AI 助理
备案控制台登录注册
文档
输入文档关键字查找
首页数字证书管理服务(原SSL证书)服务支持常见问题SSL证书申请相关问题域名所有权验证相关问题

域名所有权验证相关问题

更新时间:2025-03-24 02:40:16
产品详情
我的收藏

SSL证书在提交证书申请后,需要配合CA中心完成域名所有权验证。数字证书管理服务控制台提供了辅助域名验证功能,可以帮助您提前发现并解决一些验证过程中的问题,降低CA中心验证失败的几率。本文介绍域名验证过程中可能遇到的问题及解决方案。

DV证书验证常见问题

DV证书验证方式可分为:手动验证、文件验证、自动验证三种方式。常见问题和解决方案如下,您可根据验证方式查找问题原因和解决方案:

手动DNS验证
文件验证
自动验证

如何检测DNS解析记录是否生效?

阿里云提供网络拨测工具可帮助您检测解析记录是否生效。检测步骤如下:

  1. 证书申请面板,单击查看记录值

    image

  2. 网络拨测工具页签,单击立即检测

    image

  3. 检测结果列表中的解析结果与您配置的解析记录值一致时,代表解析正常生效。

控制台提示“未检测到DNS记录值”怎么办?

常见原因及解决方案如下

  1. 未添加域名解析记录。

    解决方案

    请参见手动DNS验证流程,在对应的DNS域名解析服务商,手动添加一条CNAMETXT类型的解析记录用于验证域名所有权。

  2. 控制台验证解析延迟。

    如果您已正确添加域名解析记录,但仍提示“未检测到DNS记录值”,可能是控制台验证延迟导致的。

    解决方案

    无需任何操作,耐心等待即可。

  3. SSL证书绑定域名和DNS域名解析对应的域名不一致。
    说明

    非阿里云DNS解析服务商的用户,请前往对应DNS解析供应商确认域名。

    解决方案

    1. 确认域名是否一致image

    2. SSL证书验证页点击修改,重新填写证书绑定域名后再次提交审核。image

控制台提示“DNS记录值不匹配”怎么办?

常见原因及解决方案如下

  1. DNS解析记录值配置错误。

    配置DNS解析记录时,DNS主机记录值和TXT解析记录值填写错误。

    解决方案

    将证书申请的主机记录和记录值复制到DNS解析的配置中。

    image

  2. 使用了DNSPod或其他域名解析服务商解析域名。

    使用DNSPod或其他域名解析服务商解析域名。由于其他域名解析服务商查询主机记录的返回值与预期的返回值不同,导致出现DNS配置错误。

    解决方案

    您可以暂时忽略控制台提示的相关错误,按要求在DNSPod或其他域名解析服务商配置DNS的解析记录后,等待CA验证即可。控制台验证结果仅供参考,控制台验证不通过不影响CA机构的验证流程,实际验证和签发结果请以CA中心检测为准。

  3. DigiCert品牌的DV证书,解析记录值超过24小时。

    DigiCert品牌的DV证书,记录值仅在24小时内有效,如果超过24小时后记录值会变化。如果最新的TXT记录值与DNS设置的不一致,则会导致域名验证失败。

    说明

    GeoTrust品牌的DV型证书时间戳始终有效。

    解决方案

    在域名解析服务商删除原来的TXT解析记录值后,访问数字证书管理服务控制台,重新申请目标证书,获取最新的TXT解析记录值,前往域名解析服务商平台重新添加新的TXT解析记录值。

    说明

    在域名服务商域名平台,修改已存在的TXT解析记录值生效需要两个小时以上,而新建TXT解析记录值会很快生效,建议您通过新建TXT记录值完成验证。待域名验证通过后,删除相关的TXT解析记录信息即可。

  4. 记录值未及时同步到海外权威DNS服务器。

    启用了动态域名解析服务,但记录值未能及时同步到海外权威DNS服务器。

    解决方案

    请确认动态解析服务正常,并确保海外的解析服务能够正常解析您新增的TXT解析记录。

控制台提示“验证超时,请重试”怎么办?

常见原因及解决方案如下

  1. 域名服务器的网络异常。

    解决方案:

    联系对应的域名服务商,检查并修复网络情况。

控制台提示“未检测到文件”怎么办?

