AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页

域名所有权验证相关问题

更新时间:
复制为 MD 格式
产品详情
我的收藏

提交 SSL 证书申请后,您需要配合 CA 中心完成域名所有权验证。数字证书管理服务控制台提供了辅助域名验证功能,可帮助您提前发现并解决验证过程中的问题,降低 CA 中心验证失败的概率。本文介绍域名验证过程中可能遇到的问题及解决方案。

DV 证书验证常见问题

DV 证书支持三种域名验证方式:手动 DNS 验证、文件验证和自动验证。您可根据实际使用的验证方式查找对应的解决方案。

手动 DNS 验证

如何检测 DNS 解析记录是否生效?

您可以使用阿里云提供的网络拨测工具检测解析记录是否生效。操作步骤如下:

  1. 证书申请面板中,单击查看记录值

    image

  2. 切换至SSL状态检测页签,单击验证

    image

  3. 如果检测结果列表中显示的解析结果与您配置的解析记录值一致,则说明解析已正常生效。

控制台提示"未检测到DNS记录值"怎么办?

常见原因及解决方案如下:

  1. 未添加域名解析记录。

    请参见域名所有权验证,前往您对应的 DNS 域名解析服务商,手动添加一条CNAME 或TXT 类型的解析记录,用于验证域名所有权。

  2. 控制台验证存在延迟。

    如果您已正确添加域名解析记录,但仍提示"未检测到DNS记录值",可能是控制台的验证存在解析延迟。您无需任何操作,耐心等待后重试即可。

  3. SSL 证书绑定的域名与 DNS 解析的域名不一致。

    说明

    如果您使用的不是阿里云 DNS 解析服务,请前往对应的 DNS 解析服务商确认域名信息。

    1. 确认域名是否一致。image

    2. 在 SSL 证书验证页面单击修改,重新填写证书绑定域名后再次提交审核。image

控制台提示"DNS记录值不匹配"怎么办?

常见原因及解决方案如下:

  1. DNS 解析记录值配置错误。

    请重新从证书申请页面复制主机记录和记录值,粘贴到 DNS 解析配置中。image

  2. 使用 DNSPod 或其他第三方 DNS 服务商。

    您可以忽略控制台提示的相关错误,直接在 DNSPod 或其他 DNS 服务商处按要求配置 DNS 解析记录,然后等待 CA 验证即可。

  3. DigiCert 品牌的 DV 证书,解析记录值已超过 24 小时。

    1. 删除已超过 24 小时的 TXT 解析记录。

    2. 前往数字证书管理服务控制台,重新申请目标证书,获取最新的 TXT 解析记录值。

    3. 前往域名解析服务商平台重新添加新的 TXT 解析记录。

    说明

    GeoTrust 品牌的 DV 证书时间戳始终有效,不受此限制。

  4. 记录值未同步至海外 DNS。

    动态解析记录的同步可能出现延迟,导致海外权威 DNS 服务器无法获取最新的 TXT 记录值。请检查动态解析服务是否正常运行,耐心等待即可。

控制台提示"验证超时,请重试"怎么办?

域名服务器的网络异常。请联系对应的域名服务商,检查并修复网络问题。

文件验证

控制台提示"未检测到文件"怎么办?

常见原因及解决方案如下:

  1. 未上传验证文件至服务器指定目录。

    请参见域名所有权验证,将验证文件上传至站点服务器的指定验证目录(.well-known/pki-validation/)。

  2. 控制台文件验证存在延迟。

    如果您已将验证文件上传至服务器对应目录,且通过HTTPS地址HTTP地址均能正常访问到验证文件内容,但控制台仍提示"未检测到文件",可能是控制台的文件验证存在延迟。您无需任何操作,耐心等待后重试即可。

控制台提示"验证超时,请重试"怎么办?

常见原因及解决方案如下:

  1. 服务器未开放 80 或 443 端口。

    CA 中心仅支持通过HTTPS地址HTTP地址(即 443 端口和 80 端口)访问来验证文件内容。

    方案一:开放 80 或 443 端口。

    如何开放 80 或 443 端口?

