本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
提交 SSL 证书申请后,证书颁发机构(CA)必须验证申请人对所申请域名的所有权。此为签发证书前的强制性安全步骤,旨在防止未经授权的证书签发。
适用范围
证书类型:正式证书、个人测试证书(pro)、个人测试证书(免费版)。
证书状态:申请审核中。
验证域名所有权
请根据证书类型(DV、OV、EV),参考DV证书域名所有权验证、OV和EV证书域名所有权验证完成验证操作。
若在申请证书阶段需要专业的技术支持(验证域名所有权、证书签发),推荐购买证书申请协助和部署服务。
DV证书域名所有权验证
步骤一:获取验证信息
若当前证书的验证信息面板已关闭,可进入SSL证书管理,在右侧的证书列表(正式证书、个人测试证书(原免费证书)、上传证书)定位目标证书,然后单击其操作列下的验证,即可打开验证信息面板。
步骤二:执行域名所有权验证
提交DV证书申请后,支持自动DNS验证、手动DNS验证和文件验证三种方式。请根据提交证书申请时所选择的验证方式执行相应操作。
DV证书完成域名所有权验证后,将自动审核并签发证书(平均1~15分钟内)。
域名所有权验证通过不代表CA完成审核,审核结果请参考查看CA审核结果。
自动 DNS 验证
若验证信息面板的验证按钮下方提示“域名验证成功”,则表示验证已完成,否则请根据提示信息,参考常见问题进行相应处理,然后再次单击验证直至验证成功。
若申请DV证书的域名符合自动验证条件,系统将默认选择“自动DNS验证”方式,且此选项不可更改。
提交申请后,阿里云将自动在云解析DNS控制台为当前域名添加一条解析记录,用于验证域名所有权。
控制台验证域名DNS解析结果可能存在延迟,若域名解析已经生效,但单击验证后仍提示“未检测到DNS记录值”,则可等待几分钟后重试即可。
为保障自动DNS验证顺利进行,添加DNS解析记录时,将删除在DNS服务中存在冲突的TXT解析记录。请注意其是否影响依赖此TXT记录的第三方服务认证。
手动DNS验证
请在对应的DNS域名解析服务商处,手动添加一条CNAME或TXT类型的解析记录用于验证域名所有权。
CNAME和TXT验证对比
若验证信息面板的“在域名控制台添加DNS解析记录”下同时出现TXT和CNAME选项,可任选其一进行验证。
对比项 | CNAME 记录验证 | TXT 记录验证 |
工作原理 | 添加别名记录,验证权交由CA服务器。 | 添加特定文本记录,CA直接查询验证。 |
验证时效性 | 一次配置,持续有效,支持添加并授权免DNS验证的域名实现自动续用。 | 一次性验证,临时有效,每次申请需重新配置。 |
核心优势 | 高效省心,简化后续证书申请和续期流程。 | 兼容性强,适用与大部分CA和DNS服务商。 |
限制与注意事项 |
|
|
DNS解析记录生效时间
新增解析记录:实时生效。
删除或修改解析记录:取决于DNS缓存到期时间(TTL),通常为10分钟。
DNS服务器更换:默认生效时间为48小时。
验证步骤
证书签发前:请勿删除已添加的域名解析记录,否则将导致证书签发失败。
证书签发后:建议删除TXT解析记录,以避免后续添加解析记录时发生冲突。
获取验证信息。
在验证信息面板的“在域名控制台添加DNS解析记录”下,复制需要添加至DNS解析服务商的记录类型、主机记录和记录值。
添加DNS解析记录。
在当前域名的DNS解析服务商处,为域名添加DNS解析记录,本文以在阿里云云解析DNS中添加TXT记录为例:
说明若域名的DNS域名解析服务不在阿里云,请前往对应的DNS域名解析商进行操作。
使用域名持有者所在的阿里云账号,登录云解析DNS控制台,找到目标域名并单击其操作列下的解析设置,进入解析设置页面。
单击添加记录,填写上一步获取的验证信息(记录类型、主机记录和记录值),然后单击确定。
说明下图左侧为数字证书管理服务控制台的解析记录信息,右侧为阿里云云解析DNS控制台中设置的信息。
验证域名。
配置DNS解析记录后,单击验证信息面板下的验证按钮。若验证按钮下方提示“域名验证成功”,则表示验证已完成,否则请根据提示信息,参考常见问题进行相应处理,然后再次单击验证直至验证成功。
