通过在站点的权威DNS配置一条CNAME记录,您可以将免费证书申请时所需要的DCV校验托管至ESA,让其自动完成免费证书的签发和续签。
什么是DCV
域名控制验证(DCV,Domain Control Validation)是证书颁发机构(CA)在为某个域名颁发证书前,要求申请者证明对该域名的控制权。
适用场景
对于CNAME接入的站点,如果域名没有解析到ESA,在申请
Let's Encrypt证书过程中,ESA控制台将默认生成HTTP验证方式的DCV信息。若目标域名无法部署HTTP验证文件,建议提前配置托管DCV记录以规避HTTP验证信息的配置需求。目前,
DigiCert证书仅支持DNS校验方式。因此,对于接入CNAME的站点,务必配置托管DCV,以确保Digicert证书的正常签发和续签。
配置托管DCV
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在托管DCV区域,查看并复制CNAME信息。
说明hostname替换说明:如果待托管域名为泛域名,如:
*.example.com,则hostname为example.com。如果待托管域名非泛域名,如:
esa.example.com,则hostname为esa.example.com。
登录云解析DNS控制台。
在左侧导航栏,单击权威域名解析。
在权威域名解析页面,找到上面添加站点对应的二级域名,单击解析设置。
在解析设置页面,单击添加记录,记录类型选择CNAME,将步骤三中复制的内容对应填写到主机记录、记录值,单击确定。
重要对于以CNAME接入的站点,在通过托管DCV完成泛域名证书申请后,请勿删除DNS供应商上已配置的托管DCV信息,以免造成后续证书续签失败。
验证
如果您的证书中包含多个域名,您需要为每一个域名分别配置CNAME记录。配置完成后,可以通过下列指令确认CNAME记录配置是否生效。
验证Digicert证书
# 将<hostname>替换为您的二级域名,如:example.com
#【Digicert证书】
dig _dnsauth..<hostname> CNAME 执行结果:
QUESTION SECTION(请求的部分):_dnsauth.a.example.com。
ANSWER SECTION(响应的部分): a.example.com.******728815680.dcv.aliyun-esa.com。
若响应的部分与您配置的记录值一致则表示配置已生效。
生效时间可能需要几分钟,若失败请重试。
验证Let's Encrypt证书
# 将<hostname>替换为您的二级域名,如:example.com
#【Let's Encrypt证书】
dig _acme-challenge.<hostname> CNAME执行结果:
QUESTION SECTION(请求的部分):_acme-challenge.a.example.com。
ANSWER SECTION(响应的部分): a.example.com.******728815680.dcv.aliyun-esa.com。
若响应的部分与您配置的记录值一致则表示配置已生效。
生效时间可能需要几分钟,若失败请重试。