    Linux

    1. 在服务器终端执行以下命令,检测443端口的开放情况:

      RHEL/CentOS
      command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

      如果输出 Ncat: Connected to <当前服务器公网 IP>:443,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

      Debian/Ubuntu
      command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443

      若输出 Connection to <当前服务器公网 IP> port [tcp/https] succeeded![<当前服务器公网 IP>] 443 (https) open,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。

    2. 在安全组配置开放443端口。

      请确保安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例:

      1. 进入云服务器ECS实例页面,选择目标 ECS 实例所在地域,单击目标实例名称,进入实例详情页。

      2. 单击安全组 > 内网入方向全部规则,确保存在一条授权策略允许协议类型TCP目的端口范围HTTPS(443)授权对象任何位置(0.0.0.0/0)(或其它地址,确保 PC 可远程访问即可)的规则。

      3. 如不存在上述规则,请参照添加安全组规则在目标安全组中添加相应规则。

    3. 在防火墙中开放443端口。

      执行以下命令,识别系统当前的防火墙服务类型:

      if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

      若输出为 none,则无需进一步操作。否则,请根据输出的类型(firewalldufwnftablesiptables),执行以下命令开放 443 端口:

      firewalld
      sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload
      ufw
      sudo ufw allow 443/tcp
      nftables
      sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null
      iptables
      sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

      为避免 iptables 规则在系统重启后失效,请执行以下命令持久化 iptables 规则:

      RHEL/CentOS
      sudo yum install -y iptables-services
sudo service iptables save
      Debian/Ubuntu
      sudo apt-get install -y iptables-persistent
sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
    Windows

    1. 在安全组中开放 443 端口

    请确保安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例:

    1. 进入云服务器ECS实例页面,选择目标 ECS 实例所在地域,单击目标实例名称,进入实例详情页。

    2. 单击安全组 > 内网入方向全部规则,确保存在一条授权策略允许协议类型TCP目的端口范围HTTPS(443)授权对象任何位置(0.0.0.0/0)(或其它地址,确保 PC 可远程访问即可)的规则。

    3. 如不存在上述规则,请参照添加安全组规则在目标安全组中添加相应规则。

    2. 在服务器本地防火墙中开放 443 端口

    1. 登录Windows服务器,单击左下角开始菜单,打开控制面板

    2. 点击

    3. 如果防火墙处于如下图的关闭状态,无需额外操作。image

    4. 如果防火墙已开启,请参考以下步骤放行HTTPS规则。

      1. 单击左侧,检查是否存在协议TCP,本地端口443,操作阻止的入站规则。

      2. 若存在此类规则,需要右键单击相应规则并选择属性,在常规页签,将其修改为允许连接应用

    方案二:在证书申请面板中,单击撤回申请,将域名验证方式修改为手动DNS验证

  2. 存在 301 或 302 重定向跳转。

    • 使用wget -S <URL地址>命令检测验证 URL 是否存在跳转。如果返回 HTTP/1.1 301 Moved PermanentlyHTTP/1.1 302 Found,则说明存在重定向。

      wget -S http://<您的域名>/.well-known/pki-validation/<验证文件名>

    • 删除重定向配置。以下为 Nginx 配置文件 nginx.conf 中 301 和 302 的配置示例。

      301 配置

      server {
    listen 80;
    server_name <您主域名> <您的www子域名>;
    return 301 跳转域名$request_uri;
}

      302 配置

      location /.well-known/ {
    return 302 <重定向地址>
}

  • CA 境外 IP 被防火墙拦截(域名站点不支持境外访问)。

    如果您申请的是国际品牌证书(如 DigiCert、GlobalSign),但证书绑定域名的站点限制了境外 IP 访问,可临时将 CA 中心的 IP 地址添加到域名服务器的白名单中。

    说明

    • 获取 CA 中心 IP 地址的方法,可参见CA 中心地址,也可联系产品技术专家进行咨询,详情请参见

    • 证书签发后,建议删除已配置的 IP 白名单,以免后续申请证书时出现异常。

  • 域名服务器的网络异常。

    请联系对应的域名服务商,检查并修复网络问题。

  • 个人测试证书申请的域名包含敏感词。

    方案一:更换不含敏感词(如 edu、gov、org、jp 等国家缩写,以及 pay、bank、live、nuclear 等)的域名,重新发起申请。

    方案二:如域名无法更改,请购买 OV 或 EV 证书,或选择 vTrus(国产品牌)证书

控制台提示"文件内容不正确"怎么办?

