域名所有权验证(也称域名验证)指CA中心验证待申请证书要绑定的域名属于您。您在申请DV(域名型)证书时,必须完成域名所有权验证,然后才可以提交证书申请到CA中心审核。本文介绍了在提交证书申请环节进行域名所有权验证的方法。

前提条件

您已经创建了一个DV SSL证书申请,且证书处于待验证状态。关于创建证书申请的具体操作,请参见提交证书申请

待验证您可以登录SSL证书控制台SSL证书页面的证书管理页签下,查看所有证书申请记录。

背景信息

只有在申请DV(域名型)(包含免费版DV证书)证书时,您才需要完成域名验证;申请OV(企业型)、EV(企业增强型)证书时,无需进行域名验证。

下表描述了阿里云SSL证书服务支持的域名验证方式及不同方式的使用条件。
域名验证方式 说明 使用条件
自动DNS验证 表示您授权SSL证书服务修改域名的DNS解析记录,自动在解析记录中添加一条用于验证的TXT类型记录,无需您手动修改域名解析记录。

CA中心验证TXT记录能够被解析,则表示验证通过。

域名通过阿里云域名服务注册。

您可以在域名服务控制台域名列表中查看当前阿里云账号注册的域名。

域名列表
手工DNS验证 表示由您手动修改域名的DNS解析记录,在解析记录中添加一条用于验证的TXT类型记录。

CA中心验证TXT记录能够被解析,则表示验证通过。

域名通过第三方平台注册,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)。
文件验证 表示由您手动操作,从SSL证书控制台下载一个专用的证书验证文件,然后将该文件上传到站点服务器的指定验证目录。

CA中心验证文件路径可以被访问,则表示验证通过。

  • 域名通过第三方平台注册,且您有权限向网站所在服务器的根目录写入内容(即拥有服务器管理权限)。
  • 服务器开放了80、443端口,支持监听HTTP、HTTPS访问。
    注意 目前CA中心仅支持向80、443端口发起认证请求。如果您的服务器未开放80、443端口,则请勿使用文件验证方式。

DNS验证

  1. 登录SSL证书控制台,进入域名验证环节。
    您可以通过以下方式进入域名验证环节:
    • 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
    • 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
  2. 如果您在填写申请环节设置的域名验证方式自动DNS验证,则直接单击验证;如果您在填写申请环节设置的域名验证方式手工DNS验证,则必须先按照验证信息提示为域名添加一条DNS解析记录,然后单击验证手工DNS验证
    以阿里云云解析DNS为例,您可以参照以下步骤为域名添加DNS解析记录:
    说明 如果您的域名通过第三方平台注册,请登录第三方平台的域名管理系统进行操作。
    1. 登录云解析DNS控制台
    2. 域名解析页面,单击要操作的域名。
    3. 解析设置页面,单击添加记录
    4. 添加记录面板,按照SSL证书控制台验证信息中的提示,添加指定的TXT类型记录,并单击确认添加记录
      添加完成后,您可以在记录列表中查看已添加的TXT记录。该记录默认生效(状态正常)。已添加记录

      配置完TXT解析记录后,回到SSL证书控制台,在域名验证环节,单击验证

  3. 验证成功后,单击提交审核
    如果验证失败,请您尝试刷新页面,重新验证。
  4. 等待CA中心审核证书申请。
    CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。

    如果审核失败,您需要根据证书列表的提示进行处理。

  5. 证书签发后,删除步骤2中添加的TXT解析记录。
    注意 自动DNS验证模式下,SSL证书服务会自动在域名的解析记录中添加验证用的TXT记录,但是该TXT记录不支持自动删除。建议您在证书签发后,手动删除该TXT记录。

文件验证

  1. 登录SSL证书控制台,进入域名验证环节。
    您可以通过以下方式进入域名验证环节:
    • 在提交DV(域名型)证书申请时,填写完申请信息后,即进入域名验证环节。
    • 在证书列表中,单击证书(待验证状态)操作列下的验证,进入域名验证环节。
  2. 如果您在填写申请环节设置的域名验证方式文件验证,请按照验证信息提示,在服务器的Web根目录下创建验证目录(.well-known/pki-validation)并将专有验证文件fileauth.txt)上传到验证目录。
    完成上述配置后,浏览器需要能够通过https://<yourdomain>.com/.well-known/pki-validation/fileauth.txt或者http://<yourdomain>.com/.well-known/pki-validation/fileauth.txt访问专有验证文件,才表示验证通过。文件验证
    由于不同服务器的操作方法不同、不同Web程序的目录结构有差异,执行文件配置的具体操作不同。以下以安装在ECS实例上的Nginx服务(Linux版本)为例,介绍如何执行文件验证配置:
    说明 建议由服务器管理员进行操作。
    1. 单击专有验证文件,下载专有验证文件压缩包到本地计算机并解压缩。
      下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
      注意 下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
    2. 连接您的服务器。
      相关操作,请参见连接ECS实例
    3. 执行如下命令,在服务器的Web根目录(Nginx服务默认为var/www/html/)下创建验证用目录(.well-known/pki-validation/)。
      cd /var/www/html
      mkdir .well-known
      cd .well-known
      mkdir pki-validation
      cd pki-validation
    4. 使用ECS云助手,将专有验证文件(fileauth.txt)上传到验证目录(var/www/html/.well-known/pki-validation/)。
      相关操作,请参见上传本地文件到ECS实例
    5. 执行如下命令,验证专有验证文件已经上传到验证目录。
      ls

      如果返回结果中有fileauth.txt,表示已经验证文件已经配置成功。

  3. 单击验证
    CA中心将会依次尝试访问https://<yourdomain>.com/.well-known/pki-validation/fileauth.txthttp://<yourdomain>.com/.well-known/pki-validation/fileauth.txt,验证专有验证文件已配置正确。如果上述URL可以正常访问,则验证通过。
    注意 如果您的域名支持HTTPS服务,请确保上述HTTPS地址可被访问,且证书可信。否则,建议您暂时关闭该域名的HTTPS服务,以免影响验证。
  4. 验证成功后,单击提交审核
    如果验证失败,请您尝试刷新页面,重新验证。
  5. 等待CA中心审核证书申请。
    CA中心审核通过您的证书申请后,将为您签发证书。您可以在证书列表查看证书申请进度及获取已签发的证书。

    如果审核失败,您需要根据证书列表的提示进行处理。

  6. 证书签发后,删除步骤2中上传的专有验证文件。