每次申请SSL证书时都需要配合CA机构验证域名所有权,因此通常会因为验证不及时而导致证书签发不成功或签发时间过长。为了解决该问题,阿里云提供了域名免验证授权解决方案,您可以在域名所在的DNS解析服务商添加阿里云生成的CNAME类型的解析记录,添加完成并在数字证书管理服务控制台验证通过后,该域名在后续申请SSL证书时将不再重复DNS验证。本文为您介绍如何授权域名申请证书免验证。
限制条件
目前仅DigiCert、GeoTrust、Rapid和CFCA品牌的SSL证书支持域名免验证。
如果您的域名使用西部数码的DNS解析服务,目前暂不支持域名免验证。
步骤一:添加免DNS验证的域名
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在域名免验证授权管理页面,单击添加域名。
在添加域名面板,填写域名并选择SSL证书品牌和提醒联系人,单击确定。
支持输入多个域名,需用半角逗号(,)分隔。不支持输入公网IP。
如果阿里云检测到CNAME记录失效,则会发送消息提醒给所选联系人。
步骤二:授权域名免验证
在域名免验证授权管理页面的域名列表中,定位到目标域名,复制主机记录和记录值。
在DNS域名解析服务商添加CNAME类型的解析记录。
下面以阿里云云解析DNS为例,为您演示为域名添加DNS解析记录的过程,供您参考。如果您域名对应的DNS域名解析服务不在阿里云,请您前往域名对应的DNS域名解析商添加解析记录。
使用域名持有者所在的阿里云账号,登录云解析DNS控制台。
在域名解析页面,定位到证书绑定的域名,单击域名名称。
在解析设置页面,单击添加记录。
在添加记录面板,选择记录类型为CNAME,并添加复制的主机记录及记录值,单击确认。
重要为确保在申请SSL证书时域名免验证的能力,务必不要删除已经添加到DNS服务内的CNAME记录。
返回域名免验证授权管理页面,在操作列,单击验证,验证CNAME记录是否生效。
生效后将会提示当前域名授权成功,在后续申请对应域名的SSL证书时,可以直接选择域名授权自动化验证,无需再进行域名所有权验证。SSL证书申请操作,请参见提交证书申请。
相关操作
修改提醒联系人:在操作列,单击编辑。在编辑域名面板,修改提醒联系人。
删除域名:在操作列,单击编辑。在弹出的对话框,单击确定。