域名所有权验证(也称域名验证)指验证待申请的证书绑定的域名是否属于证书申请人。本文主要介绍DV类型证书(包含免费证书)申请人配合CA中心进行域名验证的具体方法。

背景信息

在数字证书管理服务控制台提交OV或EV证书申请后,CA中心会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件。您需要关注邮箱中是否收到了CA中心发送的初审邮件。收到初审邮件后,您需要根据邮件中提供的域名验证步骤完成域名验证操作。在此过程中,如果遇到了问题,请加入钉群(钉群号:32435999),联系产品技术专家进行咨询,或直接回复邮件。

如果您在域名所有权验证阶段需要专业的技术支持,希望快速签发证书,推荐您购买证书加急服务。更多信息,请参见证书加急和部署服务

验证方式

在申请DV(域名型)证书时,您需要根据数字证书管理服务控制台的提示完成域名验证,才能在数字证书管理服务控制台上提交证书申请。下表描述了数字证书管理服务支持的域名验证方式及不同方式的使用限制。

域名类型 域名验证方式 说明 使用限制
阿里云域名 自动DNS验证 使用该方式表示您授权数字证书管理服务修改域名的DNS解析记录,自动在解析记录中添加一条用于验证的TXT类型记录,无需您手动修改域名解析记录。

CA中心验证TXT记录能够被解析,则表示验证通过。

提交证书申请与证书绑定的域名的所有者必须为同一个阿里云账号。

您可以在域名服务控制台域名列表中查看当前阿里云账号注册的域名。

说明 如果提交证书申请和阿里云域名的所有者不是同一个阿里云账户,仅支持选择手工DNS验证或文件验证方式。
非阿里云域名 手工DNS验证 使用该方式时,您需要手动修改域名的DNS解析记录,在解析记录中添加一条用于验证的TXT类型记录。

CA中心验证TXT记录能够被解析,则表示验证通过。

  • 域名通过第三方平台注册,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)。
  • 证书的域名类型为单域名或通配符域名。
文件验证 您需要手动从数字证书管理服务控制台下载一个专用的证书验证文件,然后将该文件上传到站点服务器的指定验证目录。

CA中心验证文件路径可以被访问,则表示验证通过。

  • 证书的域名类型为单域名。
    注意 不支持通配符域名使用文件验证方式。
  • 域名通过第三方平台注册,且您有权限向网站所在服务器的根目录写入内容(即拥有服务器管理权限)。
  • 目前CA中心仅支持向80、443端口发起认证请求。如果您的服务器未开放80、443端口,则请勿使用文件验证方式。

阿里云域名验证

申请DV证书时,如果您填写的域名是阿里云域名,并且提交证书申请与域名的所有者为同一个阿里云账号,阿里云将选择自动DNS验证方式,且不支持修改。

  1. 登录数字证书管理服务控制台,进入域名验证环节。
    您可以通过以下方式进入域名验证环节:
    • 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
    • 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
  2. 证书申请面板,单击验证
  3. 验证成功后,单击提交审核验证成功
  4. 等待CA中心审核证书申请。
    CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。

    如果审核失败,您需要根据证书列表的提示处理异常问题。

  5. 证书签发后,删除阿里云在验证域名所有权时在域名解析记录中添加的TXT解析记录。

非阿里云域名验证

申请DV证书时,您需要根据选择的域名验证方式参考以下步骤完成域名验证。

手工DNS验证

  1. 登录数字证书管理服务控制台,进入域名验证环节。
    您可以通过以下方式进入域名验证环节:
    • 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
    • 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
  2. 按照证书申请面板验证信息的提示为域名添加一条DNS解析记录,然后单击验证手工DNS验证
    以阿里云云解析DNS为例,您可以参照以下步骤为域名添加DNS解析记录:
    说明 如果您的域名通过第三方平台注册,请登录第三方平台的域名管理系统进行操作。
    1. 登录云解析DNS控制台
    2. 域名解析页面,单击证书绑定的域名。
    3. 解析设置页面,单击添加记录
    4. 添加记录面板,按照数字证书管理服务控制台验证信息中的提示,添加指定的TXT类型记录,并单击确认添加记录
      添加完成后,您可以在记录列表中查看已添加的TXT记录。该记录默认生效(状态正常)。已添加记录

      配置完TXT解析记录后,返回数字证书管理服务控制台,在域名验证环节,单击验证。验证失败时的处理方法,请参见DNS验证失败解决方案

  3. 验证成功后,单击提交审核验证成功
  4. 等待CA中心审核证书申请。
    CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。

