通过在站点的权威DNS配置一条CNAME记录,您可以将免费证书申请时所需要的DCV校验托管至ESA,让其自动完成免费证书的签发和续签。
什么是DCV
域名控制验证(DCV,Domain Control Validation)是证书颁发机构(CA)在为某个域名颁发证书前,要求申请者证明对该域名的控制权。
适用场景
对于NS接入的站点不支持DCV托管,或参考域名控制验证自动完成DCV或手动DCV。
对于CNAME接入的站点,如果域名没有解析到ESA,在证书申请过程中,ESA控制台将默认生成HTTP验证方式的DCV信息。若目标域名无法部署HTTP验证文件,建议提前配置托管DCV记录以规避HTTP验证信息的配置需求。
配置托管DCV
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在托管DCV区域,查看并复制CNAME信息。
说明hostname替换说明:如果待托管域名为泛域名,如:
*.example.com,则hostname为example.com。如果待托管域名非泛域名,如:
esa.example.com,则hostname为esa.example.com。
登录云解析DNS控制台。
在左侧导航栏,单击权威域名解析。
在权威域名解析页面,找到上面添加站点对应的二级域名,单击解析设置。
在解析设置页面,单击添加记录,记录类型选择CNAME,将步骤三中复制的内容对应填写到主机记录、记录值,单击确定。
重要对于以CNAME接入的站点,在通过托管DCV完成泛域名证书申请后,请勿删除DNS供应商上已配置的托管DCV信息,以免造成后续证书续签失败。
验证
如果您的证书中包含多个域名,您需要为每一个域名分别配置CNAME记录。配置完成后,可以通过下列指令确认CNAME记录配置是否生效。
# 将<hostname>替换为您的二级域名,如:example.com
dig _acme-challenge.<hostname> CNAME 执行结果:
QUESTION SECTION(请求的部分):_acme-challenge.a.example.com。
ANSWER SECTION(响应的部分): a.example.com.******728815680.dcv.aliyun-esa.com。
若响应的部分与您配置的记录值一致则表示配置已生效。
生效时间可能需要几分钟,若失败请重试。
