提交 SSL 证书申请后,证书颁发机构(CA)必须验证申请人对所申请域名的所有权。此为签发证书前的强制性安全步骤,旨在防止未经授权的证书签发。
通过 SSL证书管理 V2.0 购买的证书请在 SSL证书管理 V2.0 页面验证;非 V2.0 购买的证书请在 SSL证书管理(V1.0停止新购) 页面验证。
自 2026 年 2 月 24 日 起,DigiCert 将在执行 域名控制权验证(Domain Control Validation, DCV) 及 DNS CAA 记录检查 时,开始对查询结果进行 DNSSEC 验证(如域名已启用 DNSSEC),详情参见【公告】关于 DigiCert 在域名控制权验证(DCV)与 DNS CAA 检查中启用 DNSSEC 验证的通知。
适用范围
品牌/算法正式证书、个人测试证书(pro)、个人测试证书(免费版)。
证书状态:申请审核中。
申请SSL证书时填写的域名必须是已购买注册的域名,不能使用未注册或过期的域名。
适用范围相关说明
公司名义申请SSL证书能否证明公司对证书的所有权?
SSL证书验证的是申请者对域名的控制权,而非公司所有权。SSL证书的OV(组织验证)和EV(增强验证)类型会在证书中包含公司名称信息,但这仅表示该公司对指定域名拥有使用权,不等同于公司对证书本身的法律所有权。
从第三方购买的证书如何验证所有权?
对于从第三方购买的证书,验证方法请咨询原购买平台。
申请SSL证书不要求项目已部署或域名已配置访问解析。可以在域名注册完成后、网站部署之前申请SSL证书,提前完成域名验证。申请SSL证书时域名主体无需与阿里云账户主体一致,可以使用任意阿里云账号为任意域名申请证书,不受账号归属限制。
域名实名认证要求
根据中国内地法规要求,域名必须完成实名认证才能正常进行DNS解析。若域名未完成实名认证,DNS解析将被暂停(ServerHold 状态),导致SSL证书DNS验证无法通过。请在域名注册商的管理控制台中完成域名实名认证后,再进行SSL证书验证。
验证域名所有权
请根据证书类型(DV、OV、EV),参考DV证书域名所有权验证、OV和EV证书域名所有权验证完成验证操作。
若在申请证书阶段需要专业的技术支持(验证域名所有权、证书签发),推荐购买证书申请协助和部署服务。
确认证书验证状态及签发进度
提交证书申请后,可通过以下方式确认当前的验证状态和签发进度:
登录SSL证书管理页面。
在证书列表中找到目标证书,查看其状态列:
申请审核中:证书申请已提交,等待域名验证。
审核中:域名验证信息已提交,CA正在审核中。
已签发:证书已成功签发,可下载使用。
对于OV/EV证书,可单击状态列下的
查看CA审核的详细进展。
DV证书域名所有权验证
步骤一:获取验证信息
若当前证书的验证信息面板已关闭,可进入SSL证书管理,在右侧的证书列表(正式证书、个人测试证书(原免费证书))定位目标证书,然后单击其操作列下的验证,即可打开验证信息面板。
步骤二:执行域名所有权验证
提交DV证书申请时,设置域名验证方式为自动DNS验证、手动DNS验证或文件验证。请根据提交证书申请时所选择的验证方式执行相应操作。
DV证书完成域名所有权验证后,将自动审核并签发证书(平均1~15分钟内)。
域名所有权验证通过不代表CA完成审核,审核结果请参考查看CA审核结果。
自动 DNS 验证
若申请DV证书的域名已托管在阿里云云解析 DNS中,系统将默认选择“自动DNS验证”方式,且此选项不可更改。
若验证信息面板的验证按钮下方提示“域名验证成功”,则表示验证已完成,否则请根据提示信息,参考常见问题进行相应处理,然后再次单击验证直至验证成功。
提交申请后,阿里云将自动在云解析DNS控制台为当前域名添加一条解析记录,用于验证域名所有权。
控制台验证域名DNS解析结果可能存在延迟,若域名解析已经生效,但单击验证后仍提示“未检测到DNS记录值”,则可等待几分钟后重试即可。
为保障自动DNS验证顺利进行,添加DNS解析记录时,将删除在DNS服务中存在冲突的TXT解析记录。请注意其是否影响依赖此TXT记录的第三方服务认证。
手动DNS验证
未托管在阿里云云解析 DNS中的域名,请在对应的DNS域名解析服务商处,手动添加一条CNAME或TXT类型的解析记录用于验证域名所有权。
CNAME和TXT验证对比
若验证信息面板的“在域名控制台添加DNS解析记录”下同时出现手动DNS验证和CNAME记录值选项,可任选其一进行验证。
对比项 | CNAME 记录验证 | TXT 记录验证 |
工作原理 | 添加别名记录,验证权交由CA服务器。 | 添加特定文本记录,CA直接查询验证。 |
验证时效性 | 一次配置,持续有效,支持添加并授权免DNS验证的域名实现自动续用。 | 一次性验证,临时有效,每次申请需重新配置。 |
核心优势 | 高效省心,简化后续证书申请和续期流程。 | 兼容性强,适用于大部分CA和DNS服务商。 |
限制与注意事项 |
|
|
CNAME记录配置注意事项
在DNS解析服务商控制台添加CNAME记录时,请注意以下事项:
主机记录(Host):填写CA提供的随机字符串(如
_5739E34C7B02932395CD78CC46A136B7.您的域名),具体值以验证信息面板中显示的主机记录为准。记录值(Value):严格填写CA提供的完整目标域名(如
