域名所有权验证

在证书颁发机构(CA)为您的网站颁发证书之前,您需要配合CA中心验证您拥有或可以管理证书绑定的域名。在证书申请信息提交审核后,请您根据实际情况通过选择域名系统(DNS)、文件或电子邮件证明您对域名的所有权。本文为您介绍域名所有权验证的规则以及流程。

前提条件

已经提交证书申请,具体操作,请参见提交证书申请

域名验证方式

说明

下表为您介绍不同类型证书的域名验证方式以及操作指导。

证书类型

场景

域名验证方式

审核签发时长

DV证书

DNS域名解析服务与证书申请者属于同一阿里云账号

自动DNS验证:阿里云会自动识别符合条件的域名,并自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权,您仅需等待证书签发即可。为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除有冲突的TXT解析记录。更多信息,请参见DNS域名解析服务与证书申请者属于同一阿里云账号

信息填写正确的情况下,CA中心会在1~2个工作日内完成审核和签发。

DNS域名解析服务与证书申请者不属于同一阿里云账号

  • 手动DNS验证:您需要手动在对应的DNS域名解析服务商,添加一条解析记录用于域名所有权验证。具体操作,请参见手动DNS验证流程

  • 文件验证:您需要手动从数字证书管理服务控制台下载一个专用的验证文件,然后将该文件上传到站点服务器的指定验证目录。具体操作,请参见文件验证流程

OV或EV证书

不区分

本地邮件验证:提交OV或EV证书申请后,CA中心一般会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件,请根据邮件提供的审核方式,并配合CA中心完成验证。

在信息填写正确且积极配合CA中心验证的情况下,CA中心会在3~7个工作日内完成审核和签发。

DNS域名解析服务与证书申请者属于同一阿里云账号

如果DNS域名解析服务与证书申请者属于同一阿里云账号,申请DV证书时,阿里云会自动识别该域名,并默认选择自动DNS验证方式,且不支持修改。提交审核后,阿里云会自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权。

如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,是因为控制台验证域名解析结果存在一定的延迟,所以控制台显示的验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。

重要

为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除在DNS服务内有冲突的TXT解析记录。

DNS域名解析服务与证书申请者不属于同一阿里云账号

申请DV证书时,如果DNS域名解析服务与证书申请者不属于同一阿里云账号,您可以选择以下方式进行域名所有权验证。

手动DNS验证流程

DV证书绑定的域名需为单域名或通配符域名,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)时,您可以选择手动DNS验证,即您需要在对应的DNS域名解析服务商,手动添加一条CNAME或TXT类型的解析记录用于验证域名所有权

  • CNAME记录:在DNS中为域名添加一条别名,该别名由阿里云生成。选择CNAME记录,后续为该域名申请同品牌同类型的SSL证书时,将不再重复进行域名所有权验证,可有效避免因为域名所有权验证不及时而导致证书签发不成功或签发时间过长。目前仅DigiCert、GeoTrust、Rapid、Wosign和CFCA品牌的SSL证书支持通过CNAME记录验证域名所有权。

  • TXT记录: 在DNS中为域名添加一条用于验证域名所有权的文本信息,该文本由阿里云生成。选择TXT记录,在每次申请证书时都需要在DNS中添加记录进行域名所权验证。

重要
  • Wosign品牌证书仅支持通过CNAME记录验证域名所有权,不支持TXT记录。

  • 如果您的域名使用西部数码的DNS解析服务,目前暂不支持通过CNAME记录验证域名所有权。

下文以添加TXT解析记录为例,向您介绍域名验证流程:

  1. 提交证书申请审核后,您需要在证书申请面板的验证信息引导页,获取验证信息。

    image

  2. 在您的DNS解析服务商上,为域名添加DNS解析记录。

    下面以阿里云云解析DNS为例,为您演示为域名添加DNS解析记录的过程,供您参考。如果您域名对应的DNS域名解析服务不在阿里云,请您前往域名对应的DNS域名解析商添加解析记录。

