欧盟法律。其主要目的是让欧盟公民居民和居民对其个人数据拥有更大的控制权,并且通过统一欧盟地区法规,简化国际业务的法规环境。GDPR 在 2018 年 5 月 25 日开始生效。更多详细信息 »

DigiCert 声明

DigiCert 努力理解并遵守 GDPR。当 GDPR 在 2018 年 5 月 25 日开始生效时,我们已经与 GDPR 的要求保持一致。请参阅遵循《一般数据保护条例》(GDPR)

compliance

GDPR 对基于 WHOIS 的电子邮件域控制验证 (DCV) 的影响

欧盟《一般数据保护条例》(GDPR) 在 2018 年 5 月 25 日开始生效。GDPR 要求对居住在欧盟 (EU) 境内的自然人(非企业实体)提供数据保护。

DigiCert 与 ICANN 开展联合工作,使得 WHOIS 信息公开可用。ICANN 宣布将继续注册处和注册员将信息提交至 WHOIS,并针对 GDPR 作出了一些更改。请参阅关于 WHOIS、GDPR 和域验证的说明

您是否依赖于基于 WHOIS 的电子邮件域控制验证?

请咨询您的域注册员,以确定他们是否使用匿名处理的电子邮件或 Web 表单作为 CA 为遵循 GDPR 而访问 WHOIS 数据的一种方式。

为了最大限度地提高验证流程的效率,请告知注册员您希望其为您的域继续使用您发布的完整记录还是使用匿名处理的电子邮件地址。使用这些选项将确保对我们的验证流程造成极小甚至不造成影响。

您的注册员是否使用匿名处理的电子邮件或 Web 表单作为 CA 访问 WHOIS 数据的一种方式。如果是,我们可以将 DCV 电子邮件发送至其 WHOIS 记录上列出的地址。

您的注册员是否屏蔽或删除电子邮件地址?如果是,您需使用另外一种方式证明对域的控制权:

  • 构造的电子邮件
  • DNS TXT
  • DNS CNAME
  • HTTP 实用演示

有关构造的电子邮件地址及其他备用 DCV 方法的更多信息,请参阅域控制验证 (DCV) 方法

五月 16, 2018

fix

修复了单一登录错误。当仅 SSO 用户请求重置 CertCentral 密码时,他们将不再收到密码重置电子邮件。

现在,他们将收到一封电子邮件,其中指示他们使用 SSO 登录并要求他们在需要使用不同类型的帐户访问权限时联系其 CertCentral 客户经理。

五月 10, 2018

compliance

行业标准允许证书颁发机构 (CA) 为仅具有 CAA 记录且不包含 "issue"/"issuewild" 属性标记的域颁发 SSL/TLS 证书。

当 CA 查询域的 CAA RR 并找到其中不含 "issue" 或 "issuewild" 属性标记的记录时,CA 可以将其解释为为该域颁发 SSL/TLS 证书的权限。请参阅投票 219:澄清关于不含 "issue"/"issuewild" 属性标记的 CAA 记录集的处理

要了解有关 CAA RR 检查流程的更多信息,请参阅我们的 DNS CAA 资源记录检查页面。

四月 16, 2018

new

在待处理订单详细信息页面新增了功能(单击证书 > 订单,然后单击待处理的订单编号链接)。该功能可用于对待处理订单上的域完成域控制验证 (DCV)。

当您看到订单正在等待完成域验证后方可颁发证书时,可单击待处理的域链接以打开证明对域的控制权弹窗。在该窗口中,您可以选择或更改 DCV 方法并对该域完成验证(发送或重新发送电子邮件,检查 DNS TXT 记录等)。请参阅域验证(待处理订单):域控制验证 (DCV) 方法

四月 1, 2018

compliance

鉴于整个行业弃用 TLS 1.0/1.1 并且为了维护我们的 PCI 合规性,DigiCert 从 2018 年 4 月 1 日开始停用 TLS 1.0/1.1。DigiCert 此后将支持 TLS 1.2 及更高版本。请参阅弃用 TLS 1.0 & 1.1

三月 15, 2018

enhancement

改进了订单编号页面(依次单击证书 > 订单订单编号链接)和订单编号详细信息窗格(依次单击证书 > 订单快速查看链接)。

查看订单的验证状态时,您现在可以看到订单上的每个 SAN 的验证状态:待处理或已完成。

enhancement

改进了 SSL 证书请求(申请证书 > SSL 证书)和 SSL 证书续订页面。我们简化了申请和续订页面的外观和风格,将特定的信息放在可展开部分。这让最终用户可以关注于订单和续订流程最重要的部分。