常见原因及解决方案如下

  1. 未上传验证文件至服务器指定目录。

    未将验证文件上传至站点服务器的指定验证目录(.well-known/pki-validation/)。

    解决方案:

    请参见文件验证流程,将验证文件上传至服务器。

  2. 控台文件验证延迟。

    如果您已上传验证文件至服务器对应目录,且访问URL地址(HTTPS地址HTTP地址),能够访问到验证文件内容,但是控制台仍提示“未检测到文件”

    解决方案:

    可能是控台文件验证延迟导致的您无需任何操作,耐心等待即可。

控制台提示“验证超时,请重试”怎么办?

常见原因及解决方案如下

  1. 域名服务器的网络异常。

    解决方案:

    联系对应的域名服务商,检查并修复网络情况。

  2. 未开放域名服务器的80443端口。

    解决方案一

    开放服务器的80443端口。

    解决方案二:

    证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证

  3. 域名站点未支持境外访问。

    申请的是国际品牌证书(例如DigiCert、GlobalSign),但证书绑定域名的网站限制境外 IP 访问,由于国际证书的 CA 机构基本是境外机构,CA 机构无法进行文件扫描审核。

    解决方案:

    1. 可使用域名验证工具筛选出有问题的节点。

    2. 临时将CA中心的IP地址添加到域名服务器的白名单中,确保CA中心可以正常访问您的域名服务器,完成域名所有权验证。如何获取CA中心IP地址,请联系产品技术专家进行咨询,详情请参见专家一对一服务

      说明

      在证书签发后,建议您删除已配置的IP白名单,以防再次申请证书时出现未知问题。

  4. 个人测试证书申请的域名含有敏感词

    如您在申请阿里云个人测试证书时,域名含有但不限于edu、gov、org、jp(国家缩写)、pay、bank、live、nuclear等特殊词,可能无法通过审核签发证书。

    解决方案:

    请您购买OV、EV证书或者国产vTrus品牌的证书。

控制台提示“文件内容不正确”怎么办?

常见原因及解决方案如下

  1. 域名服务器下存在旧文件未及时删除。

    解决方案:

    1. 证书申请面板,单击查看检测到的文件,并记录已检测到的文件的信息。文件信息

    2. 前往您的域名服务器,删除已检测到的文件。

      通常情况下,旧文件在站点的根目录/.well-known/pki-validation目录下。

    3. 您可以下载专有验证文件重新在域名服务器中上传。具体操作,请参见文件验证流程

  2. fileauth.txt未部署HTTPS服务路径。

    部分站点页面已启用HTTPS访问,而验证文件仅部署在HTTP服务路径下,未部署HTTPS服务路径下,导致报错。

    解决方案一:

    您可以将验证文件fileauth.txt同时部署在HTTPHTTPS服务路径下,并且需要确认HTTPS协议的正常访问。

    解决方案二

    您可以临时关闭对应站点涉及页面的HTTPS服务。

  3. 验证文件URL重定向。

    访问HTTPS地址HTTP地址对应的验证文件时存在301302重定向跳转。

    解决方案

    1. 验证是否存在跳转

      • 您可使用wget -S <URL地址>命令检测该验证URL地址是否存在跳转。

      • 可通过浏览器地址是否发生变化来检测是否存在重定向。

    2. 取消相关设置关闭跳转

  4. 启用了CDN服务,但未完成CDN服务节点海外数据同步。

    解决方案一:

    将验证文件同步到海外CDN服务节点,或者临时关闭CDN海外加速服务

    解决方案二

    如果无法对CDN节点服务器进行变更操作,可在证书申请面板,单击撤回申请,修改域名验证方式为手动DNS验证

  5. 验证文件时间戳超时。

    解决方案

    访问数字证书管理服务控制台,重新下载最新的验证文件并上传到您网站的指定目录。

通配符域名支持文件验证吗?

不支持,详情可参见【通知】申请通配符证书不再支持文件验证

如果DNS域名解析服务与证书申请者属于同一阿里云账号,申请DV证书时,阿里云会自动识别该域名,并默认选择自动DNS验证方式。

自动验证方式是否可以更改?

不能,若需要更改验证方式请切换至其他阿里云账号,重新进行证书购买。完成购买后可参见DNS域名解析服务与证书申请者不属于同一阿里云账号完成域名所有权验证。

OV、EV证书常见问题

CA中心收到您的OVEV证书申请后,将向您的联系人邮箱发送一封域名验证邮件或拨打联系人电话进行验证。常见问题如下:

可以只验证邮件不接听电话完成验证吗?