952FA32B48404939ABDE63D0E3966A48.0ACE6B9A8BDFDCEEBF7683F4011D2671.6a83aafb71b5.sectigo.com)。重要在某些DNS服务商控制台中,添加CNAME记录时系统可能会自动在记录值末尾补全当前域名后缀。请务必检查并删除自动补全的后缀,确保记录值与CA提供的完全一致。例如,若CA提供的记录值为
xxx.sectigo.com,不要写成xxx.sectigo.com.example.com。记录类型:选择 CNAME。
如果DNS服务商同时支持CNAME和TXT记录验证,建议优先选择TXT记录进行验证。TXT记录兼容性更强,适用于所有证书品牌和大部分DNS服务商;而CNAME记录验证目前仅部分品牌(DigiCert、GeoTrust、Rapid、Wosign、CFCA)支持,且部分DNS服务商(如西部数码)暂不支持CNAME验证。
DNSSEC导致验证失败的排查
若域名启用了 DNSSEC(域名安全扩展),可能导致 DNS 验证过程中出现 NS 生效异常或验证失败。尤其是自 2026 年 2 月 24 日起,DigiCert 品牌证书在执行域名控制权验证(DCV)时会对查询结果进行 DNSSEC 验证,DNSSEC 配置异常将直接导致验证不通过。
排查与处理步骤如下:
登录域名控制台(如阿里云域名控制台),找到目标域名。
进入域名的DNSSEC设置页面,删除已配置的 DS 记录,以消除 DNSSEC 与 DNS 验证之间的冲突。
等待 15~30 分钟让全球 DNS 缓存刷新,然后返回 SSL 证书控制台,重新单击验证进行验证。
若删除 DS 记录后长时间仍未通过验证,建议撤回当前证书申请并重新提交。
如何更换域名验证方式
若提交证书申请后希望更换验证方式,可在证书列表中找到目标证书,取消申请后重新提交证书申请。
DNS解析记录生效时间
新增解析记录:实时生效。
删除或修改解析记录:取决于DNS缓存到期时间(TTL),通常为10分钟。
DNS服务器更换:默认生效时间为48小时。若刚修改过DNS服务器,全球DNS生效通常需要24~48小时,请耐心等待。在此期间验证可能不通过,属于正常现象。
验证步骤
证书签发前:请勿删除已添加的域名解析记录,否则将导致证书签发失败。
证书签发后:建议删除TXT解析记录,以避免后续添加解析记录时发生冲突。删除验证记录不会影响已签发的证书。
在一级域名添加
@TXT记录(即主机记录为@),不会影响二级域名业务。@表示主域名本身,与_dnsauth子域名的验证记录互不影响。若控制台提示“当前操作未被授权,请联系管理员授权”。请联系 RAM 账号管理员,参考管理RAM用户的权限,为当前账号授予
AliyunDNSFullAccess权限(或根据控制台提示授予所需的具体权限)。建议遵循最小权限原则,仅授予系统提示的权限。
获取验证信息。
在验证信息面板的“在域名控制台添加DNS解析记录”下,复制需要添加至DNS解析服务商的记录类型、主机记录和记录值。
子域名或特定前缀域名的主机记录填写规则
申请不同类型域名的SSL证书时,主机记录(Host Record)的填写规则如下(以
_dnsauth为例):申请域名
主机记录填写
完整验证域名
主域名(如
example.com)_dnsauth_dnsauth.example.comwww子域名(如
www.example.com)_dnsauth.www_dnsauth.www.example.com二级子域名(如
sub.example.com)_dnsauth.sub_dnsauth.sub.example.com多级子域名(如
a.b.example.com)_dnsauth.a.b_dnsauth.a.b.example.com通配符域名(如
*.example.com)_dnsauth_dnsauth.example.com说明主机记录的具体值以验证信息面板中显示的主机记录为准。部分DNS服务商会在主机记录后自动补全域名后缀,此时只需填写前缀部分(如只填
_dnsauth或_dnsauth.sub)。若二级子域名已做NS委派(独立DNS区域),请在该子域名的独立DNS解析设置中添加验证记录。添加DNS解析记录。
在当前域名的DNS解析服务商处,为域名添加DNS解析记录,本文以在阿里云云解析DNS中添加TXT记录为例:
场景
操作方式
域名在其他阿里云账号下
域名解析托管在第三方DNS服务商
登录第三方 DNS 服务商(如新网、华为云、Cloudflare、腾讯云等)的 DNS 管理控制台,找到目标域名的解析设置页面,根据 SSL 证书控制台「验证」页面提供的记录类型、主机记录和记录值,手动添加一条 DNS 解析记录。
说明若域名的DNS域名解析服务不在阿里云,请前往对应的DNS域名解析商进行操作。常见第三方DNS服务商的操作路径如下:
DNS服务商
操作路径
新网(xinnet.com)
登录新网会员中心 > 域名管理 > 找到目标域名 > 解析设置 > 添加记录
商务中国(bizcn.com)
登录商务中国管理中心 > 域名管理 > 域名列表 > 选择域名 > DNS解析 > 添加记录
易名网(ename.net)
登录易名网管理中心 > 域名管理 > 域名解析 > 添加解析记录
西部数码(west.cn)
登录西部数码管理中心 > 域名管理 > 解析设置 > 添加记录
DNSPod(腾讯云)
登录DNSPod控制台 > 域名解析列表 > 选择域名 > 添加记录
Cloudflare
