域名所有权验证(也称域名验证)指验证待申请的证书绑定的域名是否属于证书申请人。本文介绍证书申请人配合CA中心进行域名验证的具体方法。

背景信息

加急服务

如果您在域名所有权验证阶段需要专业的技术支持,希望快速签发证书,推荐您购买证书加急服务。访问加急申请服务即可购买该服务。更多信息,请参见证书加急服务

支持的域名验证方式

根据您申请的证书的类型,您需要在不同的证书申请阶段完成域名验证。以下是详细说明:
  • DV证书域名验证

    在申请DV(域名型)(包含免费版DV证书)证书时,您需要根据数字证书管理服务控制台的提示完成域名验证,才能在数字证书管理服务控制台上提交证书申请。

    下表描述了数字证书管理服务支持的域名验证方式及不同方式的使用限制。
    域名验证方式 说明 使用限制
    自动DNS验证 使用该方式表示您授权数字证书管理服务修改域名的DNS解析记录,自动在解析记录中添加一条用于验证的TXT类型记录,无需您手动修改域名解析记录。

    CA中心验证TXT记录能够被解析,则表示验证通过。

    提交证书申请与证书绑定的域名的所有者必须为同一个阿里云账号。

    您可以在域名服务控制台域名列表中查看当前阿里云账号注册的域名。

    手工DNS验证 使用该方式时,您需要手动修改域名的DNS解析记录,在解析记录中添加一条用于验证的TXT类型记录。

    CA中心验证TXT记录能够被解析,则表示验证通过。

    域名通过第三方平台注册,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)。
    文件验证 您需要手动从数字证书管理服务控制台下载一个专用的证书验证文件,然后将该文件上传到站点服务器的指定验证目录。

    CA中心验证文件路径可以被访问,则表示验证通过。

    • 证书的域名类型为单域名。
      注意 不支持通配符域名使用文件验证方式。
    • 域名通过第三方平台注册,且您有权限向网站所在服务器的根目录写入内容(即拥有服务器管理权限)。
    • 目前CA中心仅支持向80、443端口发起认证请求。如果您的服务器未开放80、443端口,则请勿使用文件验证方式。
  • OV或EV证书域名验证

    申请OV(企业型)、EV(企业增强型)证书时,您无需在数字证书管理服务控制台上进行域名验证即可提交证书申请。在提交证书申请并收到CA中心发送的初审邮件后,您需要参考CA中心初审邮件中的域名验证步骤完成域名验证。

DV证书域名验证

申请DV证书(包括免费证书)时,您需要根据选择的域名验证方式参考以下步骤完成域名验证。

自动或手工DNS验证

  1. 登录数字证书管理服务控制台,进入域名验证环节。
    您可以通过以下方式进入域名验证环节:
    • 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
    • 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
  2. 如果您在填写申请环节设置的域名验证方式自动DNS验证,则直接单击验证;如果您在填写申请环节设置的域名验证方式手工DNS验证,则必须先按照验证信息提示为域名添加一条DNS解析记录,然后单击验证手工DNS验证
    以阿里云云解析DNS为例,您可以参照以下步骤为域名添加DNS解析记录:
    说明 如果您的域名通过第三方平台注册,请登录第三方平台的域名管理系统进行操作。
    1. 登录云解析DNS控制台
    2. 域名解析页面,单击要操作的域名。
    3. 解析设置页面,单击添加记录
    4. 添加记录面板,按照数字证书管理服务控制台验证信息中的提示,添加指定的TXT类型记录,并单击确认添加记录
      添加完成后,您可以在记录列表中查看已添加的TXT记录。该记录默认生效(状态正常)。已添加记录

      配置完TXT解析记录后,返回数字证书管理服务控制台,在域名验证环节,单击验证。验证失败时的处理方法,请参见DNS验证失败解决方案

  3. 验证成功后,单击提交审核验证成功
  4. 等待CA中心审核证书申请。
    CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。

    如果审核失败,您需要根据证书列表的提示进行处理。

  5. 证书签发后,删除步骤2中添加的TXT解析记录。
    注意 自动DNS验证模式下,数字证书管理服务会自动在域名的解析记录中添加验证用的TXT记录,但是该TXT记录不支持自动删除。建议您在证书签发后,手动删除该TXT记录。

