AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数字证书管理服务(原SSL证书) 操作指南 SSL证书管理 申请SSL证书 域名所有权验证

域名所有权验证

更新时间:
产品详情
我的收藏
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

在证书申请信息提交审核后,请根据实际情况通过域名系统(DNS)、文件或电子邮件等方式证明您对域名的所有权。本文为您介绍域名所有权验证的规则以及流程。

前提条件

证书状态为“申请审核中”。

验证说明

说明

如果您在域名所有权验证阶段需要专业的技术支持,希望快速签发证书,推荐您购买证书申请协助服务。更多信息,请参见购买证书申请协助和部署服务

验证结果说明

  • 控制台验证结果仅供参考,控制台验证通过不代表CA审核成功并签发证书,实际验证和签发结果请以CA中心检测为准。

  • DV证书控制台验证域名解析结果存在一定的延迟,如果您的域名解析已经生效,控制台仍提示“未检测DNS记录值”或“未检测到文件”等提示信息,您无需其他操作,请耐心等待重试即可。

签发时长

  • DV证书平均1~15分钟内自动签发。

  • OV、EV由于需要人工验证,签发时间可能较长,平均签发时长为5个自然日。

    重要

    请及时注意您的邮箱和电话,CA中心会在工作日的白天与您取得联系。

  • 如果长时间未签发,请先确认域名解析配置是否正确及域名是否包含敏感词。对于非阿里云DNS域名解析服务,请咨询对应服务商,了解解析配置情况。

    常见敏感词

    live、bank、banc、fund、wallet、pay、lv、nuclear、pw、asia、ban.c、alpha、test、example、credit、apple、ebay、trust、root、amazon、android、visa、google、discover、financial、wordpress、pal、hp、free、SCP等。

DV证书域名验证

DV验证支持自动DNS验证、手动DNS验证和文件验证三种方式。

自动 DNS 验证

使用限制

  • 证书绑定的域名是在阿里云申请,并且使用阿里云云解析DNS服务。

  • 云解析DNS服务与证书申请须在同一阿里云账号下。

验证说明

  • 若申请DV证书的域名符合自动验证条件,系统将默认选择“自动DNS验证”方式,且此选项不可更改。

  • 提交审核后,阿里云会自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权,无需人工操作。

重要

  • 为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除在DNS服务内有冲突的TXT解析记录。

  • 控制台验证域名解析结果存在一定的延迟,如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,无需其他操作,请耐心等待即可。

手动DNS验证

手动DNS验证即需要在对应的DNS域名解析服务商,手动添加一条CNAMETXT类型的解析记录用于验证域名所有权。

CNAMETXT对比

比较维度

CNAME 记录验证

TXT 记录验证

工作原理

添加别名记录,验证权交由CA服务器。

添加特定文本记录,CA直接查询验证。

验证时效性

一次配置,持续有效,支持添加并授权免DNS验证的域名实现自动续用。

一次性验证,临时有效,每次申请需重新配置。

核心优势

高效省心,简化后续证书申请和续期流程。

兼容性强,适用与大部分CADNS服务商。

限制与注意事项

  • 品牌限制:目前仅DigiCert、GeoTrust、Rapid、WosignCFCA品牌支持,请以申请界面上的提示为准。

  • 解析服务商限制:西部数码DNS解析服务,目前暂不支持。

  • 品牌限制:Wosign品牌证书不支持TXT记录验证。

  • 操作繁琐:每次都需要手动配置,增加了管理成本和人为失误的风险。

警告

  • 在证书签发之前,请勿删除已添加的域名解析记录,否则会导致证书签发失败。

  • 建议您在证书签发后删除TXT解析记录,以避免后续添加解析记录时发生冲突。

使用限制

  • 购买的是DV类型证书,且域名类型为单域名或通配符域名。

  • 您有权限修改域名的DNS解析设置(即拥有域名管理权限)。

  • DNS解析服务与证书申请者不在同一阿里云账号。

DNS解析记录生效时间

  • 新增解析记录:实时生效。

  • 删除或修改解析记录:取决于DNS缓存到期时间(TTL),通常为10分钟

  • DNS服务器更换:默认生效时间为48小时。

验证步骤

下文以添加TXT解析记录为例,向您介绍域名验证流程:

步骤一:获取验证信息

提交证书申请审核后,您需要在证书申请面板的验证信息引导页,获取记录类型主机记录记录值

image

步骤二:添加DNS解析记录

在您的DNS解析服务商上,为域名添加DNS解析记录,本文以阿里云解析DNS为例:

重要

如果您域名对应的DNS域名解析服务不在阿里云,请您前往对应的DNS域名解析商添加解析记录。

  1. 使用域名持有者所在的阿里云账号,登录云解析DNS控制台,找到目标域名并进入其“解析设置”页面。

  2. 单击添加记录,准确填写步骤一获取到的验证信息(记录类型、主机记录及记录值),然后单击确定

TXT记录类型的添加示意图如下:数字证书管理服务控制台(左图)、云解析DNS控制台(右图)

image

步骤三:验证域名

成功配置解析记录后,返回数字证书管理服务控制台证书申请时的验证信息引导页,单击验证

重要

  • 如果域名解析记录中包含CAA记录,请您确认是否与当前证书品牌一致。如果非当前证书品牌的CAA记录,您需要删除该CAA记录,否则证书将不会签发。更多关于DNS验证问题,请参见DV证书域名所有权验证失败怎么办?

  • 控制台验证域名解析结果存在一定的延迟,如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,无需其他操作,请耐心等待即可。

文件验证

使用限制

  • 购买的是DV类型证书,且域名类型为单域名。

  • 有权限向网站所在服务器的Web根目录写入内容(即拥有服务器管理权限)。

  • 20211115日起,通配符域名(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支持文件验证方式。更多信息,请参见【通知】申请通配符证书不再支持文件验证

验证说明

  • 开放服务器端口:目前CA中心仅支持通过80端口(HTTP) 和 443端口(HTTPS) 来获取验证文件内容,请确保服务器已开放这两个端口。若HTTPS服务暂时无法支持,暂时关闭HTTPS服务(即停止监听443端口)

  • 确保主域名和www子域名双向覆盖:无论您申请的是主域名(如 aliyundoc.com)还是www域名,都必须确保这两者均可被公网正常访问

  • 禁止任何形式的URL重定向:CA的验证不支持任何HTTP重定向(例如301永久重定向或302临时重定向)。

  • 保障境外网络可达:如果申请的是国际品牌证书(例如DigiCert、GlobalSign),为避免服务器防火墙或安全组策略拦截导致验证失败,建议您将 CA 中心的 IP 地址段临时添加至访问白名单,以此确保域名服务器可通过中国境外的网络访问。

    说明

    如何获取CA中心IP地址,请联系产品技术专家进行咨询,详情请参见专家一对一服务

验证步骤

步骤一:下载验证文件

提交证书申请审核后,在下载验证文件区域,单击验证文件,下载专有验证文件压缩包到本地计算机并解压缩。下载的文件是一个ZIP压缩包,将其解压缩后可以获得专有验证文件。

警告

  • 下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。

  • 该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。

image.png

步骤二:上传验证文件

下面以安装在阿里云云服务器ECS上的Nginx(Linux版本)为例,为您介绍如何进行文件验证配置。

说明

建议由服务器管理员进行操作。

  1. 连接云服务器ECS。具体操作,请参见ECS远程连接方式概述

  2. 依次执行以下命令,在服务器的Web根目录(Nginx服务默认为/var/www/html/)下创建文件验证目录(.well-known/pki-validation/)。

    cd /var/www/html
mkdir -p .well-known/pki-validation

  3. 将验证文件上传到验证目录(/var/www/html/.well-known/pki-validation/)。

    您可以使用远程登录工具附带的本地文件上传功能,上传文件。例如PuTTY、XshellWinSCP等。如果您使用的是阿里云云服务器 ECS,上传文件具体操作,请参见使用远程桌面或Windows APPWindows实例传输文件上传文件到Linux云服务器

    警告

    在证书签发前,请勿删除服务器中的专有验证文件,否则会导致证书签发失败。

步骤三:验证域名

成功上传验证文件后,返回数字证书管理服务控制台,证书列表中单击目标证书操作列的验证按钮。控制台验证文件会有延迟,若出现未检测到文件的情况,请您耐心等待重试。如果1个工作日后仍然未验证成功,请您重新上传正确文件。

重要

系统会自动验证http://<您的域名>/.well-known/pki-validation/<验证文件名>https://<您的域名>/.well-known/pki-validation/<验证文件名>是否可访问。

OVEV证书域名验证

提交EVOV证书申请后,CA机构通常会在1个工作日内(以其当地时区为准,节假日顺延),通过申请时预留的邮箱或电话与您联系。请保持通讯畅通,并及时根据邮件或电话指引完成域名验证。

  • 邮件验证:CA中心收到您的证书申请后,将向您的联系人邮箱发送一封域名验证邮件。

    image

    验证邮件一般有哪些?邮件接收人是谁?