登录Cloudflare Dashboard > 选择站点 > DNS > Add Record
不同DNS服务商的界面和操作路径可能因版本更新而有所差异,请以实际界面为准。添加记录时,将验证信息面板中的记录类型、主机记录和记录值逐一填入对应字段即可。
添加完成后,返回 SSL 证书控制台单击验证按钮完成验证。
说明跨账号或跨平台添加 DNS 验证记录后,验证成功即可通过审核,与证书申请账号的归属无关。
使用域名持有者所在的阿里云账号,登录云解析DNS控制台。在域名列表中找到目标域名,单击其操作列下的解析设置,进入解析设置页面。
在解析设置页面,单击添加记录,按以下说明填写各字段:
参数
说明
记录类型
选择与验证信息面板中一致的记录类型(TXT 或 CNAME)。
主机记录
粘贴从验证信息面板复制的主机记录值(通常以
_dnsauth开头)。记录值
粘贴从验证信息面板复制的记录值。
填写完成后,单击确定。
说明下图中,左侧为数字证书管理服务控制台的解析记录信息,右侧为阿里云云解析DNS控制台中设置的信息。
验证域名。
配置DNS解析记录后,单击验证信息面板下的验证按钮。若验证按钮下方提示“域名验证成功”,则表示验证已完成,否则请根据提示信息,参考常见问题进行相应处理,然后再次单击验证直至验证成功。
重要控制台验证域名DNS解析结果可能存在延迟,若域名解析已经生效,但单击验证后仍提示“未检测到DNS记录值”,则可等待几分钟后重试即可。
DNS验证时机及状态说明
何时进行DNS验证:提交证书申请后,在验证信息面板中获取验证信息并添加DNS解析记录后,即可单击验证按钮进行验证。无需等待其他流程。
验证状态说明:
未检测到DNS记录值:DNS解析记录尚未添加或尚未生效。
DNS记录值不匹配:DNS解析记录已添加但值与预期不匹配,请核对记录值。
验证超时,请重试。:网络异常,请联系DNS服务商检查网络。
域名验证成功:验证已通过,DV证书将自动进入签发流程。
验证有效期:DNS验证记录在证书签发前必须保持生效状态。若验证记录被删除或修改,需重新添加并验证。
将域名DNS接入阿里云云解析 DNS
若希望将域名的DNS解析服务迁移至阿里云云解析 DNS,以便使用自动DNS验证功能,请按以下步骤操作:
登录云解析DNS控制台,单击添加域名,输入目标域名。
系统将为该域名分配两个NS地址(如
dns1.hichina.com和dns2.hichina.com)。前往域名注册商(如新网、GoDaddy等)的管理控制台,将域名的NS记录修改为阿里云分配的NS地址。
等待DNS服务器变更全球生效(通常需要24~48小时)。
在云解析DNS控制台确认域名状态为正常后,即可使用阿里云云解析 DNS管理DNS解析。
DNS服务器变更期间,建议提前在阿里云云解析 DNS中添加与原DNS服务商相同的解析记录,以避免解析中断。
特定品牌证书的DNS验证记录配置示例
不同证书品牌对DNS验证记录的要求可能有所差异。以下为常见品牌的配置示例:
证书品牌 | 主机记录格式 | 记录类型 | 记录值格式 |
DigiCert / GeoTrust / Rapid |
| TXT 或 CNAME | CA提供的验证字符串 |
GlobalSign |
| TXT | CA提供的验证字符串(GlobalSign可能要求在主域名下直接添加TXT记录) |
Sectigo(原Comodo) |
| CNAME | CA提供的目标域名(如 |
CFCA / Wosign |
| TXT 或 CNAME | CA提供的验证字符串 |
以上仅为参考示例,具体的主机记录和记录值以验证信息面板中显示的信息为准。请勿自行编造验证值。
文件验证
未托管在阿里云云解析 DNS中的域名,如无法使用手动DNS验证(比如无法在DNS域名解析服务商处添加解析记录),也可使用文件验证方式。
验证说明
开放服务器端口:CA仅支持通过80端口(HTTP)和 443端口(HTTPS) 获取验证文件内容,请确保服务器已开放这两个端口。若HTTPS服务暂时无法支持,请暂时关闭HTTPS服务(即停止监听443端口)。
确保主域名和www子域名均可访问:无论您申请的是主域名(如 aliyundoc.com)还是www域名,都必须确保这两者均可被公网正常访问。
禁止URL重定向:CA的验证不支持任何HTTP重定向(例如301永久重定向或302临时重定向)。
保障境外网络可达:若申请的证书为国际品牌证书(例如:DigiCert、GlobalSign),且服务器防火墙或安全组配置了允许访问的白名单,请将 CA 的 IP 地址段临时添加至白名单中,以确保服务器可被CA访问。
中国内地未备案域名无法使用文件验证:若域名解析指向中国内地境内的服务器,且域名未完成 ICP 备案,则通过 HTTP/HTTPS 访问该域名时会被运营商拦截,导致 CA 机构无法访问验证文件,文件验证将失败。此类场景建议采用以下方式之一:
使用 DNS验证方式替代文件验证(推荐)。
将验证文件部署在境外服务器上(确保CA可通过公网访问)。
先完成域名 ICP 备案,备案通过后再进行文件验证。
个人测试证书的验证IP:个人测试证书(免费版)通常使用海外IP进行验证,请确保服务器可被境外IP访问。
DNS验证和文件验证是两种独立的验证方式,可根据实际情况选择其中一种进行域名所有权验证。如果无法完成DNS验证(如无法在DNS解析服务商处添加记录),可以切换为文件验证。