    如果审核失败,您需要根据证书列表的提示处理异常问题。

  5. 证书签发后,删除步骤2中添加的TXT解析记录。

文件验证

  1. 登录数字证书管理服务控制台,进入域名验证环节。
    您可以通过以下方式进入域名验证环节:
    • 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
    • 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
  2. 请按照证书申请面板验证信息提示,在服务器的Web根目录下创建验证目录(.well-known/pki-validation)并将专有验证文件fileauth.txt)上传到验证目录。
    完成上述配置后,浏览器需要能够通过https://yourdomain/.well-known/pki-validation/fileauth.txt或者http://yourdomain/.well-known/pki-validation/fileauth.txt访问专有验证文件,才表示验证通过。文件验证
    由于不同服务器的操作方法不同、不同Web程序的目录结构有差异,执行文件配置的具体操作不同。以下以安装在ECS实例上的Nginx服务(Linux版本)为例,介绍如何执行文件验证配置:
    说明 建议由服务器管理员进行操作。
    1. 证书申请面板,单击专有验证文件,下载专有验证文件压缩包到本地计算机并解压缩。
      下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
      注意 下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
    2. 连接您的服务器。
      相关操作,请参见连接ECS实例
    3. 执行如下命令,在服务器的Web根目录(Nginx服务默认为var/www/html/)下创建验证用目录(.well-known/pki-validation/)。
      cd /var/www/html
      mkdir .well-known
      cd .well-known
      mkdir pki-validation
      cd pki-validation
    4. 使用ECS云助手,将专有验证文件(fileauth.txt)上传到验证目录(var/www/html/.well-known/pki-validation/)。
      具体操作,请参见上传本地文件到ECS实例
    5. 执行如下命令,验证专有验证文件已经上传到验证目录。
      ls

      如果返回结果中有fileauth.txt,表示验证文件已经配置成功。

  3. 证书申请面板,单击验证
    CA中心将会依次尝试访问https://yourdomain/.well-known/pki-validation/fileauth.txthttp://yourdomain/.well-known/pki-validation/fileauth.txt,验证专有验证文件已配置正确。如果上述URL可以正常访问,则验证通过。建议您自行验证并确保上述URL可访问。
    注意
    • 如果您的域名支持HTTPS服务,请确保上述HTTPS地址可被访问,且证书可信。否则,建议您暂时关闭该域名的HTTPS服务,以免影响验证。
    • 如果您的域名为二级域名(例如:aliyundoc.com),您需要确保该域名以www.为起始的三级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://<aliyundoc.com>/.well-known/pki-validation/fileauth.txthttp://<www.aliyundoc.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。
    • 如果您的域名为以www.为起始的三级域名(例如:www.example.com),您需要确保该域名对应的二级域名也可被访问。以www.example.com域名为例,您需要同时确保http://<www.example.com>/.well-known/pki-validation/fileauth.txthttp://<example.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

    验证失败时的处理方法,请参见DNS验证失败解决方案

  4. 验证成功后,单击提交审核验证成功
  5. 等待CA中心审核证书申请。
    CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。

    如果审核失败,您需要根据证书列表的提示处理异常问题。

  6. 证书签发后,删除步骤2中上传的专有验证文件。

DNS验证失败解决方案

自动或手工DNS验证

失败提示信息 解决方案
未检测到DNS记录值
  1. 由于DNS记录配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待10分钟后,执行验证操作。
  2. 如果验证仍失败,请根据证书申请面板的提示重新为该域名添加一条DNS解析记录,具体操作,请参见步骤2
DNS记录值不匹配
  1. 证书申请面板,单击查看检测到的记录值,并保存该记录值。
  2. 前往域名服务器,删除已检测到的记录值。

    以阿里云云解析DNS为例,删除记录的具体操作,请参见删除记录

  3. 根据证书申请面板的提示重新为该域名添加一条DNS解析记录,具体操作,请参见步骤2
验证超时,请重试 请排查是否存在以下问题:
  • 检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,再进行域名所有权验证。
  • 检查域名解析是否正常。您可以联系域名服务商确认域名解析是否正常。
  • 确认域名是否已完成备案和实名认证。如未完成,请在完成域名备案和实名认证后,进行域名所有权验证。
  • 检查域名是否包含CAA记录。CAA记录会导致验证失败。如果域名中存在CAA记录,请在删除该记录后,进行域名所有权验证。

文件验证

失败提示信息 解决方案
未检测到文件 根据证书申请面板的提示重新在域名服务器中上传专有验证文件,具体操作,请参见步骤2
文件内容不正确
  1. 证书申请面板,单击查看检测到的记录值,并记录该文件的信息。
  2. 前往域名服务器,删除已检测到的文件。
  3. 根据证书申请面板的提示重新在域名服务器中上传专有验证文件,具体操作,请参见步骤2
验证超时,请重试 请排查是否存在以下问题:
  • 检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,再进行域名所有权验证。
  • 检查域名服务器是否开放了80或443端口。如果未开放,请在开放域名服务器的80或443端口后,再进行域名所有权验证。
    注意 使用文件验证方式需要域名服务器开放80或443端口。如果您的域名服务器无法开放80或443端口,您需要使用手工DNS验证方式完成验证。在证书申请面板,单击上一步,修改域名验证方式为手工DNS验证
  • 如果申请的是国际品牌证书(例如DigiCert、GolbalSign),您需要确保域名服务器可通过中国境外的网络访问。建议您在域名服务器中临时将CA中心的IP地址添加到白名单中,确保CA中心可以正常访问您的域名服务器,完成域名所有权验证。如何获取CA中心IP地址,请加入钉群(钉群号:32435999),联系产品技术专家进行咨询

    在证书签发后,建议您删除已配置的IP白名单。