重要控制台验证域名DNS解析结果可能存在延迟,若域名解析已经生效,但单击验证后仍提示“未检测到DNS记录值”,则可等待几分钟后重试即可。
文件验证
验证说明
开放服务器端口:CA仅支持通过80端口(HTTP)和 443端口(HTTPS) 获取验证文件内容,请确保服务器已开放这两个端口。若HTTPS服务暂时无法支持,请暂时关闭HTTPS服务(即停止监听443端口)。
确保主域名和www子域名均可访问:无论您申请的是主域名(如 aliyundoc.com)还是www域名,都必须确保这两者均可被公网正常访问。
禁止URL重定向:CA的验证不支持任何HTTP重定向(例如301永久重定向或302临时重定向)。
保障境外网络可达:若申请的证书为国际品牌证书(例如:DigiCert、GlobalSign),且服务器防火墙或安全组配置了允许访问的白名单,请将 CA 的 IP 地址段临时添加至白名单中,以确保服务器可被CA访问。
验证步骤
下载验证文件。
提交证书申请审核后,在下载验证文件区域,单击验证文件,下载专有验证文件压缩包到本地计算机并解压缩,以获得专有验证文件。
重要下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
上传验证文件。
下面以安装在阿里云云服务器ECS上的Nginx(Linux版本)为例,为您介绍如何进行文件验证配置。
说明建议由服务器管理员进行操作。
连接云服务器ECS。具体操作,请参见ECS远程连接方式概述。
依次执行以下命令,在服务器的Web根目录(Nginx服务默认为/var/www/html/)下创建文件验证目录(
.well-known/pki-validation/)。cd /var/www/html mkdir -p .well-known/pki-validation将验证文件上传到验证目录(
/var/www/html/.well-known/pki-validation/)。您可以使用远程登录工具的本地文件上传功能来上传文件。例如PuTTY、Xshell或WinSCP等工具。如果您使用的是阿里云云服务器 ECS,关于上传文件的具体操作,请参见上传或下载文件。
警告在证书签发前,请勿删除服务器中的专有验证文件,否则会导致证书签发失败。
验证域名。
成功上传验证文件后,返回数字证书管理服务控制台,证书列表中单击目标证书操作列的验证按钮。控制台验证文件会有延迟,若出现未检测到文件的情况,请等待1分钟左右后重试。若多次重试后仍未验证成功,请重新上传正确文件。
说明系统将自动验证
http://<您的域名>/.well-known/pki-validation/<验证文件名>或https://<您的域名>/.well-known/pki-validation/<验证文件名>的文件内容。
OV和EV证书域名所有权验证
提交OV或EV证书申请后,CA将在1个工作日左右(以其当地时区为准,节假日顺延),通过申请时预留的电话或邮箱与您联系。
,即可查看。电话
CA工作人员将通过证书申请时填写的联系人电话,与您联系并验证证书申请信息。请保持联系人电话畅通,能够正常接听CA的验证电话。
邮件
CA将向证书申请时填写的联系人邮箱发送一封域名验证邮件。请及时关注电子邮件,并按邮件指引进行相关操作。
不同证书品牌的邮件内容存在差异,以下邮件内容仅供参考,请以实际收到的邮件为准。
GlobalSign
vTrus
CFCA
查看CA审核结果
完成域名所有权验证后,CA将进行审核,审核结果请参见CA审核结果处理。
常见问题
DNS验证
自动验证方式是否支持更改?
不支持。若需更改,请切换至其他阿里云账号购买证书或进行域名解析。
如何检测DNS解析记录是否生效?
阿里云提供网络拨测工具可帮助您检测解析记录是否生效。检测步骤如下:
在证书申请面板,单击查看记录值。
在网络拨测工具页签,单击立即检测。
若检测结果列表中的解析结果与您配置的解析记录值一致时,代表解析正常生效。
控制台提示“未检测到DNS记录值”怎么办?