若因无域名管理权限无法完成DNS验证(如域名所属阿里云账号丢失、域名已转出等),请在SSL证书管理控制台撤回申请,然后重新提交证书申请并选择文件验证方式。
验证步骤
下载验证文件。
提交证书申请审核后,在下载验证文件区域,单击验证文件,下载专有验证文件压缩包到本地计算机并解压缩,以获得专有验证文件。
重要下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
将解压后的验证文件上传至服务器的
.well-known/pki-validation目录下,确保可通过验证地址(如https://example.com/.well-known/pki-validation/gsdv.txt)访问该文件。上传完成后,单击 验证 按钮。若提示"验证超时,请重试",请检查验证文件是否已正确上传,并单击 点击查看失败原因 排查问题。上传验证文件。
下面以安装在阿里云云服务器ECS上的Nginx(Linux版本)为例,为您介绍如何进行文件验证配置。
说明建议由服务器管理员进行操作。
连接云服务器ECS。具体操作,请参见选择ECS远程连接方式。
依次执行以下命令,在服务器的Web根目录(Nginx服务默认为/var/www/html/)下创建文件验证目录(
.well-known/pki-validation/)。cd /var/www/html mkdir -p .well-known/pki-validation您可以使用远程登录工具的本地文件上传功能来上传文件。例如PuTTY、Xshell或WinSCP等工具。如果您使用的是阿里云云服务器 ECS,关于上传文件的具体操作,请参见上传或下载文件。
将验证文件上传到验证目录(
/var/www/html/.well-known/pki-validation/警告在证书签发前,请勿删除服务器中的专有验证文件,否则会导致证书签发失败。
验证域名。
成功上传验证文件后,返回数字证书管理服务控制台,证书列表中单击目标证书操作列的验证按钮。控制台验证文件会有延迟,若出现未检测到文件的情况,请等待1分钟左右后重试。若多次重试后仍未验证成功,请重新上传正确文件。
说明系统将自动验证
http://<您的域名>/.well-known/pki-validation/<验证文件名>或https://<您的域名>/.well-known/pki-validation/<验证文件名>的文件内容。
OV和EV证书域名所有权验证
提交OV或EV证书申请后,需要完成以下两个验证步骤:
步骤一:域名所有权验证(DCV)
与DV证书相同,OV和EV证书也需要验证域名所有权。验证方式包括:
自动DNS验证(域名托管在阿里云云解析 DNS时自动完成)
手动DNS验证(在DNS服务商处添加TXT或CNAME记录)
文件验证(上传验证文件至服务器)
步骤二:组织验证与订单确认
CA将在1个工作日左右(以其当地时区为准,节假日顺延),通过公司注册登记信息(非系统中填写的申请人信息)中的电话或邮箱与您联系,进行组织信息核实和订单确认。
步骤一和步骤二没有严格的先后顺序要求,可以同步进行。域名所有权验证的操作方法与DV证书一致,请参考上方「DV证书域名所有权验证」章节。
OV/EV 证书的验证通常包含以下两个步骤:
步骤 | 名称 | 说明 |
步骤一 | 域名所有权验证 | CA 中心会向申请时填写的邮箱发送初审邮件。根据邮件提示,在域名的 DNS 解析服务商处添加指定的 DNS 记录(如 TXT 或 CNAME 记录),配置完成后按要求回复 CA 邮件。 |
步骤二 | 订单确认 | CA 中心会向公司公开联系邮箱发送确认订单邮件,或致电公司公开联系电话进行确认。需配合完成确认操作。 |
完成上述两步验证后,CA 中心将签发证书。
两个步骤没有严格的先后顺序要求,可以同步进行。
若未收到 CA 的初审邮件,请先检查邮箱的垃圾邮件箱或广告邮件箱。CA 验证邮件可能被邮件系统误判为垃圾邮件。
若确认未收到邮件,您可以通过专家一对一服务咨询,详情请参见专家一对一服务
若邮箱和电话均无法正常接收验证,可在更新公司公开联系方式后,通知 CA 审核人员重新发起验证。
电话
CA工作人员将通过公司注册登记信息中的电话(非系统中填写的联系人电话),与您联系并验证证书申请信息。请保持电话畅通,能够正常接听CA的验证电话。
邮件
CA将向公司注册登记信息中的邮箱(非系统中填写的联系人邮箱)发送一封域名验证邮件。请及时关注电子邮件,并按邮件指引进行相关操作。
不同证书品牌的邮件内容可能存在差异。
内网域名或特殊场景下的验证记录配置位置
若域名用于内网环境(如企业内网域名 internal.company.com),DNS验证记录仍需添加在公网DNS服务器上(即域名的公共DNS解析服务商处),因为CA机构从公网发起验证查询。
如果内网域名使用了公共DNS服务商解析,在该DNS服务商的控制台添加验证记录即可。
如果内网域名仅在内部DNS服务器解析(未在公共DNS注册),建议使用文件验证方式,将验证文件部署在可被CA公网访问的服务器上。
若域名完全无法被公网解析,请联系CA机构确认是否支持特殊验证方式。
查看CA审核结果
完成域名所有权验证后,CA将进行审核,审核结果请参见CA审核结果处理。
常见问题
DNS验证
自动验证方式是否支持更改?
不支持。若需更改,请切换至其他阿里云账号购买证书或进行域名解析。
域名未配置DNS服务商(NS记录缺失)导致DNS验证失败怎么办?