我们将以下证书和订单选项分组放在下列标题部分。

  • 其他证书选项
    • 签名哈希
    • 服务器平台
    • 自动续订
  • 其他订单选项
    • 给管理员的评论
    • 特定于订单的续订消息
    • 其他电子邮件
    • 其他可以管理订单的用户

三月 13, 2018

enhancement

改进了订单编号页面(依次单击证书 > 订单订单编号链接)和订单编号详细信息窗格(依次单击证书 > 订单快速查看链接)。

您现在可以看到订单的验证状态:待处理或已完成。您还可以查看订单是否在等待完成域或组织验证后才颁发证书。

三月 2, 2018

compliance

DigiCert 实施改进的组织单位 (OU) 验证流程。

根据基准要求:

"CA 将实施流程防止 OU 来源属性包括名称、DBA、商业名称、商标、地址、位置或其他指涉特定自然人或法人的文本,CA 已根据第 11.2 节验证此信息的除外。"

注意:OU 字段为可选字段。不要求在证书请求中包括组织单位。

三月 1, 2018

compliance

从 2018 年 3 月 1 日起,补发(或颁发副本)的公共 3 年 SSL/TLS 证书允许的最大期限为 825 天。

请注意,对于在 2017 年 3 月 1 日之后颁发的 3 年 OV 证书,在 3 年证书生命周期的第一年期间,所有补发和副本证书的生命周期可能短于"原始"证书的生命周期,并且这些补发的证书将最先过期。请参阅
这对我的 3 年补发证书和副本证书有什么影响?

二月 21, 2018

compliance

从 2018 年 2 月 21 日开始,DigiCert 将仅提供 1 年和 2 年公共 SSL/TLS 证书,因为更改后的行业标准限制公共 SSL 证书不超过 825 天(大约 27 个月)。请参阅 2018 年 2 月 20 日为新 3 年证书订单的最后一天

compliance

这仅用于提供信息,无需执行任何操作。

从 2018 年 2 月 1 日开始,DigiCert 将所有新颁发的公共 SSL/TLS 证书发布到公共 CT 日志中。这不会影响在 2018 年 2 月 1 日之前颁发的任何 OV 证书。请注意,从 2015 年起,已经要求对 EV 证书进行 CT 日志记录。请参阅从 2 月 1 日起将 DigiCert 证书记录到公共日志

enhancement

在 CertCentral 中新增了"在订购证书时从 CT 日志中排除"功能。当您启用此功能(设置 > 首选项)时,您允许帐户用户基于每证书订单将公共 SSL/TLS 证书保留在公共 CT 日志之外。

订购 SSL 证书时,用户可选择不将 SSL/TLS 证书记录到公共 CT 日志中。当用户订购新证书、补发证书和续订证书时,该功能可用。请参阅 CertCentral 公共 SSL/TLS 证书 CT 日志指南

enhancement

在 SSL 证书请求 API 端点中新增了 CT 日志排除可选字段 (disable_ct)。此外,新增了 CT 日志颁发的证书排除端点 (ct-status)。请参阅 CertCentral API 公共 SSL/TLS 证书透明度排除指南

一月 12, 2018

new

DigiCert 提供另一个公开可用的 CT 日志 (Nessie)。Nessie 是新推出的具有高度可扩展性和高性能的证书透明度 (CT) 日志。

该 CT 日志由五个日志组成,根据证书到期情况,以一年为增量分片。以下是 CT 日志端点 URL 及其证书到期范围。

更多详细信息 »

十二月 19, 2017

new

DigiCert 提供公开可用的 CT 日志 Yeti。Yeti 是新推出的具有高度可扩展性和高性能的证书透明度 (CT) 日志。

该 CT 日志由五个日志组成,根据证书到期情况,以一年为增量分片。以下是 CT 日志端点 URL 及其证书到期范围。

更多详细信息 »