    CA中心会发送域名验证和订单确认邮件给证书申请时填写联系人预留的邮箱。联系人管理可参见管理联系人。不同的证书品牌邮件内容可能存在差异,可参考下方邮件说明:

    重要

    以下邮件内容仅供参考,请您以实际收到的为准。

    GlobalSign

    image

    CFCA

    image

    vTrus

    image

  • 电话验证:根据CA中心的要求不同,CA中心工作人员可能联系证书申请时填写联系人预留的电话,验证您的证书申请信息。联系人管理可参见管理联系人,请保持联系人电话畅通,能够正常接听CA中心的验证电话。

重要

  • 如果未接到电话或收到邮件,您可以通过专家一对一服务咨询,详情请参见专家一对一服务

  • 在信息填写正确且积极配合CA中心验证的情况下,OV、EV平均签发时长为5个自然日,如果超过30个自然日未签发则自动审核失败。

后续步骤

在您向CA机构提交证书申请并完成域名所有权验证后,CA机构将会对其进行审核,审核结果请参见CA审核结果处理

常见问题

DV证书域名所有权验证失败(DNS解析失败,文件验证失败)怎么办?

手动DNS验证

如何检测DNS解析记录是否生效?

阿里云提供网络拨测工具可帮助您检测解析记录是否生效。检测步骤如下:

  1. 证书申请面板,单击查看记录值

    image

  2. 网络拨测工具页签,单击立即检测

    image

  3. 检测结果列表中的解析结果与您配置的解析记录值一致时,代表解析正常生效。

控制台提示“未检测到DNS记录值”怎么办?

常见原因及解决方案如下

  1. 未添加域名解析记录。

    请参见手动DNS验证,在对应的DNS域名解析服务商,手动添加一条CNAMETXT类型的解析记录用于验证域名所有权。

  2. 控制台验证解析延迟。

    如果您已正确添加域名解析记录,但仍提示“未检测到DNS记录值”,可能是控制台验证延迟导致的。无需任何操作,耐心等待重试即可。

  3. SSL证书绑定域名和DNS域名解析对应的域名不一致。

    说明

    非阿里云DNS解析服务商的用户,请前往对应DNS解析供应商确认域名。

    1. 确认域名是否一致image

    2. SSL证书验证页点击修改,重新填写证书绑定域名后再次提交审核。image

控制台提示“DNS记录值不匹配”怎么办?

常见原因及解决方案如下

  1. DNS解析记录值配置错误。

    将证书申请的主机记录和记录值重新复制到DNS解析的配置中。

    image

  2. 使用了DNSPod或其他域名解析服务商解析域名。

    您可以暂时忽略控制台提示的相关错误,按要求在DNSPod或其他域名解析服务商配置DNS的解析记录后,等待CA验证即可。

  3. DigiCert品牌的DV证书,解析记录值超过24小时。

    1. 删除已超过24小时的TXT解析记录值。

    2. 访问数字证书管理服务控制台,重新申请目标证书,获取最新的TXT解析记录值。

    3. 前往域名解析服务商平台重新添加新的TXT解析记录值。

    说明

    GeoTrust品牌的DV型证书时间戳始终有效。

  4. 记录值未同步至海外DNS。

    动态域名解析记录同步延迟,导致海外权威DNS服务器无法获取最新的TXT记录值。检查您的动态解析服务是否正常运行,耐心等待即可。

控制台提示“验证超时,请重试”怎么办?

域名服务器的网络异常,请联系对应的域名服务商,检查并修复网络情况。

文件验证

控制台提示“未检测到文件”怎么办?