问题现象:DNS验证不通过,控制台提示未配置DNS服务商或域名无法解析。
原因:域名在注册局层面未指定有效的DNS服务器(NS记录),导致DNS解析不可用,CA无法查询到验证记录。
排查与处理步骤:
在命令行执行
nslookup -type=NS 域名,检查是否返回有效的NS记录。若无返回或返回异常,说明NS记录缺失。登录域名注册商的管理控制台(如阿里云域名控制台),找到目标域名。
检查并管理DNS服务器设置,确保已配置有效的DNS服务商地址(如阿里云DNS:
dns1.hichina.com和dns2.hichina.com,或其他第三方DNS服务商地址)。保存配置后,等待NS记录全球生效(通常需24~48小时)。
NS记录生效后,重新添加DNS验证记录并单击验证。
如何检测DNS解析记录是否生效?
检测步骤如下:
在证书列表中找到当前证书状态为审核中的证书记录。
单击操作列下的验证。
单击验证,如提示未检测到DNS记录值,单击查看记录值,系统会跳转到域名解析工具中。
在域名解析工具中解析DNS,判断解析记录是否生效。
控制台提示“未检测到DNS记录值”怎么办?
常见原因及解决方案如下:
未添加域名解析记录。
请参见域名所有权验证,前往您对应的 DNS 域名解析服务商,手动添加一条CNAME 或TXT 类型的解析记录,用于验证域名所有权。
控制台验证存在延迟。
如果您已正确添加域名解析记录,但仍提示"未检测到DNS记录值",可能是控制台的验证存在解析延迟。您无需任何操作,耐心等待后重试即可。
SSL 证书绑定的域名与 DNS 解析的域名不一致。
说明如果您使用的不是阿里云 DNS 解析服务,请前往对应的 DNS 解析服务商确认域名信息。
确认域名是否一致。
在 SSL 证书验证页面单击修改,重新填写证书绑定域名后再次提交审核。
控制台提示“DNS记录值不匹配”怎么办?
常见原因及解决方案如下:
DNS 解析记录值配置错误。
请重新从证书申请页面复制主机记录和记录值,粘贴到 DNS 解析配置中。
使用 DNSPod 或其他第三方 DNS 服务商。
您可以忽略控制台提示的相关错误,直接在 DNSPod 或其他 DNS 服务商处按要求配置 DNS 解析记录,然后等待 CA 验证即可。
DigiCert 品牌的 DV 证书,解析记录值已超过 24 小时。
删除已超过 24 小时的 TXT 解析记录。
前往数字证书管理服务控制台,重新申请目标证书,获取最新的 TXT 解析记录值。
前往域名解析服务商平台重新添加新的 TXT 解析记录。
说明GeoTrust 品牌的 DV 证书时间戳始终有效,不受此限制。
记录值未同步至海外 DNS。
动态解析记录的同步可能出现延迟,导致海外权威 DNS 服务器无法获取最新的 TXT 记录值。请检查动态解析服务是否正常运行,耐心等待即可。
控制台提示“验证超时,请重试。”怎么办?
站点服务器的网络异常,请联系对应的域名服务商,检查并修复网络情况。
为什么域名解析已经生效,但是控制台验证仍旧不通过?
控制台验证存在一定的延迟,可等待1分钟左右后再次重试。
域名存在 CAA 解析记录导致验证失败
说明CAA(Certification Authority Authorization, 证书颁发机构授权) 是一种 DNS 记录类型,它允许域名所有者通过 DNS 明确指定哪些 CA(证书颁发机构)被授权为自己的域名签发 SSL/TLS 证书。这样可以有效防止非法或错误的证书签发,提升网站安全。
解决方案一:请前往域名DNS解析服务商(如:云DNS解析控制台),在域名的解析配置页,将记录类型为“CAA”的解析记录删除,操作完成后重新申请证书即可。
解决方案二:将证书对应的CA机构加入CAA 解析记录,操作完成后重新申请证书即可。
说明若当前域名的 CNAME 指向 github.io域名,将同步引用 github.io 的 CAA 策略从而影响到证书的签发。此时,请在证书签发前暂停该 CNAME 记录,或将 CAA 记录添加 trust-provider.com、globalsign.com 、sectigo.com。
域名解析供应商不是阿里云,如何配置域名解析记录?
方案
操作方法
优点
在原服务商配置
登录当前域名管理平台,添加从阿里云获取的 SSL 证书验证记录(CNAME/TXT)。
说明如有疑问,请联系您的域名解析服务商。
快速直接,无需转移域名。
将域名转入阿里云
参考域名转入阿里云完成转入后,在云解析 DNS 控制台完成 DNS 解析配置。
重要域名转入时需交纳一年的续费费用,即转入价格为域名续费一年的价格。
便于后续证书续签和域名的统一管理。
如何为子域名或特定前缀配置DNS验证记录?
主机记录需根据证书申请时 SSL 证书控制台「验证」页面提供的信息严格填写,不可随意更改。常见格式如下:
申请的域名
主机记录示例
说明
主域名(如
example.com)_dnsauth针对主域名的验证记录
子域名(如
api.example.com)_dnsauth.api主机记录 =
_dnsauth+ 子域名前缀子域名(如
www.example.com)_dnsauth.www主机记录 =
_dnsauth+www前缀如果为同一域名的多张证书配置验证,可以同时存在多条
_dnsauth开头的 TXT 记录,只需确保每条记录的记录值与对应证书的验证信息一致即可。请严格按照控制台「验证」页面显示的主机记录值进行配置,不要自行修改或省略前缀。
控制台提示「未检测到DNS记录值」但本地解析正常怎么办?