常见原因及解决方案如下:
未添加域名解析记录。
请参见域名所有权验证,在对应的DNS域名解析服务商,手动添加一条CNAME或TXT类型的解析记录用于验证域名所有权。
控制台验证解析延迟。
如果您已正确添加域名解析记录,但仍提示“未检测到DNS记录值”,可能是控制台验证延迟导致的。无需任何操作,耐心等待重试即可。
SSL证书绑定域名和DNS域名解析对应的域名不一致。
说明非阿里云DNS解析服务商的用户,请前往对应DNS解析供应商确认域名。
确认域名是否一致
在SSL证书验证页点击修改,重新填写证书绑定域名后再次提交审核。
控制台提示“DNS记录值不匹配”怎么办?
常见原因及解决方案如下:
DNS解析记录值配置错误。
将证书申请的主机记录和记录值重新复制到DNS解析的配置中。
使用了DNSPod或其他域名解析服务商解析域名。
您可以暂时忽略控制台提示的相关错误,按要求在DNSPod或其他域名解析服务商配置DNS的解析记录后,等待CA验证即可。
DigiCert品牌的DV证书,解析记录值超过24小时。
删除已超过24小时的TXT解析记录值。
访问数字证书管理服务控制台,重新申请目标证书,获取最新的TXT解析记录值。
前往域名解析服务商平台重新添加新的TXT解析记录值。
说明GeoTrust品牌的DV型证书时间戳始终有效。
记录值未同步至海外DNS。
动态域名解析记录同步延迟,导致海外权威DNS服务器无法获取最新的TXT记录值。检查您的动态解析服务是否正常运行,耐心等待即可。
控制台提示“验证超时,请重试。”怎么办?
站点服务器的网络异常,请联系对应的域名服务商,检查并修复网络情况。
为什么域名解析已经生效,但是控制台验证仍旧不通过?
控制台验证存在一定的延迟,可等待1分钟左右后再次重试。
域名存在 CAA 解析记录导致验证失败
说明CAA(Certification Authority Authorization, 证书颁发机构授权) 是一种 DNS 记录类型,它允许域名所有者通过 DNS 明确指定哪些 CA(证书颁发机构)被授权为自己的域名签发 SSL/TLS 证书。这样可以有效防止非法或错误的证书签发,提升网站安全。
解决方案一:请前往域名DNS解析服务商(如:云DNS解析控制台),在域名的解析配置页,将记录类型为“CAA”的解析记录删除,操作完成后重新申请证书即可。
解决方案二:将证书对应的CA机构加入CAA 解析记录,操作完成后重新申请证书即可。
说明若当前域名的 CNAME 指向 github.io域名,将同步引用 github.io 的 CAA 策略从而影响到证书的签发。此时,请在证书签发前暂停该 CNAME 记录,或将 CAA 记录添加 trust-provider.com、globalsign.com 、sectigo.com。
域名解析供应商不是阿里云,如何配置域名解析记录?
方案
操作方法
优点
在原服务商配置
登录您当前域名平台,添加从阿里云获取SSL证书验证记录 (CNAME/TXT)。
说明若有疑问请联系您的域名解析供应商。
快速直接,无需转移域名。
将域名转入阿里云
参考域名转入阿里云完成转入后,在云解析DNS控制台完成DNS解析配置。
重要域名转入时您需交纳一年的续费费用,即域名转入价格为域名续费一年的价格。
方便未来证书续签和域名统一管理。
文件验证
控制台提示“未检测到文件”怎么办?
常见原因及解决方案如下:
未上传验证文件至服务器指定目录。
请参见域名所有权验证,将验证文件上传至站点服务器的指定验证目录(.well-known/pki-validation/)。
控制台文件验证延迟。
如果您已上传验证文件至服务器对应目录,且访问URL地址(HTTPS地址和HTTP地址),能够访问到验证文件内容,但是控制台仍提示“未检测到文件”。可能是控制台文件验证延迟导致的,您无需任何操作,耐心等待重试即可。
控制台提示“验证超时,请重试。”怎么办?