常见原因及解决方案如下

  1. 未上传验证文件至服务器指定目录。

    请参见文件验证,将验证文件上传至站点服务器的指定验证目录(.well-known/pki-validation/)。

  2. 控制台文件验证延迟。

    如果您已上传验证文件至服务器对应目录,且访问URL地址(HTTPS地址HTTP地址),能够访问到验证文件内容,但是控制台仍提示“未检测到文件”。可能是控制台文件验证延迟导致的您无需任何操作,耐心等待重试即可。

控制台提示“验证超时,请重试”怎么办?

常见原因及解决方案如下

  1. 未开放服务器的80443端口。

    目前CA中心仅支持通过访问HTTPS地址HTTP地址(443端口和80端口),验证是否可以访问到验证文件内容。

    解决方案一:开放80443端口。

    如何开放80443端口?

    Linux

    1. 在服务器终端执行以下命令,检测443端口的开放情况:

      RHEL/CentOS 系列
      command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

      如果输出 Ncat: Connected to <当前服务器公网 IP>:443,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

      Debian/Ubuntu 系列
      command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

      若输出 Connection to <当前服务器公网 IP> port [tcp/https] succeeded![<当前服务器公网 IP>] 443 (https) open,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

    2. 若端口未开放,可参照如下操作在安全组和防火墙中开放443端口。

      1. 在安全组中开放 443 端口

      重要

      若您的服务器部署在云平台,请确保其安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例,其他云平台请参考其官方文档。

      1. 登录ECS管理控制台,在页面左侧顶部,选择目标 ECS 实例所在地域。在实例页面,找到目标 ECS 实例。

      2. 单击目标实例名称,进入实例详情页面,单击安全组 > 内网入方向全部规则,确保存在一条授权策略允许协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象任何位置(0.0.0.0/0)的规则。

      3. 如不存在上述规则,请按以下步骤添加。更多安全组配置请参见添加安全组规则

        1. 在 ECS 实例详情页面,单击安全组 > 安全组列表,选择目标安全组并进入其详情页。

        2. 在安全组详情页的安全组详情 > 入方向下,单击增加规则

        3. 新建安全组规则面板,访问目的(本实例)设置为 HTTPS(443),其余参数保持默认值,单击确定即可。

      2. 在服务器本地防火墙中开放 443 端口

      执行以下命令,识别系统当前的防火墙服务类型:

      if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

      若输出为 none,则无需进一步操作。否则,请根据输出的类型(firewalldufwnftablesiptables),执行以下命令开放 443 端口:

      firewalld
      sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload
      ufw
      sudo ufw allow 443/tcp
      nftables
      sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null
      iptables
      sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

      为避免 iptables 规则在系统重启后失效,请执行以下命令持久化 iptables 规则:

      RHEL/CentOS 系列
      sudo yum install -y iptables-services
sudo service iptables save
      Debian/Ubuntu 系列
      sudo apt-get install -y iptables-persistent
sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
    Windows

    1. 在安全组中开放 443 端口

    重要

    若您的服务器部署在云平台,请确保其安全组已开放入方向 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例,其他云平台请参考其官方文档。

    1. 登录ECS管理控制台,在页面左侧顶部,选择目标 ECS 实例所在地域。在实例页面,找到目标 ECS 实例。

    2. 单击目标实例名称,进入实例详情页面,单击安全组 > 内网入方向全部规则,确保存在一条授权策略允许协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象任何位置(0.0.0.0/0)的规则。如不存在此规则,请进行添加。

      如何添加安全组规则

      1. 在 ECS 实例详情页面,单击安全组 > 安全组列表,选择目标安全组并进入其详情页。

      2. 在安全组详情页的安全组详情 > 入方向下,单击增加规则

      3. 新建安全组规则面板,将访问目的(本实例)设置为 HTTPS(443),其余参数保持默认值,单击确定即可。

      4. 更多安全组配置请参见添加安全组规则

    2. 在服务器本地防火墙中开放 443 端口

    1. 登录Windows服务器,单击左下角开始菜单,打开控制面板

    2. 点击系统和安全 > Windows防火墙 > 检查防火墙状态

    3. 如果防火墙处于如下图的关闭状态,无需额外操作。image

    4. 如果防火墙已开启,需放行HTTPS规则。

      如何放行防火墙HTTPS规则

      1. 单击左侧高级设置 > 入站规则,检查是否存在协议TCP,本地端口443,操作阻止的入站规则。

      2. 若存在此类规则,需要右键单击相应规则并选择属性,在常规页签,将其修改为允许连接应用

      3. 更多防火墙配置,请参见配置防火墙规则

    解决方案二:证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证

  2. 存在301302重定向跳转

    • 使用wget -S <URL地址>命令检测该验证URL地址是否存在跳转。若返回 HTTP/1.1 301 Moved Permanently 或 HTTP/1.1 302 Found,则说明存在重定向。