    1. 使用域名持有者所在的阿里云账号,登录云解析DNS控制台

    2. 域名解析页面,定位到证书绑定的域名,单击域名名称。

    3. 解析设置页面,单击添加记录

    4. 添加记录面板,添加步骤1获取到的验证信息(记录类型、主机记录及记录值),然后单击确认

      TXT记录类型的添加示意图如下:数字证书管理服务控制台(左图)、云解析DNS控制台(右图)

      image.png

      添加完成后,您可以在记录列表中查看已添加的记录。

      • 新增的解析记录实时生效。

      • 删除或修改解析记录取决于本地DNS缓存的解析记录的TTL到期时间,一般默认为10分钟。

      • 修改DNS服务器解析默认生效时间为48小时。例如您将域名DNS解析服务迁移至阿里云DNS解析,在配置解析记录后,会在48小时后生效。

      重要

      在证书签发之前,请勿删除已添加的域名解析记录,否则会导致证书签发失败。建议您在证书签发后删除TXT解析记录,以避免后续添加解析记录时发生冲突。

  3. 成功配置解析记录后,返回数字证书管理服务控制台证书申请时的验证信息引导页,单击验证

    如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,是因为控制台验证域名解析结果存在一定的延迟,且控制台显示的验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。

    重要

    如果域名解析记录中包含CAA记录,请您确认是否与当前证书品牌一致。如果非当前证书品牌的CAA记录,您需要删除该CAA记录,否则证书将不会签发。更多关于DNS验证问题,请参见域名所有权验证相关问题

文件验证流程

DV证书绑定的域名为单域名(aliyundoc.com)时,支持文件验证方式。您在提交证书申请审核后,需要下载验证文件,然后将解压后的文件上传到站点服务器的指定验证目录(.well-known/pki-validation/)。CA中心将会依次尝试访问HTTPS地址HTTP地址(443端口和80端口),验证是否可以访问到验证文件内容,验证通过后,将为您签发证书。

重要
  • 目前CA中心仅支持向80、443端口发起验证请求,因此您的服务器需开放80、443端口。

  • 服务器如果有HTTPS服务,一定确保可通过HTTPS地址访问到验证文件内容(证书需保证可信),否则建议您暂时关闭该域名的HTTPS服务,以免影响验证;服务器如果未配置过HTTPS服务,需确保HTTP地址可以访问到验证文件内容。

  • 访问HTTPS地址HTTP地址地址不能存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。 您可使用wget -S <URL地址>命令检测该验证URL地址是否存在跳转。

  • 如果申请的是国际品牌证书(例如DigiCert、GlobalSign),您需要确保域名服务器可通过中国境外的网络访问。建议您在域名服务器中临时将CA中心的IP地址添加到白名单中,确保CA中心可以正常访问您的域名服务器,完成域名所有权验证。如何获取CA中心IP地址,请联系产品技术专家进行咨询,详情请参见专家一对一服务

  • 如果您的域名为一级域名(例如,aliyundoc.com),您需要确保该域名以www.为起始的二级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://aliyundoc.com/.well-known/pki-validation/fileauth.txthttp://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

  • 如果您的域名是以www.为起始的二级域名(例如:www.example.com),您需要确保该域名对应的一级域名也可被访问。以www.example.com域名为例,您需要同时确保http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

上传验证文件示例流程如下:

  1. 提交证书申请审核后,在下载验证文件区域,单击验证文件,下载专有验证文件压缩包到本地计算机并解压缩。

    image.png

    下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。

    重要

    下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。

  2. 下面以安装在阿里云云服务器ECS上的Nginx(Linux版本)为例,为您介绍如何进行文件验证配置。

    说明

    建议由服务器管理员进行操作。

    1. 连接云服务器ECS。具体操作,请参见连接实例

    2. 依次执行以下命令,在服务器的Web根目录(Nginx服务默认为/var/www/html/)下创建文件验证目录(.well-known/pki-validation/)。

      cd /var/www/html
      mkdir -p .well-known/pki-validation
    3. 将验证文件fileauth.txt上传到验证目录(/var/www/html/.well-known/pki-validation/)。

      您可以使用远程登录工具附带的本地文件上传功能,上传文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服务器 ECS,上传文件具体操作,请参见上传或下载文件(Windows)上传文件到Linux云服务器

      重要

      在证书签发前,请勿删除服务器中的专有验证文件,否则会导致证书签发失败。

  3. 成功上传fileauth.txt验证文件后,返回数字证书管理服务控制台证书申请面板,访问URL地址(HTTPS地址HTTP地址),确保能够访问到验证文件内容。

    数字证书管理服务控制台验证文件会有延迟,单击验证会出现未检测到文件的情况,请您耐心等待。如果1个工作日后仍然未验证成功,请您检查文件是否上传正确。控制台验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。

相关问题