常见原因及解决方案如下:

  1. 域名服务器下存在旧的验证文件未删除。

    1. 证书申请面板中,单击查看检测到的文件,记录已检测到的文件信息。文件信息

    2. 前往域名服务器,删除已检测到的旧文件。

      说明

      旧文件通常位于站点根目录/.well-known/pki-validation目录下。

    3. 请参见域名所有权验证,重新下载最新的验证文件并上传至域名服务器。

  2. 验证文件仅部署在 HTTP 路径下,未部署在 HTTPS 路径下。

    部分站点页面已启用 HTTPS 访问,但验证文件仅部署在 HTTP 服务路径下,未同步部署到 HTTPS 服务路径,从而导致验证失败。

    方案一:将验证文件同时部署在 HTTP 和 HTTPS 服务路径下,并确保 HTTPS 协议可正常访问。

    方案二:临时关闭对应站点涉及页面的 HTTPS 服务。

  3. 启用了 CDN 服务,但 CDN 海外节点尚未完成数据同步。

    方案一:将验证文件同步到海外 CDN 节点,或临时关闭 CDN 海外加速服务。

    方案二:如果无法更改 CDN 节点服务器配置,可在证书申请面板中,单击撤回申请,将域名验证方式修改为手动DNS验证

  4. 验证文件时间戳已过期。

    前往数字证书管理服务控制台,重新下载最新的验证文件并上传到站点指定目录。

文件验证失败的其他原因

  • www 子域名和主域名未同时覆盖验证。

    根据 CA 的验证规范,无论您申请的是主域名还是其 www 子域名,CA 都会对这两个地址同时进行检查。请务必确保两个域名下的验证文件均可被公开访问,否则验证将失败。

    说明

    www.example.comaliyundoc.com 为例,您需要确保 http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt 均可被访问,否则验证无法通过。

  • 未确保 HTTPS 服务可访问验证文件。

    如果服务器已启用 HTTPS 服务,需确保可通过HTTPS地址访问到验证文件内容,否则验证将失败。建议您临时关闭该域名的 HTTPS 服务。

    说明

    如果服务器未配置过 HTTPS 服务,只需确保HTTP地址可以访问到验证文件内容即可。

通配符域名支持文件验证吗?

不支持。详情可参见【通知】申请通配符证书不再支持文件验证

自动验证

自动验证方式是否可以更改?

不可以。如需更改验证方式,请切换至其他阿里云账号重新购买证书。购买完成后,可参见域名所有权验证完成域名所有权验证。

OV、EV 证书常见问题

CA 中心收到您的 OV 或 EV 证书申请后,将向联系人预留的邮箱发送域名验证邮件,或拨打联系人电话进行验证。常见问题如下:

可以只验证邮件而不接听电话吗?

可以,但需要回复邮件说明情况。

验证邮件有哪些?接收人是谁?

CA 中心会将域名验证邮件和订单确认邮件发送至证书申请时联系人预留的邮箱。联系人管理方法可参见管理联系人。不同证书品牌的邮件内容可能存在差异。

其他问题

控制台显示域名验证通过,但证书一直未签发?

控制台的验证结果仅供参考,控制台验证通过不代表 CA 已完成验证并签发证书,实际验证和签发结果请以 CA 中心的检测为准。一般情况下,DV 证书的签发时间为 1\~15 分钟,OV 或 EV 证书的签发时长约为 5 个自然日。以下情况可能导致证书审核时间延长:

  1. 域名存在 CAA 解析记录。

    方案一:前往云解析 DNS 控制台,在域名的解析配置页面删除记录类型为"CAA"的解析记录,完成后重新申请证书。

    方案二将证书对应的 CA 机构加入 CAA 解析记录,完成后重新申请证书。

    什么是 CAA 解析记录?