文件验证

  1. 登录数字证书管理服务控制台,进入域名验证环节。
    您可以通过以下方式进入域名验证环节:
    • 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
    • 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
  2. 如果您在填写申请环节设置的域名验证方式文件验证,请按照验证信息提示,在服务器的Web根目录下创建验证目录(.well-known/pki-validation)并将专有验证文件fileauth.txt)上传到验证目录。
    完成上述配置后,浏览器需要能够通过https://yourdomain/.well-known/pki-validation/fileauth.txt或者http://yourdomain/.well-known/pki-validation/fileauth.txt访问专有验证文件,才表示验证通过。文件验证
    由于不同服务器的操作方法不同、不同Web程序的目录结构有差异,执行文件配置的具体操作不同。以下以安装在ECS实例上的Nginx服务(Linux版本)为例,介绍如何执行文件验证配置:
    说明 建议由服务器管理员进行操作。
    1. 单击专有验证文件,下载专有验证文件压缩包到本地计算机并解压缩。
      下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
      注意 下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
    2. 连接您的服务器。
      相关操作,请参见连接ECS实例
    3. 执行如下命令,在服务器的Web根目录(Nginx服务默认为var/www/html/)下创建验证用目录(.well-known/pki-validation/)。
      cd /var/www/html
      mkdir .well-known
      cd .well-known
      mkdir pki-validation
      cd pki-validation
    4. 使用ECS云助手,将专有验证文件(fileauth.txt)上传到验证目录(var/www/html/.well-known/pki-validation/)。
      相关操作,请参见上传本地文件到ECS实例
    5. 执行如下命令,验证专有验证文件已经上传到验证目录。
      ls

      如果返回结果中有fileauth.txt,表示验证文件已经配置成功。

  3. 单击验证
    CA中心将会依次尝试访问https://yourdomain/.well-known/pki-validation/fileauth.txthttp://yourdomain/.well-known/pki-validation/fileauth.txt,验证专有验证文件已配置正确。如果上述URL可以正常访问,则验证通过。建议您自行验证并确保上述URL可访问。
    注意
    • 如果您的域名支持HTTPS服务,请确保上述HTTPS地址可被访问,且证书可信。否则,建议您暂时关闭该域名的HTTPS服务,以免影响验证。
    • 如果您的域名为二级域名(例如:aliyundoc.com),您需要确保该域名以www.为起始的三级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://<aliyundoc.com>/.well-known/pki-validation/fileauth.txthttp://<www.aliyundoc.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。
    • 如果您的域名为以www.为起始的三级域名(例如:www.example.com),您需要确保该域名对应的二级域名也可被访问。以www.example.com域名为例,您需要同时确保http://<www.example.com>/.well-known/pki-validation/fileauth.txthttp://<example.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

    验证失败时的处理方法,请参见DNS验证失败解决方案

  4. 验证成功后,单击提交审核验证成功
  5. 等待CA中心审核证书申请。
    CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。

    如果审核失败,您需要根据证书列表的提示进行处理。

  6. 证书签发后,删除步骤2中上传的专有验证文件。

OV或EV证书域名验证

在数字证书管理服务控制台提交OV或EV证书申请后,CA中心会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件。您需要关注邮箱中是否收到了CA中心发送的初审邮件。收到初审邮件后,您需要根据邮件中提供的域名验证步骤完成域名验证操作。在此过程中,如果遇到了问题,您可以直接回复邮件或搜索钉钉群(群号为32435999)并加入该群获取技术支持

DNS验证失败解决方案

自动或手工DNS验证

失败提示信息 解决方案
未检测到DNS记录值
  1. 由于DNS记录配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待10分钟后,执行验证操作。再次执行验证操作后,仍收到相同的失败提示时,执行下一步。
  2. 根据证书申请面板的提示重新为该域名添加一条DNS解析记录,具体操作,请参见自动或手工DNS验证步骤2
DNS记录值不匹配
  1. 证书申请面板,单击查看检测到的记录值,并记录该记录值。
  2. 前往域名服务器,删除已检测到的记录值。

    以阿里云云解析DNS为例,删除记录的具体操作,请参见删除记录

  3. 根据证书申请面板的提示重新为该域名添加一条DNS解析记录,具体操作,请参见自动或手工DNS验证步骤2
验证超时,请重试 检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,然后再进行DNS验证。

文件验证

失败提示信息 解决方案
未检测到文件 根据证书申请面板的提示重新在域名服务器中上传专有验证文件,具体操作,请参见文件验证步骤2
文件内容不正确
  1. 证书申请面板,单击查看检测到的记录值,并记录该文件的信息。
  2. 前往域名服务器,删除已检测到的文件。
  3. 根据证书申请面板的提示重新在域名服务器中上传专有验证文件,具体操作,请参见文件验证步骤2
验证超时,请重试 检查域名服务器是否开放了80或443端口。检查结果:
  • 是:检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,然后再进行DNS验证。
  • 否:开放域名服务器的80或443端口后,再进行DNS验证。
    注意 使用文件验证方式需要域名服务器开放80或443端口。如果您的域名服务器无法开放80或443端口,您需要使用手工DNS验证方式完成验证。在证书申请面板,单击上一步,修改域名验证方式为手工DNS验证