证书申请提交很久了,为什么还是审核中?

在您提交证书申请后,CA证书颁发中心将对您的域名及提交的信息进行审核。审核通过后,CA证书颁发机构才会为您签发证书。不同证书类型的实际签发时间可能有所不同,本文将介绍不同证书类型的审核时长以及长时间审核不通过的排查办法。

证书审核周期

证书类型

审核签发时长

DV(域名型)

信息填写正确的情况下,CA中心会在1~2个工作日内完成审核和签发。

说明

如若DV证书长时间未签发,请您检查DNS验证配置是否正确。

OV(企业型)、EV(企业增强型)

在信息填写正确且积极配合CA中心验证的情况下,CA中心会在3~7个工作日内完成审核和签发。

重要

提交OV或EV证书申请后,CA中心一般会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件或电话确认,请您及时接听来自CA中心的电话或确认来自CA中心的邮件。如果您未接到电话、邮件等相关通知,请联系产品技术专家进行咨询,详情请参见专家一对一服务

说明

如果您的域名中包含某些敏感词(如bank、pay、live等)可能会触发人工审核机制,审核时间会比较长,请您耐心等待。

检查域名所有权验证结果

域名所有权验证成功后,CA中心才会对证书进行签发。域名所有权验证失败的情况下,需要您及时修改配置信息,并重新发起域名验证审核。

DNS验证(自动DNS验证或手工DNS验证

  • 方式一:通过数字管理服务控制台查看域名所有权验证结果。

    1. 登录数字证书管理服务控制台

    2. 在左侧导航栏,选择证书管理 > SSL证书管理

    3. 在证书列表,定位到目标证书,在操作列,单击验证查看域名所有权验证结果。

      image.png

      验证失败可能出现的情况如下:

      场景

      排查方法

      未检测到DNS记录值

      域名所有权验证

      DNS记录值不匹配

      域名所有权验证

      DNS验证超时

      域名所有权验证

  • 方式二:在您的服务器中通过命令行域名所有权验证结果。

    1. 登录您的服务器。

    2. 运行dig <DNS记录类型>命令查看DNS解析情况或者运行dig <DNS记录类型> @8.8.8.8命令指定使用谷歌DNS进行验证。例如:

      dig txt demo.aliyundoc.com @8.8.8.8

      如果返回结果中存在类似图示中的TXT记录,且记录值与数字证书管理服务控制台显示的记录值(如下图)一致,表示您的DNS配置正确且已生效;如果记录值不同,请复制数字证书管理服务控制台记录值在您的DNS域名解析服务商处更新该记录值。

      image.png

      如果返回结果中不存在TXT记录,可能是DNS解析配置有误或者配置未生效。如DNS解析配置错误,请复制数字证书管理服务控制台记录值在您的DNS域名解析服务商处更新该记录值;如果配置长时间未生效,请联系您的域名托管商。

      说明

      可执行yum -y install bind-utils在Linux安装dig命令。

文件验证

在阿里云登录数字证书管理服务控制台中的证书列表,定位到目标证书,在操作列,单击验证。在证书申请页面,单击验证查看验证结果。

验证失败可能出现的情况如下:

场景

排查方法

文件验证超时

域名所有权验证

未检测到文件

域名所有权验证

文件内容不正确

域名所有权验证

其他

配置完成后URL(如下图)地址访问也会影响审核,可能的情况如下:

image.png

  • 检查URL地址是否存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。

    说明

    您可使用wget -S URL地址命令检测地址是否存在跳转。

  • 如果您的域名为二级域名(例如:aliyundoc.com),您需要确保该域名以www.为起始的三级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://<aliyundoc.com>/.well-known/pki-validation/fileauth.txthttp://<www.aliyundoc.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

  • 如果您的域名为以www.起始的三级域名(例如:www.example.com),您需要确保该域名对应的二级域名也可被访问。以www.example.com域名为例,您需要同时确保http://<www.example.com>/.well-known/pki-validation/fileauth.txthttp://<example.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。