    CAA(Certification Authority Authorization,证书颁发机构授权)是一种 DNS 记录类型,域名所有者可通过 DNS 明确指定哪些 CA(证书颁发机构)被授权为其域名签发 SSL/TLS 证书,从而防止非法或错误的证书签发,提升网站安全性。

    重要

    使用 GitHub Pages 服务将域名 CNAME 到 github.io 域名时,会同步引用 github.io 的 CAA 策略,从而影响证书的签发。针对此情况,您可以在证书签发前暂停该 CNAME 记录,或在 CAA 记录中添加 trust-provider.com、globalsign.com、sectigo.com。

  2. 域名包含敏感词。

    域名中包含敏感词时,可能会触发人工审核机制,导致审核时间延长。请耐心等待人工复审结果。如果未审核通过,可更换域名重新申请。

    常见敏感词

    live、bank、banc、fund、wallet、pay、lv、nuclear、pw、asia、ban.c、alpha、test、example、credit、apple、ebay、trust、root、amazon、android、visa、google、discover、financial、wordpress、pal、hp、free、SCP等。

  3. 防火墙等安全设备影响 CA 验证。

    在政府单位、国有企业等网络隔离程度较高的环境中,CA 验证域名所有权时可能受到网络限制,导致证书长时间处于审核状态。为确保证书顺利签发,您需要在防火墙等安全设备中配置 CA 白名单。

    CA 中心 IP 地址

    CA 厂商

    IP 地址

    WoSign

    • 91.199.212.132

    • 91.199.212.133

    • 91.199.212.148

    • 91.199.212.151

    • 91.199.212.176

    • 91.212.12.132

    vTrus

    • 194.126.216.17

    • 213.222.200.26

    • 213.222.200.15

    • 213.222.201.155

    • 213.222.198.155

    DigiCert

    • 216.168.247.9

    • 64.78.193.238

    • 216.168.249.9

    GlobalSign

    • 211.123.204.251

    • 180.222.177.99

    • 114.179.250.1

    • 114.179.250.2

    • 27.115.18.218

    CFCA

    • 1.202.139.200

    • 210.74.41.60

  4. 主域名与 www 子域名未双向覆盖。

    根据 CA 的验证规范,无论您申请的是主域名(如 example.com)还是其 www 子域名(如 www.example.com),CA 都会对这两个地址同时进行检查请务必确保这两个域名下的验证文件均可被公开访问,否则验证将失败。

域名解析已生效,但控制台验证仍不通过?

无论是文件验证还是 DNS 验证,控制台的验证结果都存在一定的延迟。您无需其他操作,耐心等待即可。

控制台显示域名验证通过,但证书"审核失败"?

控制台的验证结果仅供参考,控制台验证通过不代表 CA 已完成验证并签发证书。您可参见SSL证书审核失败的原因及处理方法获取证书审核失败的解决方案。

域名解析服务商不是阿里云,是否可以申请阿里云 SSL 证书?

可以。您只需完成域名所有权验证即可,与域名服务商无关。

方案

操作方法

优点

在原服务商配置

登录当前域名管理平台,添加从阿里云获取的 SSL 证书验证记录(CNAME/TXT)。

说明

如有疑问,请联系您的域名解析服务商。

快速直接,无需转移域名。

将域名转入阿里云

参考域名转入阿里云完成转入后,在云解析 DNS 控制台完成 DNS 解析配置。

重要

域名转入时需交纳一年的续费费用,即转入价格为域名续费一年的价格。

便于后续证书续签和域名的统一管理。

SSL 证书是否可以在内网使用?

可以。新申请的证书需要 CA 中心通过公网完成域名验证,因此验证过程中需要开通公网访问权限。验证通过后关闭公网权限即可。证书签发后对使用环境没有限制,可在内网正常使用。

上一篇:SSL证书申请相关问题下一篇:如何选择域名所有权验证方式?