      wget -S http://<您的域名>/.well-known/pki-validation/<验证文件名>

    • 删除重定向配置。以下为Nginx配置文件nginx.conf301302配置示例代码。

      301配置
      server {
    listen 80;
    server_name <您主域名> <您的www子域名>;
    return 301 跳转域名$request_uri;
}
      302配置
      location /.well-known/ {
    return 302 <重定向地址>
}

  • CA境外IP被防火墙拦截(域名站点未支持境外访问)。

    申请的是国际品牌证书(例如DigiCert、GlobalSign)但证书绑定域名的网站限制境外 IP 访问,可临时将CA中心的IP地址添加到域名服务器的白名单中。

    说明

    • 如何获取CA中心IP地址,可参见CA中心地址也可联系产品技术专家进行咨询,详情请参见专家一对一服务

    • 在证书签发后,建议您删除已配置的IP白名单,以防再次申请证书时出现未知问题。

  • 域名服务器的网络异常。

    联系对应的域名服务商,检查并修复网络情况。

  • 个人测试证书申请的域名含有敏感词。

    解决方案一:更换特殊词(edu、gov、org、jp(国家缩写)、pay、bank、live、nuclear等),重新发起申请。

    解决方案一:如域名无法更改,请您购买OV、EV证书或者vTrus(国产品牌)的证书。

控制台提示“文件内容不正确”怎么办?

常见原因及解决方案如下

  1. 域名服务器下存在旧文件未及时删除

    1. 证书申请面板,单击查看检测到的文件,并记录已检测到的文件的信息。文件信息

    2. 前往您的域名服务器,删除已检测到的文件。

      说明

      通常情况下,旧文件在站点的根目录/.well-known/pki-validation目录下。

    3. 请参见文件验证,重新下载最新验证文件并上传至域名服务器。

  2. 未部署HTTPS服务路径。

    部分站点页面已启用HTTPS访问,而验证文件仅部署在HTTP服务路径下,未部署HTTPS服务路径下,导致报错。

    解决方案一:您可以将验证文件同时部署在HTTPHTTPS服务路径下,并且需要确认HTTPS协议的正常访问。

    解决方案二:您可以临时关闭对应站点涉及页面的HTTPS服务。

  3. 启用了CDN服务,但未完成CDN服务节点海外数据同步。

    解决方案一:将验证文件同步到海外CDN服务节点,或者临时关闭CDN海外加速服务。

    解决方案二:如果无法对CDN节点服务器进行变更操作,可在证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证

  4. 验证文件时间戳超时。

    访问数字证书管理服务控制台,重新下载最新的验证文件并上传到您网站的指定目录。

文件验证失败的其他原因

  • www子域名/主域名验证不全

    根据证书颁发机构 (CA) 的验证规范,无论您申请的是主域名还是其 www子域名 ,CA都会对这两个地址同时进行检查。请务必确保,这两个域名下的验证文件均可被公开访问,否则验证将失败。

    说明

    www.example.comaliyundoc.com域名为例,您需要同时确保http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

  • 未关闭HTTPS服务

    服务器如果有HTTPS服务,需确保可通过HTTPS地址访问到验证文件内容,否则建议您暂时关闭该域名的HTTPS服务,否则会到证验证失败。

    说明

    如果服务器未配置过HTTPS服务,只需确保HTTP地址可以访问到验证文件内容。

通配符域名支持文件验证吗?

不支持,详情可参见【通知】申请通配符证书不再支持文件验证

自动验证

自动验证方式是否可以更改?

不能,若需要更改验证方式请切换至其他阿里云账号,重新进行证书购买。完成购买后可参见域名所有权验证完成域名所有权验证。

控制台显示域名验证通过,但是证书一直未签发?

