套餐与重签

理解「购买年限」与「单张证书有效期」的区别，是长期使用 NestSSL 的关键。

两个时间概念

您付款购买的是 套餐服务期，而非「一张能用 N 年的证书文件」。

时间线示意

购买 3 年套餐 ─────────────────────────────────────────► 套餐服务期（3 年）
                │                    │                    │
                ▼                    ▼                    ▼
            第 1 张证            第 2 张证（重签）    第 3 张证（重签）
            最长约 200 天        最长约 200 天        最长约 200 天
            （2026-03-15 起）    （按新签发日适用）    （按新签发日适用）

在套餐服务期内，您可 免费重签 多次，用新 PEM 替换即将过期的旧证——这正是应对 CA/B 规则的核心方式。

CA/B 单次签发最长有效期

根据 CA/Browser Forum 基线要求（BR 6.3.2），TLS 订阅者证书的最长有效期已确定如下阶梯：

已签发的证书在原到期日前仍然有效。重签按 新签发日 适用当时有效的上限，不会追溯缩短未到期旧证。

对您意味着什么

结论：购买多年套餐买的是「服务期内的签发与重签权益」，不是一张长有效期的文件。选择 NestSSL 并开启 自动重签 + 自动部署，可将运维负担降到最低。

NestSSL 如何应对：自动重签 + 自动推送

云厂商或传统代理商通常只提供「到期前发邮件 → 您手动续费、验证、下载、上传」的流程。NestSSL 针对 CA/B 阶梯规则提供了 闭环自动化：

推荐配置（一次设置，长期有效）

1. 购买 多年套餐 — 锁定价格，享受折扣
2. DCV 选择 DNS 验证 — 通配符必选；利于自动重签
3. 在 CSR / 密钥库 保留可用 CSR，或在证书记录保存私钥
4. 配置 部署目标 并关联证书
5. 开启证书详情中的 自动重签 开关

完成后，即使 CA/B 将单次有效期缩短到 100 天甚至 47 天，您也无需每几个月登录多个控制台手工换证——NestSSL 会自动重签并推送新证到您的服务器或云证书库。

因此，购买 1 年甚至更长期的套餐后，在套餐未到期前，您可能仍需 重签 以获取新证书文件——但 不必为此额外付费，也不必手工运维（在自动重签与自动部署就绪时）。

重签是什么

重签 指在 套餐服务期内，用新的 CSR（可相同）重新申请一张证书，不再次扣款。

适用场景：

• 当前证书即将到期，但套餐服务期仍未结束
• 需要更换 CSR 或 DCV 方式
• CA/B 规则导致单张证有效期短于套餐

入口：我的证书 → 证书详情 → 「重签」（满足条件时显示）。

重签时可修改

• 域名验证方式（如从邮件改为 DNS）
• CSR（延用上次、从密钥库选择或手动粘贴）
• 邮件验证时的验证邮箱

重签后

• 同一条 证书记录回到「待签发」，签发成功后更新 PEM 与到期日
• 若配置了自动部署，新证签发后可自动推送
• DNS/HTTP 验证记录多数情况下可沿用

自动重签

在证书详情可开启 自动重签 开关。系统在证书到期前 7 天 内自动发起重签（需满足前置条件）。

开启条件

• 套餐服务期仍有效
• 验证方式为 DNS 或 HTTP（邮件不支持）
• 有可用 CSR（如关联密钥库记录）
• 自动重签开关已开启

失败处理

• 系统每日自动重试
• 首次当天重试全部失败时发送邮件通知
• 证书临近到期建议 手动重签 以确保服务不中断

时机、邮件与部署联动的完整说明见 自动化与通知。

重签提醒邮件

系统会在证书到期前按规则发送 重签提醒邮件，提醒您手动或确认自动重签。

续费 vs 重签 vs 新购

⚠️ 重要提示

到期续费与重签不同。 套餐服务期结束后，需像首次一样 重新选购产品、下单、支付、完成 DCV，无法一键续费原订单。

套餐到期后怎么办

1. 在 SSL 证书 产品页重新选购
2. 创建新订单并支付
3. 填写 CSR 与 DCV 信息，提交申请
4. 完成验证后部署新证书

建议在旧证到期前完成新证签发与部署，避免 HTTPS 服务中断。

相关文档

• DNS 验证 — 推荐配合自动重签
• 部署总览 — 重签后自动推送
• 常见问题