本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
在证书颁发机构(CA)为您的网站颁发证书之前,您需要协作CA中心,验证您证书绑定的域名的所有权或管理权限。在证书申请信息提交审核后,请您根据实际情况通过选择域名系统(DNS)、文件或电子邮件证明您对域名的所有权。本文为您介绍域名所有权验证的规则以及流程。
前提条件
验证结果说明
控制台验证结果仅供参考,控制台验证通过不代表完成CA验证并签发证书,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~5个工作日,请您耐心等待。
DV证书控制台验证域名解析结果存在一定的延迟,会导致控制台验证失败。如果您的域名解析已经生效,控制台仍提示“未检测DNS记录值”或“未检测到文件”等提示信息,您无需其他操作,请耐心等待即可。
OV、EV由于需要人工验证,签发时间可能较长,平均签发时长为5个自然日,请及时注意您的邮箱和电话,CA中心会在工作日的白天与您取得联系。
如果长时间未签发,请先确认域名解析配置是否正确。对于非阿里云DNS域名解析服务,请咨询对应服务商,了解解析配置情况。
域名所有权验证过程中,如果遇到了问题,可参考域名所有权验证相关问题获取解决方案,也可请联系产品技术专家进行咨询,详情请参见专家一对一服务。
若您的SSL证书审核失败,可参考申请SSL证书出现审核失败的原因及处理方法获取解决方案。
域名验证方式
自2021年11月15日起,通配符域名(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支持文件验证方式。更多信息,请参见【通知】申请通配符证书不再支持文件验证。
如果您在域名所有权验证阶段需要专业的技术支持,希望快速签发证书,推荐您购买证书申请协助服务。更多信息,请参见购买证书申请协助和部署服务。
下表为您介绍不同类型证书的域名验证方式以及操作指导。
证书类型 | 场景 | 域名验证方式 | 审核签发时长 |
DV证书 | DNS域名解析服务与证书申请者属于同一阿里云账号 | 自动DNS验证:阿里云会自动识别符合条件的域名,并自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权,您仅需等待证书签发即可。更多信息,请参见DNS域名解析服务与证书申请者属于同一阿里云账号。 | 信息填写正确的情况下,证书平均签发时长为1~15分钟。 |
DNS域名解析服务与证书申请者不属于同一阿里云账号 | |||
OV或EV证书 | 不区分 | 本地邮件验证:提交OV或EV证书申请后,CA中心一般会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件,请根据邮件提供的审核方式,并配合CA中心完成验证。 | 在信息填写正确且积极配合CA中心验证的情况下,平均签发时长为5个自然日。 |
DNS域名解析服务与证书申请者属于同一阿里云账号
如果DNS域名解析服务与证书申请者属于同一阿里云账号,申请DV证书时,阿里云会自动识别该域名,并默认选择自动DNS验证方式,且不支持修改,若需要更改验证方式请切换至其他阿里云账号进行证书购买申请。提交审核后,阿里云会自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权。
为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除在DNS服务内有冲突的TXT解析记录。
控制台验证域名解析结果存在一定的延迟,如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,无需其他操作,请耐心等待即可。
DNS域名解析服务与证书申请者不属于同一阿里云账号
申请DV证书时,如果DNS域名解析服务与证书申请者不属于同一阿里云账号,您可以选择以下方式进行域名所有权验证。
手动DNS验证流程
DV证书绑定的域名需为单域名或通配符域名,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)时,您可以选择手动DNS验证,即您需要在对应的DNS域名解析服务商,手动添加一条CNAME或TXT类型的解析记录用于验证域名所有权。
CNAME记录:在DNS中为域名添加一条别名,该别名由阿里云生成。选择CNAME记录,后续为该域名申请同品牌同类型的SSL证书时,将不再重复进行域名所有权验证,可有效避免因为域名所有权验证不及时而导致证书签发不成功或签发时间过长。目前仅DigiCert、GeoTrust、Rapid、Wosign和CFCA品牌的SSL证书支持通过CNAME记录验证域名所有权。
TXT记录: 在DNS中为域名添加一条用于验证域名所有权的文本信息,该文本由阿里云生成。选择TXT记录,在每次申请证书时都需要在DNS中添加记录进行域名所权验证。
Wosign品牌证书仅支持通过CNAME记录验证域名所有权,不支持TXT记录。
如果您的域名使用西部数码的DNS解析服务,目前暂不支持通过CNAME记录验证域名所有权。
下文以添加TXT解析记录为例,向您介绍域名验证流程:
提交证书申请审核后,您需要在证书申请面板的验证信息引导页,获取验证授权验证类型、主机记录与记录值。
在您的DNS解析服务商上,为域名添加DNS解析记录,本文以阿里云云解析DNS为例:
如果您域名对应的DNS域名解析服务不在阿里云,请您前往域名对应的DNS域名解析商添加解析记录。
使用域名持有者所在的阿里云账号,登录云解析DNS控制台。
在权威域名页签页,找到证书绑定的域名,单击操作列解析设置按钮。
在解析设置页面,单击添加记录。
在添加记录面板,添加步骤一获取到的验证信息(记录类型、主机记录及记录值),然后单击确认。
TXT记录类型的添加示意图如下:数字证书管理服务控制台(左图)、云解析DNS控制台(右图)。
添加完成后,您可以在记录列表中查看已添加的记录。
新增的解析记录实时生效。
删除或修改解析记录取决于本地DNS缓存的解析记录的TTL到期时间,一般默认为10分钟。
修改DNS服务器解析默认生效时间为48小时。例如您将域名DNS解析服务迁移至阿里云DNS解析,在配置解析记录后,会在48小时后生效。
警告在证书签发之前,请勿删除已添加的域名解析记录,否则会导致证书签发失败。建议您在证书签发后删除TXT解析记录,以避免后续添加解析记录时发生冲突。
文件验证流程
DV证书绑定的域名为单域名(aliyundoc.com)时,支持文件验证方式。您在提交证书申请审核后,需要下载验证文件,然后将解压后的文件上传到站点服务器的指定验证目录(.well-known/pki-validation/)。CA中心将会依次尝试访问HTTPS地址和HTTP地址(443端口和80端口),验证是否可以访问到验证文件内容,验证通过后,将为您签发证书。
目前CA中心仅支持向80、443端口发起验证请求,因此您的服务器需开放80、443端口。
如果申请的是国际品牌证书(例如DigiCert、GlobalSign),您需要确保域名服务器可通过中国境外的网络访问。建议您在域名服务器中临时将CA中心的IP地址添加到白名单中,确保CA中心可以正常访问您的域名服务器,完成域名所有权验证。如何获取CA中心IP地址,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
文件验证示例流程:
提交证书申请审核后,在下载验证文件区域,单击验证文件,下载专有验证文件压缩包到本地计算机并解压缩。下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
相关文档
如果您遇到DNS检测长时间没有通过,遇到文件内容不正确、DNS记录值不匹配、DNS验证超时等问题,请参考域名所有权验证相关问题获取解决方案。
当SSL证书审核失败时,请参考申请SSL证书出现审核失败的原因及处理方法获取解决方案。