控制台验证结果仅供参考,控制台验证通过不代表完成CA验证并签发证书,实际验证和签发结果请以CA中心检测为准。一般情况下,DV证书的平均签发时间为1~15分钟,EVOV证书平均签发时长为5个自然日。特殊情况下可能导致证书审核时长增加,常见原因及解决方案如下:

  1. 域名存在 CAA 解析记录

    方案一:请前往DNS解析控制台,在域名的解析配置页,将记录类型为“CAA”的解析记录删除,操作完成后重新申请证书即可。

    方案二:将证书对应的CA机构加入CAA 解析记录,操作完成后重新申请证书即可。

    什么是 CAA 解析记录?

    CAA(Certification Authority Authorization, 证书颁发机构授权) 是一种 DNS 记录类型,它允许域名所有者通过 DNS 明确指定哪些 CA(证书颁发机构)被授权为自己的域名签发 SSL/TLS 证书。这样可以有效防止非法或错误的证书签发,提升网站安全。

    重要

    使用 GitHub Page 服务把域名 CNAME 到 github.io域名,会同步引用 github.io 的 CAA 策略从而影响到证书的签发。针对这种特殊情况,您可以在证书签发前暂停该 CNAME 记录,或将 CAA 记录加上 trust-provider.com、globalsign.com 、sectigo.com。

  2. 域名包含敏感词

    如果您的域名中包含某些敏感词可能会触发人工审核机制,审核时间会比较长。耐心等待人工复审结果,如未审核通过,可更换域名重新申请。

    常见敏感词

    live、bank、banc、fund、wallet、pay、lv、nuclear、pw、asia、ban.c、alpha、test、example、credit、apple、ebay、trust、root、amazon、android、visa、google、discover、financial、wordpress、pal、hp、free、SCP等。

  3. 防火墙等安全设备影响CA验证

    在政府单位、国有企业等高度隔离的网络环境中,CA在验证域名所有权时可能会受到网络限制,导致证书长时间处于审核状态。因此,为确保证书能够顺利签发,需要在防火墙等安全设备配置CA白名单。

    CA中心IP地址

    CA厂商

    IP

    WoSign

    • 91.199.212.132

    • 91.199.212.133

    • 91.199.212.148

    • 91.199.212.151

    • 91.199.212.176

    • 91.212.12.132

    Vtrus

    • 194.126.216.17

    • 213.222.200.26

    • 213.222.200.15

    • 213.222.201.155

    • 213.222.198.155

    DigiCert

    • 216.168.247.9

    • 64.78.193.238

    • 216.168.249.9

    GlobalSign

    • 211.123.204.251

    • 180.222.177.99

    • 114.179.250.1

    • 114.179.250.2

    • 27.115.18.218

    CFCA

    • 1.202.139.200

    • 210.74.41.60

  4. 主域名与www子域名的未双向覆盖

    根据证书颁发机构 (CA) 的验证规范,无论您申请的是主域名 (如 example.com)还是其 www 子域名(如 www.example.com),CA都会对这两个地址同时进行检查请务必确保,这两个域名下的验证文件均可被公开访问,否则验证将失败。

OV、EV证书如何怎么验证域名所有权?

OV、EV证书的域名所有权验证,需要人工配合CA中心进行线下验证。CA中心一般会在1个工作日内(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)向您提交证书申请时填写的邮箱中发送证书初审邮件或电话确认,请您及时接听来自CA中心的电话或确认来自CA中心的邮件。更多信息参见OVEV证书域名验证

为什么域名解析已经生效,但是控制台验证仍旧不通过?

控制台验证解析记录,不管是文件验证还是DNS验证都存在一定的延迟,您无需其他操作,耐心等待即可。

域名解析供应商不是阿里云,如何配置域名解析记录?

方案

操作方法

优点

在原服务商配置

登录您当前域名平台,添加从阿里云获取SSL证书验证记录 (CNAME/TXT)。

说明

若有疑问请联系您的域名解析供应商。

快速直接,无需转移域名。

将域名转入阿里云

参考域名转入阿里云完成转入后,在云解析DNS控制台完成DNS解析配置。

重要

域名转入时您需交纳一年的续费费用,即域名转入价格为域名续费一年的价格。

方便未来证书续签和域名统一管理。

上一篇:向CA(证书颁发机构)提交申请下一篇:CA审核结果处理