通过在站点的权威DNS配置一条CNAME记录,您可以将免费证书申请时所需要的DCV校验托管至ESA,让其自动完成免费证书的签发和续签。
什么是DCV
域名控制验证(DCV,Domain Control Validation)是证书颁发机构(CA)在为某个域名颁发证书前,要求申请者证明对该域名的控制权。
适用场景
对于CNAME接入的站点,如果域名没有解析到ESA,在申请Let's Encrypt证书过程中,ESA控制台将默认生成HTTP验证方式的DCV信息。若目标域名无法部署HTTP验证文件,建议提前配置托管DCV记录以规避HTTP验证信息的配置需求。
目前,Digicert证书仅支持DNS校验方式。因此,对于接入CNAME的站点,务必配置托管DCV,以确保Digicert证书的正常签发和续签。
配置托管DCV
在ESA控制台选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在托管 DCV区域,查看并复制CNAME信息。
说明hostname替换说明:如果待托管域名为泛域名,如:
*.example.com,则hostname为example.com。如果待托管域名非泛域名,如:
esa.example.com,则hostname为esa.example.com。
前往您的域名DNS服务商添加CNAME记录。以阿里云DNS解析为例,登录云解析DNS控制台,在左侧导航栏,单击公网权威解析。在公网权威解析页面,找到对应域名,单击解析设置。

在解析设置页面,单击添加记录,记录类型选择CNAME,将步骤三中复制的内容对应填写到主机记录、记录值,单击确定。

域名类型
示例域名
在DNS服务商处应填写的主机记录
在DNS服务商处应填写的记录值
根域名
example.com_dnsauthexample.com.站点ID.dcv.aliyun-esa.com子域名
www.example.com_dnsauth.wwwwww.example.com.站点ID.dcv.aliyun-esa.com泛域名
*.example.com_dnsauthexample.com.站点ID.dcv.aliyun-esa.com多级子域名
api.test.example.com_dnsauth.api.testapi.test.example.com.站点ID.dcv.aliyun-esa.com
为三级及以上子域名(如 hw.drive.example.com)申请证书时,请注意以下事项:
在 DNS 服务商处填写主机记录时,仅填写前缀部分(如
_dnsauth.hw.drive),不要重复携带完整域名后缀(如_dnsauth.hw.drive.example.com),否则会导致 DCV 验证失败。泛域名证书(如
*.example.com)仅覆盖二级子域名(如www.example.com),不覆盖三级及以上子域名(如hw.drive.example.com)。如需为三级子域名申请证书,请单独申请并配置对应的 DCV 记录。
对于以CNAME接入的站点,在通过托管DCV完成泛域名证书申请后,请勿删除DNS供应商上已配置的托管DCV信息,以免造成后续证书续签失败。
完成 CNAME 记录配置后,请返回 ESA 控制台边缘证书页面,手动申请免费证书。系统不会在 CNAME 配置完成后自动触发 DCV 验证和证书签发,必须主动发起申请。
申请成功后,请勿删除 DNS 解析中已配置的 DCV 记录,否则将导致证书到期后自动续签失败。
若证书申请持续失败或超时,可按以下步骤排查:
等待 DNS 解析生效:新增 DNS 记录后,全球生效通常需要几分钟至 10 分钟。请使用本文「验证」章节中的 dig 命令确认解析是否正确,若解析未生效请耐心等待后重试。
确认主机记录格式正确:DigiCert 证书使用
_dnsauth前缀,Let's Encrypt 证书使用_acme-challenge前缀,请参考本文 CNAME 记录表格核对。删除冲突记录:若 DNS 服务商处存在与上述主机记录同名的旧验证记录,请先删除冲突记录后重试申请。
验证
如果您的证书中包含多个域名,您需要为每一个域名分别配置CNAME记录。配置完成后,可以通过下列指令确认CNAME记录配置是否生效。
如果证书申请失败、证书状态异常或浏览器提示证书不可信,请优先使用以下 dig 命令验证 DNS 解析是否正确配置。解析生效通常需要几分钟至 10 分钟,若验证未通过请耐心等待或检查 DNS 配置是否有误。对于 Let's Encrypt 证书,请使用 _acme-challenge 前缀的命令验证(见"验证 Let's Encrypt 证书"章节)。
验证Digicert证书
#【Digicert证书】
dig _dnsauth.<hostname> CNAME # 将<hostname>替换为您的二级域名,如:dig _dnsauth.example.com CNAME执行结果:
QUESTION SECTION(请求的部分):_dnsauth.a.example.com。
ANSWER SECTION(响应的部分): a.example.com.******728815680.dcv.aliyun-esa.com。
若响应的部分与您配置的记录值一致则表示配置已生效。
生效时间可能需要几分钟,若失败请重试。

验证Let's Encrypt证书
#【Let's Encrypt证书】
dig _acme-challenge.<hostname> CNAME # 将<hostname>替换为您的二级域名,如:dig _acme-challenge.example.com CNAME执行结果:
QUESTION SECTION(请求的部分):_acme-challenge.a.example.com。
ANSWER SECTION(响应的部分): a.example.com.******728815680.dcv.aliyun-esa.com。
若响应的部分与您配置的记录值一致则表示配置已生效。
生效时间可能需要几分钟,若失败请重试。

常见问题
ESA 免费证书的有效期是多久?如何自动续签?
ESA 免费证书的有效期为 3 个月。系统会在证书到期前 30 天自动发起续签。
若收到续签失败通知,或发现证书已过期,无需删除原证书,直接前往 ESA 控制台边缘证书页面重新申请即可。系统支持多张证书共存,更新过程不会导致服务中断,新证书通常在 5 至 10 分钟内生效。
ESA 控制台显示证书状态为"待配置",但已上传证书,怎么办?
证书状态显示待配置,通常是因为域名流量尚未经过 ESA 节点。解决方法:
在 DNS 服务商处,暂停现有的 A 记录解析。
确认域名仅保留指向 ESA 的 CNAME 解析记录,解析线路选择默认。
待流量通过 ESA 节点访问后,证书状态会自动恢复正常。
ESA 申请的免费 SSL 证书能否下载到源站使用?
ESA 控制台申请的免费 DV 证书仅供 ESA 边缘节点使用,不支持下载。如需在源站服务器部署证书,请前往阿里云数字证书管理服务控制台申请可下载的免费证书或其他商业证书。