域名所有权验证(也称域名验证)指验证待申请的证书绑定的域名是否属于证书申请人。本文介绍证书申请人配合CA中心进行域名验证的具体方法。
背景信息
加急服务
如果您在域名所有权验证阶段需要专业的技术支持,希望快速签发证书,推荐您购买证书加急服务。访问加急申请服务即可购买该服务。更多信息,请参见证书加急服务。
支持的域名验证方式
根据您申请的证书的类型,您需要在不同的证书申请阶段完成域名验证。以下是详细说明:
DV证书域名验证
申请DV证书(包括免费证书)时,您需要根据选择的域名验证方式参考以下步骤完成域名验证。
自动或手工DNS验证
- 登录数字证书管理服务控制台,进入域名验证环节。
您可以通过以下方式进入域名验证环节:
- 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
- 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
- 如果您在填写申请环节设置的域名验证方式为自动DNS验证,则直接单击验证;如果您在填写申请环节设置的域名验证方式为手工DNS验证,则必须先按照验证信息提示为域名添加一条DNS解析记录,然后单击验证。

以阿里云云解析DNS为例,您可以参照以下步骤为域名添加DNS解析记录:
说明 如果您的域名通过第三方平台注册,请登录第三方平台的域名管理系统进行操作。
- 登录云解析DNS控制台。
- 在域名解析页面,单击要操作的域名。
- 在解析设置页面,单击添加记录。
- 在添加记录面板,按照数字证书管理服务控制台验证信息中的提示,添加指定的TXT类型记录,并单击确认。

添加完成后,您可以在记录列表中查看已添加的TXT记录。该记录默认生效(
状态为
正常)。

配置完TXT解析记录后,返回数字证书管理服务控制台,在域名验证环节,单击验证。验证失败时的处理方法,请参见DNS验证失败解决方案。
- 验证成功后,单击提交审核。

- 等待CA中心审核证书申请。
CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。
如果审核失败,您需要根据证书列表的提示进行处理。
- 证书签发后,删除步骤2中添加的TXT解析记录。
注意 自动DNS验证模式下,数字证书管理服务会自动在域名的解析记录中添加验证用的TXT记录,但是该TXT记录不支持自动删除。建议您在证书签发后,手动删除该TXT记录。
文件验证
- 登录数字证书管理服务控制台,进入域名验证环节。
您可以通过以下方式进入域名验证环节:
- 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
- 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
- 如果您在填写申请环节设置的域名验证方式为文件验证,请按照验证信息提示,在服务器的Web根目录下创建验证目录(.well-known/pki-validation)并将专有验证文件(fileauth.txt)上传到验证目录。
完成上述配置后,浏览器需要能够通过
https://yourdomain/.well-known/pki-validation/fileauth.txt
或者
http://yourdomain/.well-known/pki-validation/fileauth.txt
访问专有验证文件,才表示验证通过。

由于不同服务器的操作方法不同、不同Web程序的目录结构有差异,执行文件配置的具体操作不同。以下以安装在ECS实例上的Nginx服务(Linux版本)为例,介绍如何执行文件验证配置:
- 单击专有验证文件,下载专有验证文件压缩包到本地计算机并解压缩。
下载的文件是一个ZIP压缩包,将其解压缩后可以获得
fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
注意 下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
- 连接您的服务器。
- 执行如下命令,在服务器的Web根目录(Nginx服务默认为var/www/html/)下创建验证用目录(.well-known/pki-validation/)。
cd /var/www/html
mkdir .well-known
cd .well-known
mkdir pki-validation
cd pki-validation
- 使用ECS云助手,将专有验证文件(fileauth.txt)上传到验证目录(var/www/html/.well-known/pki-validation/)。
- 执行如下命令,验证专有验证文件已经上传到验证目录。
ls
如果返回结果中有fileauth.txt,表示验证文件已经配置成功。
- 单击验证。
CA中心将会依次尝试访问
https://yourdomain/.well-known/pki-validation/fileauth.txt
、
http://yourdomain/.well-known/pki-validation/fileauth.txt
,验证专有验证文件已配置正确。如果上述URL可以正常访问,则验证通过。建议您自行验证并确保上述URL可访问。
注意
- 如果您的域名支持HTTPS服务,请确保上述HTTPS地址可被访问,且证书可信。否则,建议您暂时关闭该域名的HTTPS服务,以免影响验证。
- 如果您的域名为二级域名(例如:
aliyundoc.com
),您需要确保该域名以www.
为起始的三级域名也可被访问。以aliyundoc.com
域名为例,您需要同时确保http://<aliyundoc.com>/.well-known/pki-validation/fileauth.txt
和http://<www.aliyundoc.com>/.well-known/pki-validation/fileauth.txt
都可被访问,否则验证将不通过。
- 如果您的域名为以
www.
为起始的三级域名(例如:www.example.com
),您需要确保该域名对应的二级域名也可被访问。以www.example.com
域名为例,您需要同时确保http://<www.example.com>/.well-known/pki-validation/fileauth.txt
和http://<example.com>/.well-known/pki-validation/fileauth.txt
都可被访问,否则验证将不通过。
验证失败时的处理方法,请参见DNS验证失败解决方案。
- 验证成功后,单击提交审核。

- 等待CA中心审核证书申请。
CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。
如果审核失败,您需要根据证书列表的提示进行处理。
- 证书签发后,删除步骤2中上传的专有验证文件。
OV或EV证书域名验证
在数字证书管理服务控制台提交OV或EV证书申请后,CA中心会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件。您需要关注邮箱中是否收到了CA中心发送的初审邮件。收到初审邮件后,您需要根据邮件中提供的域名验证步骤完成域名验证操作。在此过程中,如果遇到了问题,您可以直接回复邮件或搜索钉钉群(群号为32435999)并加入该群获取技术支持。
DNS验证失败解决方案
自动或手工DNS验证
失败提示信息 |
解决方案 |
未检测到DNS记录值 |
- 由于DNS记录配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待10分钟后,执行验证操作。再次执行验证操作后,仍收到相同的失败提示时,执行下一步。
- 根据证书申请面板的提示重新为该域名添加一条DNS解析记录,具体操作,请参见自动或手工DNS验证步骤2。
|
DNS记录值不匹配 |
- 在证书申请面板,单击查看检测到的记录值,并记录该记录值。
- 前往域名服务器,删除已检测到的记录值。
以阿里云云解析DNS为例,删除记录的具体操作,请参见删除记录。
- 根据证书申请面板的提示重新为该域名添加一条DNS解析记录,具体操作,请参见自动或手工DNS验证步骤2。
|
验证超时,请重试 |
检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,然后再进行DNS验证。 |
文件验证
失败提示信息 |
解决方案 |
未检测到文件 |
根据证书申请面板的提示重新在域名服务器中上传专有验证文件,具体操作,请参见文件验证步骤2。
|
文件内容不正确 |
- 在证书申请面板,单击查看检测到的记录值,并记录该文件的信息。
- 前往域名服务器,删除已检测到的文件。
- 根据证书申请面板的提示重新在域名服务器中上传专有验证文件,具体操作,请参见文件验证步骤2。
|
验证超时,请重试 |
检查域名服务器是否开放了80或443端口。检查结果:
- 是:检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,然后再进行DNS验证。
- 否:开放域名服务器的80或443端口后,再进行DNS验证。
注意 使用文件验证方式需要域名服务器开放80或443端口。如果您的域名服务器无法开放80或443端口,您需要使用手工DNS验证方式完成验证。在证书申请面板,单击上一步,修改域名验证方式为手工DNS验证。
|