十一月 3, 2017

enhancement

增强了概览页面(单击仪表板)。增加了从仪表板申请证书的功能;注意页面顶部的新申请证书按钮。

enhancement

增强了订单页面上的申请证书下拉列表(单击证书 > 订单)和请求页面(单击证书 > 请求)。在列表中增加了证书类型标头(例如,代码签名证书),从而可以更轻松地按类型查找证书。

enhancement

增强了即将到期的证书页面(单击证书 > 即将到期的证书)。增加了快速查看链接,无需离开页面也可查看每个即将到期的证书的详细信息。

十月 26, 2017

enhancement

增强了订单页面(单击证书 > 订单)和请求页面(单击证书 > 请求)。增加了从这些页面申请证书的功能;注意页面顶部的新申请证书按钮。

十月 24, 2017

compliance

CAA 资源记录检查的行业标准变更。修改了检查含有 8 条或更少 CNAME 记录的 CNAME 链的流程,并且搜索不包括 CNAME 记录的目标的父级。请参阅 DNS CAA 资源记录检查

十月 18, 2017

enhancement

增强了订单页面(单击证书 > 订单);改进了页面性能。

十月 16, 2017

enhancement

增强了订单详细信息页面(单击证书 > 订单页面上的订单编号时显示);改进了页面性能。

十月 10, 2017

enhancement

增强了请求页面上的订单详细信息窗格(单击订单编号时显示);改进了页面性能。

十月 6, 2017

new

增加了新的检索订单验证端点;可查看特定订单的 DCV 和组织验证的状态。

/services/v2/order/certificate/{order_id}/validation

更多详细信息 »

十月 3, 2017

new

在证书请求 API 端点中增加了新中间证书颁发功能。请参阅 CertCentral 中间证书颁发功能

十月 2, 2017

enhancement

增强了用户列表查询;改进了用户搜索以及页面性能(例如,订单页面)。

enhancement

增强了申请证书页面;改进了组织和域搜索以及页面性能。

new

在"帮助" (?) 菜单下拉列表中包括了新功能;增加了新变更记录页面的链接。

fix

修复了客户端证书的提交订单端点

在 CertCentral API 中,更新了“提交订单”端点,允许您自动或手动续订证书。该更改影响客户端证书订单和客户端证书续订订单。有关更多信息,请参阅我们的 DigiCert 服务 API 文档。

客户端证书订单:

在客户端证书订单上,"is_renewed" 值已适当包括在返回的响应主体中。

  • 如果未续订订单,则 "is_renewed" 字段为 false
    "is_renewed": false,
  • 如果已续订订单,则 "is_renewed" 字段为 true
    "is_renewed": true,

CertCentral API - 客户端证书续订

这些更改仅适用于手动触发的客户端证书续订,不适用于通过自动续订功能触发的客户端证书续订。

POST

使用 CertCentral API 提交客户端证书续订请求时,在端点中添加以下参数:POST /order/certificate/{order_id}body:"renewal_of_order_id": "1234567"

GET

从现在起,当您查看新订单(即将到期的原始证书续订订单)时,在返回的响应主体中包含这两个续订字段:"is_renewed": true,
"renewed_order_id": 1234567,

"renewed_order_id" 是您续订的原始订单的订单编号。

九月 25, 2017

enhancement

增强了客户端证书;增加了对多组织单位 (OU) 的支持。

enhancement

增强了客户端证书;增加了对多组织单位 (OU) 的支持。

九月 21, 2017

fix

修复了帐单联系人错误。更改分区中的帐单联系人不会更改其他分区的帐单联系人(例如,顶层分区)。

九月 8, 2017

compliance

颁发证书的行业标准变更。修订了证书颁发流程以检查 DNS CAA 资源记录。请参阅 DNS CAA 资源记录检查

九月 5, 2017

enhancement

增强了帐户余额和采购订单流程。请参阅 CertCentral 帐户余额和采购订单流程更改

八月 4, 2017

new

在"帮助" (?) 下拉列表中包括了新功能;增加了 DigiCert CertCentral 入门指南的链接。

七月 28, 2017

compliance

行业标准合规性变更;增强了 RFC 5280 违规检查和执行。请参阅公共可信证书 - 违反行业标准的数据条目

七月 21, 2017

compliance

验证流程的行业标准变更。超过 825 天的验证信息(DCV 或组织)必须重新验证后,才能处理证书补发、续订或颁发。更多详细信息 »

七月 10, 2017

compliance

行业标准合规性变更;增加了对附加域控制验证 (DCV) 方法的支持。请参阅域预验证:域控制验证 (DCV) 方法