常见原因及解决方案如下:
未开放服务器的80或443端口。
目前CA中心仅支持通过访问HTTPS地址和HTTP地址(443端口和80端口),验证是否可以访问到验证文件内容。
解决方案一:开放80或443端口。
Linux
在服务器终端执行以下命令,检测443端口的开放情况:
RHEL/CentOS
command -v nc > /dev/null 2>&1 || sudo yum install -y nc # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443如果输出
Ncat: Connected to <当前服务器公网 IP>:443,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。Debian/Ubuntu
command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443若输出
Connection to <当前服务器公网 IP> port [tcp/https] succeeded!或[<当前服务器公网 IP>] 443 (https) open,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。在安全组配置开放443端口。
重要若您的服务器部署在云平台,请确保其安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例,其他云平台请参考其官方文档。
进入云服务器ECS实例,单击目标实例名称进入实例详情页面,请参考添加安全组规则,在安全组中添加一条授权策略为允许、协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象为任何位置(0.0.0.0/0)的规则。
在防火墙中开放443端口。
执行以下命令,识别系统当前的防火墙服务类型:
if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then echo "firewalld" elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then echo "ufw" elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then echo "nftables" elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then echo "iptables" elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then echo "iptables" else echo "none" fi若输出为
none,则无需进一步操作。否则,请根据输出的类型(firewalld、ufw、nftables、iptables),执行以下命令开放 443 端口:firewalld
sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reloadufw
sudo ufw allow 443/tcpnftables
sudo nft add table inet filter 2>/dev/null sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/nulliptables
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT为避免 iptables 规则在系统重启后失效,请执行以下命令持久化 iptables 规则:
RHEL/CentOS
sudo yum install -y iptables-services sudo service iptables saveDebian/Ubuntu
sudo apt-get install -y iptables-persistent sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
Windows
登录Windows服务器,单击左下角开始菜单,打开控制面板。
点击。
如果防火墙处于如下图的关闭状态,无需额外操作。
如果防火墙已开启,请参考以下步骤放行HTTPS规则。
单击左侧,检查是否存在协议为TCP,本地端口为443,操作为阻止的入站规则。
若存在此类规则,需要右键单击相应规则并选择属性,在常规页签,将其修改为允许连接并应用。
解决方案二:在证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证。
存在301或302重定向跳转
使用
wget -S <URL地址>命令检测该验证URL地址是否存在跳转。若返回HTTP/1.1 301 Moved Permanently或HTTP/1.1 302 Found,则说明存在重定向。wget -S http://<您的域名>/.well-known/pki-validation/<验证文件名>删除重定向配置。以下为Nginx配置文件nginx.conf中301和302配置示例代码。
301配置
server { listen 80; server_name <您主域名> <您的www子域名>; return 301 跳转域名$request_uri; }302配置
location /.well-known/ { return 302 <重定向地址> }
站点服务器的网络安全设备已设置白名单
若服务器防火墙或安全组等网络安全设置配置了允许访问的IP白名单,请将 CA 的 IP 地址段临时添加至白名单中,以确保服务器可被CA访问。
CA厂商
IP
WoSign
91.199.212.132
91.199.212.133
91.199.212.148
91.199.212.151
91.199.212.176
91.212.12.132
Vtrus
194.126.216.17
213.222.200.26
213.222.200.15
213.222.201.155
213.222.198.155
DigiCert
216.168.247.9
64.78.193.238
216.168.249.9
GlobalSign
211.123.204.251
180.222.177.99
114.179.250.1
114.179.250.2
27.115.18.218
CFCA
1.202.139.200
210.74.41.60
控制台提示“文件内容不正确。”怎么办?
常见原因及解决方案如下:
主域名与www子域名的未同时支持访问验证文件
无论申请的是主域名 (如
aliyundoc.com)还是其 www 子域名(如www.aliyundoc.com),CA都将对这两个地址同时进行检查。请确保这两个域名下的验证文件均可被公开访问,否则验证将失败。说明以
www.aliyundoc.com和aliyundoc.com为例,需同时确保http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt和http://aliyundoc.com/.well-known/pki-validation/fileauth.txt均可被公网访问。Web 服务器中的验证文件与当前最新的验证文件内容不一致。
在验证信息面板,单击查看检测到的文件,确保其内容与当前最新的验证文件内容一致。若存在不一致,则重新下载和上传验证文件,然后再次进行验证。
站点已启用HTTPS访问,但仅支持HTTP 访问。
解决方案一:将验证文件同时部署在HTTP和HTTPS服务路径下,并确保HTTPS协议的正常访问。
解决方案二:临时关闭对应站点涉及页面的HTTPS服务。
站点已启用CDN服务,但未完成CDN服务节点海外数据同步。
解决方案一:将验证文件同步到海外CDN服务节点,或者临时关闭CDN海外加速服务。
解决方案二:如果无法对CDN节点服务器进行变更操作,可在证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证。
验证文件时间戳超时。
重新下载最新的验证文件并上传至网站服务器。