可以,但要回复邮件说明情况。

验证邮件一般有哪些?邮件接收人是谁?

CA中心会发送域名验证和订单确认邮件给证书申请时联系人预留的邮箱。联系人管理可参见管理联系人。不同的证书品牌邮件内容可能存在差异,可参考下方邮件说明:

重要

以下邮件内容仅供参考,请您以实际是收到的为准。

GlobalSign
CFCA
vTrus

image

image

image

其他问题

控台显示域名验证通过,但是证书一直是“申请审核中”?

控制台验证结果仅供参考,控制台验证通过不代表完成CA验证并签发证书,实际验证和签发结果请以CA中心检测为准。一般情况下,DV证书的平均签发时间为1~15分钟,EVOV证书平均签发时长为5个自然日。特殊情况下可能导致证书审核时长增加,常见原因及解决方案如下:

  1. 域名存在 CAA 解析记录

    若域名所有者设置了 CAA 解析记录来授权指定的 CA 机构为其颁发 SSL 证书,CA 机构在颁发 SSL 证书时会遵循域名 CAA 记录,如果发现未获得授权,将拒绝为该域名颁发 SSL 证书。

    说明

    什么是 CAA 解析记录?

    CAA(Certification Authority Authorization,证书颁发机构授权)是一项降低 SSL 证书错误颁发的控制措施,CA 机构从201798日起颁发 SSL 证书时会严格执行 CAA 强制性检查。域名管理者可在域名解析设置 CAA 记录。

    解决方案

    域名所有者前往 DNS解析控制台 将 CAA 解析记录删除或将证书 CA 机构名称加入 CAA 解析记录,操作完成后重新申请证书。

    重要

    使用 GitHub Page 服务把域名 CNAME 到 github.io域名,会同步引用 github.io 的 CAA 策略从而影响到证书的签发。针对这种特殊情况,您可以在证书签发前暂停该 CNAME 记录,或将 CAA 记录加上 trust-provider.com、globalsign.com 、sectigo.com。

  2. 域名包含敏感词

    如果您的域名中包含某些敏感词(如bank、pay、live等)可能会触发人工审核机制,审核时间会比较长。

    解决方案:

    耐心等待人工复审结果,如未审核通过,可更换域名重新申请。

为什么域名解析已经生效,但是控制台验证仍旧不通过?

控制台验证解析记录,不管是文件验证还是DNS验证都存在一定的延迟,您无需其他操作,耐心等待即可。

控台显示域名验证通过,但是证书却“审核失败”?

控制台验证结果仅供参考,控制台验证通过不代表完成CA验证并签发证书,可参见SSL证书审核失败的原因及处理方法获取证书审核失败解决方案。

域名解析供应商不是阿里云,是否可申请阿里云SSL证书?

可以。

  • 证书申请不受域名解析供应商影响。只有在证书申请签发阶段需要在域名供应商平台上添加域名解析记录,配合CA完成域名验证。

  • 外部域名也可以转入阿里云,但域名转入时您需交纳一年的续费费用,即域名转入价格为域名续费一年的价格。您可点击以下链接查看转入续费一年的费用:https://wanwang.aliyun.com/help/price.html?spm=a2c4g.11186623.0.0.6a876448tL0Hm4

SSL证书是否可以在内网使用?

能。但是新申请的证书由于CA中心要通过公网完成域名验证,所以验证过程中需要开通公网访问权限,验证通过后关闭权限即可。签发后的证书对使用环境无限制。

上一篇:SSL证书申请相关问题下一篇:如何选择域名所有权验证方式?
  • 本页导读 (1)
  • DV证书验证常见问题
  • OV、EV证书常见问题
  • 可以只验证邮件不接听电话完成验证吗?
  • 验证邮件一般有哪些?邮件接收人是谁?
  • 其他问题
  • 控台显示域名验证通过,但是证书一直是“申请审核中”?
  • 为什么域名解析已经生效,但是控制台验证仍旧不通过?
  • 控台显示域名验证通过,但是证书却“审核失败”?
  • 域名解析供应商不是阿里云,是否可申请阿里云SSL证书?
  • SSL证书是否可以在内网使用?