本地能解析到 DNS 记录但 SSL 证书控制台仍提示未检测到,通常由以下原因导致:
DNS服务商不匹配:域名的 NS 记录指向第三方 DNS 服务商(如新网、华为云、Cloudflare 等),但验证记录却添加在了阿里云云解析 DNS 中。请确认域名当前实际使用的 DNS 服务商(可通过命令
nslookup -type=NS 域名查询),并在该 DNS 服务商处添加验证记录。主机记录填写错误:检查 DNS 解析记录的主机记录是否填写正确。常见错误包括:
多余添加了主域名后缀(如填写了
_dnsauth.example.com而非_dnsauth)。记录值中包含多余的空格或换行符。
DNS全球生效延迟:若近期修改了域名的 NS 记录(更换 DNS 服务商),全球 DNS 生效通常需要 24~48 小时。请耐心等待生效后再进行验证。
证书签发后,用于验证的DNS解析记录是否可以删除?
可以。证书签发后,用于域名所有权验证的 DNS 解析记录(TXT 或 CNAME 类型)可以安全删除,不会影响已签发证书的正常使用。证书的有效性不依赖于验证时的 DNS 解析状态,只要证书已签发并正确部署在服务器上即可正常生效。
建议:
使用 TXT 记录验证的:证书签发后建议删除 TXT 验证记录,避免后续添加解析记录时发生冲突。
使用 CNAME 记录验证的:若希望支持后续证书自动续期,可保留 CNAME 记录。
在续费或重新申请新证书时,需根据新证书的验证要求重新添加记录,旧证书的验证记录值不能用于新证书的验证。
为什么某些品牌证书不支持文件验证?
不同 CA 品牌(证书颁发机构)支持的域名所有权验证方式不同。部分品牌仅支持 DNS 验证,不提供文件验证选项。若在 SSL 证书控制台申请或续费证书时未看到文件验证选项,说明当前所选品牌不支持该验证方式。
处理建议:
使用当前品牌支持的 DNS 验证方式完成域名所有权验证。
若确实无法进行 DNS 验证(如无域名 DNS 管理权限),可更换支持文件验证的证书品牌重新申请,具体支持情况以控制台申请页面的选项显示为准。
在第三方DNS服务商处添加SSL证书验证记录时,主机记录应该如何填写?
第三方DNS解析记录的主机记录应填写为
_dnsauth(或CA要求的其他前缀,如_pki-validation),无需修改后缀,同时保留原有的A类型记录。部分CA机构(如Sectigo/Comodo)可能使用
_pki-validation作为主机记录前缀,而非_dnsauth。请以验证信息面板中显示的主机记录为准。说明在第三方DNS服务商(如35.net、DNSPod等)的控制台添加记录时,若主机记录字段不支持下划线
_开头的值,请联系该DNS服务商确认是否支持此类记录。部分服务商需要联系客服手动添加。配置完成后,在SSL证书控制台单击验证按钮完成域名所有权验证。
SSL证书DNS验证显示"自动获取"但需要手动添加怎么办?
如果域名已托管在阿里云云解析 DNS,但验证信息显示需要手动添加,可能是因为系统尚未检测到DNS托管状态。请确认域名的NS记录是否已正确指向阿里云云解析 DNS,等待几分钟后刷新页面重试。
自动DNS验证未自动生成TXT记录的常见原因
原因
处理方法
域名NS记录未指向阿里云DNS
在域名注册商处将NS记录修改为阿里云分配的NS地址,等待生效后重试
域名在阿里云DNS中未添加
在云解析DNS控制台中添加该域名
RAM子账号权限不足
参考管理RAM用户的权限为账号授予
AliyunDNSFullAccess权限系统检测延迟
等待5~10分钟后刷新页面重试
若以上方法均无效,请切换为手动DNS验证方式,手动添加验证记录。
跨阿里云账号申请证书时如何完成DNS验证?
若申请SSL证书的阿里云账号与域名所在的阿里云账号不同,DNS验证操作方法如下:
在申请证书的账号中,登录数字证书管理服务控制台,提交证书申请并获取DNS验证信息(记录类型、主机记录、记录值)。
切换至域名所在的账号(或联系该账号管理员),登录云解析DNS控制台,为目标域名添加步骤 1 获取的DNS解析记录。
返回申请证书的账号,在验证信息面板中单击验证。
说明DNS解析记录只需在域名所在的账号中添加,不需要在证书申请账号中操作DNS。跨账号域名添加验证记录后,验证成功即可通过审核,与账号归属无关。
域名不在当前账号且无法使用自动DNS验证时的替代方案
若域名不在当前阿里云账号下且无法使用自动DNS验证,可通过以下方式完成验证:
方案
适用场景
操作方法
手动DNS验证
有权限在域名的DNS服务商处添加解析记录
手动添加TXT或CNAME记录(参见上方验证步骤)
文件验证
有服务器管理权限,可上传文件至Web根目录
下载验证文件并上传至
.well-known/pki-validation/目录联系域名所在账号管理员
无DNS和服务器管理权限
将验证信息发送给域名所在账号管理员,由其代为添加DNS记录
非阿里云域名(域名未在阿里云注册或解析)如何申请SSL证书?
非阿里云域名同样可以在阿里云申请SSL证书,申请SSL证书不要求域名必须在阿里云注册或解析。操作方法如下:
在阿里云数字证书管理服务控制台正常提交证书申请。
在验证信息面板获取DNS验证信息。
前往域名实际使用的DNS解析服务商(如新网、GoDaddy、Cloudflare等)的管理控制台,添加验证记录。
返回阿里云SSL证书控制台单击验证完成验证。
证书续费或更新时,需重新添加验证记录。如需长期使用阿里云SSL证书服务,建议将域名转入阿里云或将DNS解析迁移至阿里云云解析 DNS以便统一管理。
CNAME验证因DNSSEC导致NS生效异常怎么办?
若域名已启用DNSSEC,且使用CNAME记录进行DNS验证时遇到验证失败,可能是因为DNSSEC的DS记录与当前DNS服务器不匹配导致CNAME解析异常。排查步骤如下:
确认域名是否开启了DNSSEC(在域名注册商管理面板中查看DS记录)。
若已开启DNSSEC且近期更换过DNS服务器,需在新DNS服务器处重新生成并更新DS记录。
若无法及时修复DNSSEC配置,建议临时切换为TXT记录验证(TXT验证受DNSSEC影响较小),待DNSSEC配置稳定后再使用CNAME验证。
可通过 DNSSEC Analyzer 在线工具检查域名的DNSSEC配置是否正确。
在特定第三方DNS服务商(如35互联/35.net)配置验证记录
若域名DNS托管在35互联(35.net)等第三方DNS服务商,添加SSL证书验证记录的通用步骤如下:
登录该DNS服务商的管理控制台,找到目标域名的DNS解析管理页面。
添加一条新的解析记录,将验证信息面板中的记录类型、主机记录和记录值逐一填入对应字段。
若DNS服务商的控制台不支持某些特殊字符(如下划线
_),请联系该服务商客服协助添加。保存记录后,返回阿里云SSL证书控制台单击验证。
域名DNS托管在第三方服务商时,为什么在阿里云控制台添加验证记录不生效?
如果域名的DNS解析托管在第三方服务商(如新网、GoDaddy、Cloudflare等)而非阿里云云解析 DNS,则在阿里云云解析 DNS控制台中添加的DNS记录不会生效。DNS记录必须在域名实际使用的DNS服务商处添加。
排查步骤:
确认域名当前使用的DNS服务商:执行
nslookup -type=NS 域名,查看返回的NS记录。前往该DNS服务商的管理控制台添加验证记录。
添加完成后,返回阿里云SSL证书控制台单击验证。
SSL证书DNS验证时,主机记录应该填
@还是_dnsauth或其他值?主机记录应严格按照验证信息面板中显示的主机记录值填写,通常为
_dnsauth开头的格式。不要填
@:@代表主域名本身,用于添加A记录或MX记录等,不用于SSL证书验证。不要填
www:www用于网站访问解析,不用于SSL证书验证。关于
_cfcachallenge:此格式是Cloudflare自动生成的验证记录前缀,若使用Cloudflare并启用了SSL/TLS自动管理,Cloudflare可能自动添加此类记录。在阿里云申请SSL证书时,请使用阿里云控制台提供的验证值,而非Cloudflare自动生成的值。
免费SSL证书申请时,提示"授权不支持"或自动验证失败怎么办?
常见原因及解决方法:
域名未托管在阿里云云解析 DNS:自动DNS验证要求域名的DNS解析托管在阿里云。若域名使用第三方DNS服务商,请在验证信息面板切换为手动DNS验证方式。
RAM子账号权限不足:若使用RAM子账号操作,需具备DNS解析相关权限(
AliyunDNSFullAccess)。请联系管理员授权。域名已存在冲突的验证记录:若域名下已有旧的
_dnsauth记录,请先删除或修改旧记录,再重新提交验证。域名NS记录异常:请确认域名的NS记录已正确指向有效的DNS服务商。
若以上方法均无效,请撤回证书申请,重新提交并手动选择手动DNS验证方式完成验证。
文件验证
控制台提示“未检测到文件”怎么办?
常见原因及解决方案如下:
未上传验证文件至服务器指定目录。
请参见验证域名所有权,将验证文件上传至站点服务器的指定验证目录(.well-known/pki-validation/)。
控制台文件验证延迟。
如果您已上传验证文件至服务器对应目录,且访问URL地址(HTTPS地址和HTTP地址),能够访问到验证文件内容,但是控制台仍提示配置失败,请稍后再试。。可能是控制台文件验证延迟导致的,您无需任何操作,耐心等待重试即可。
控制台提示“验证超时,请重试。”怎么办?
常见原因及解决方案如下:
未开放服务器的80或443端口。
目前CA中心仅支持通过访问HTTPS地址和HTTP地址(443端口和80端口),验证是否可以访问到验证文件内容。
解决方案一:开放80或443端口。
Linux
在服务器终端执行以下命令,检测443端口的开放情况:
RHEL/CentOS
command -v nc > /dev/null 2>&1 || sudo yum install -y nc # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443如果输出
Ncat: Connected to <当前服务器公网 IP>:443,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。Debian/Ubuntu
command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443若输出
Connection to <当前服务器公网 IP> port [tcp/https] succeeded!或[<当前服务器公网 IP>] 443 (https) open,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。在安全组配置开放443端口。
请确保安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例:
在防火墙中开放443端口。
执行以下命令,识别系统当前的防火墙服务类型:
if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then echo "firewalld" elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then echo "ufw" elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then echo "nftables" elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then echo "iptables" elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then echo "iptables" else echo "none" fi若输出为
none,则无需进一步操作。否则,请根据输出的类型(firewalld、ufw、nftables、iptables),执行以下命令开放 443 端口:firewalld
sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reloadufw
sudo ufw allow 443/tcpnftables
sudo nft add table inet filter 2>/dev/null sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/nulliptables
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT为避免 iptables 规则在系统重启后失效,请执行以下命令持久化 iptables 规则:
RHEL/CentOS
sudo yum install -y iptables-services sudo service iptables saveDebian/Ubuntu
sudo apt-get install -y iptables-persistent sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
Windows
登录Windows服务器,单击左下角开始菜单,打开控制面板。
点击。
如果防火墙处于如下图的关闭状态,无需额外操作。
如果防火墙已开启,请参考以下步骤放行HTTPS规则。
单击左侧,检查是否存在协议为TCP,本地端口为443,操作为阻止的入站规则。
若存在此类规则,需要右键单击相应规则并选择属性,在常规页签,将其修改为允许连接并应用。
解决方案二:在证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证。
存在301或302重定向跳转
使用
wget -S <URL地址>命令检测该验证URL地址是否存在跳转。若返回HTTP/1.1 301 Moved Permanently或HTTP/1.1 302 Found,则说明存在重定向。wget -S http://<您的域名>/.well-known/pki-validation/<验证文件名>删除重定向配置。以下为Nginx配置文件nginx.conf中301和302配置示例代码。
301配置
server { listen 80; server_name <您主域名> <您的www子域名>; return 301 跳转域名$request_uri; }302配置
location /.well-known/ { return 302 <重定向地址> }
站点服务器的网络安全设备已设置白名单
若服务器防火墙或安全组等网络安全设置配置了允许访问的IP白名单,请将 CA 的 IP 地址段临时添加至白名单中,以确保服务器可被CA访问。
CA 厂商
IP 地址
WoSign
91.199.212.132
91.199.212.133
91.199.212.148
91.199.212.151
91.199.212.176
91.212.12.132
vTrus
194.126.216.17
213.222.200.26
213.222.200.15
213.222.201.155
213.222.198.155
DigiCert
216.168.247.9
64.78.193.238
216.168.249.9
GlobalSign
211.123.204.251
180.222.177.99
114.179.250.1
114.179.250.2
27.115.18.218
CFCA
1.202.139.200
210.74.41.60
CA提示80端口返回404或验证超时
若CA访问验证URL时返回404错误或超时,请按以下步骤排查:
确认文件路径:验证文件必须位于Web根目录下的
.well-known/pki-validation/路径。在服务器上执行ls -la /var/www/html/.well-known/pki-validation/确认文件存在。检查本地访问:在服务器上执行
curl http://localhost/.well-known/pki-validation/<验证文件名>,确认可返回文件内容。检查公网访问:从外部网络执行
curl -I http://域名/.well-known/pki-validation/<验证文件名>,确认返回200 OK状态码。检查Web服务配置:确认Web服务器(Nginx/Apache)的配置允许访问
.well-known目录。部分Web服务默认拒绝以.开头的目录访问,需添加例外规则:Nginx示例:
location /.well-known/ { allow all; }Apache示例:在
.htaccess中添加RewriteRule ^.well-known/ - [L]
检查安全组/防火墙:确认80端口和443端口已在安全组和防火墙中放行。
检查CDN/WAF:若域名使用了CDN或WAF服务,确认验证路径未被缓存策略或安全规则拦截。
控制台提示“文件内容不正确。”怎么办?
常见原因及解决方案如下:
主域名与www子域名的未同时支持访问验证文件
无论申请的是主域名 (如
aliyundoc.com)还是其 www 子域名(如www.aliyundoc.com),CA都将对这两个地址同时进行检查。请确保这两个域名下的验证文件均可被公开访问,否则验证将失败。说明以
www.aliyundoc.com和aliyundoc.com为例,需同时确保http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt和http://aliyundoc.com/.well-known/pki-validation/fileauth.txt均可被公网访问。Web 服务器中的验证文件与当前最新的验证文件内容不一致。
在验证信息面板,单击查看检测到的文件,确保其内容与当前最新的验证文件内容一致。若存在不一致,则重新下载和上传验证文件,然后再次进行验证。单击查看检测到的文件,在弹出的对话框中对比需要您添加的文件(专有验证文件)与检测到的文件,确认服务器上实际存放的验证文件内容是否与最新的专有验证文件一致。
站点已启用HTTPS访问,但仅支持HTTP 访问。
解决方案一:将验证文件同时部署在HTTP和HTTPS服务路径下,并确保HTTPS协议的正常访问。
解决方案二:临时关闭对应站点涉及页面的HTTPS服务。
站点已启用CDN服务,但未完成CDN服务节点海外数据同步。
解决方案一:将验证文件同步到海外CDN服务节点,或者临时关闭CDN海外加速服务。
解决方案二:如果无法对CDN节点服务器进行变更操作,可在证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证。
验证文件时间戳超时。
重新下载最新的验证文件并上传至网站服务器。
控制台提示「验证超时」或「80端口返回404」怎么办?
文件验证失败且提示验证超时或 80 端口返回 404 时,请按以下步骤依次排查:
检查端口开放:确认服务器的安全组和防火墙规则已放行 80 端口(HTTP)和 443 端口(HTTPS)。CA 机构需要通过这两个端口访问验证文件。
检查HTTP重定向:若服务器配置了 HTTP 到 HTTPS 的强制重定向(301/302),CA 机构可能无法正确读取验证文件。建议在验证期间暂时关闭 HTTP 到 HTTPS 的重定向,或确保在 HTTP 路径下也能直接访问验证文件。
检查CAA记录:若域名配置了 CAA 类型的 DNS 记录,可能限制了特定 CA 机构签发证书。请在域名 DNS 解析中检查是否存在 CAA 记录,如有限制请调整或暂时删除。
检查IP白名单:若服务器防火墙或安全组配置了 IP 白名单,需将 CA 机构的验证 IP 地址段添加至白名单。CA 机构(尤其是国际品牌)通常使用海外 IP 进行验证,需要确保服务器可被境外 IP 访问。
改用DNS验证:若上述网络问题难以在短时间内解决,建议撤回当前证书申请,重新提交并选择 DNS 验证方式,可绕过服务器网络限制。
