域名所有权验证

在证书颁发机构(CA)为您的网站颁发证书之前,您需要配合CA中心验证您拥有或可以管理证书绑定的域名。在证书申请信息提交审核后,请您根据实际情况通过选择域名系统(DNS)、文件或电子邮件证明您对域名的所有权。本文为您介绍域名所有权验证的规则以及流程。

前提条件

已经提交证书申请,具体操作,请参见提交证书申请

域名验证方式

说明

下表为您介绍不同类型证书的域名验证方式以及操作指导。

证书类型

场景

域名验证方式

审核签发时长

DV证书

DNS域名解析服务与证书申请者属于同一阿里云账号

自动DNS验证:阿里云会自动识别符合条件的域名,并自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权,您仅需等待证书签发即可。为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除有冲突的TXT解析记录。更多信息,请参见DNS域名解析服务与证书申请者属于同一阿里云账号

信息填写正确的情况下,CA中心会在1~2个工作日内完成审核和签发。

DNS域名解析服务与证书申请者不属于同一阿里云账号

  • 手动DNS验证:您需要手动在对应的DNS域名解析服务商,添加一条解析记录用于域名所有权验证。具体操作,请参见手动DNS验证流程

  • 文件验证:您需要手动从数字证书管理服务控制台下载一个专用的验证文件,然后将该文件上传到站点服务器的指定验证目录。具体操作,请参见文件验证流程

OV或EV证书

不区分

本地邮件验证:提交OV或EV证书申请后,CA中心一般会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件,请根据邮件提供的审核方式,并配合CA中心完成验证。

在信息填写正确且积极配合CA中心验证的情况下,CA中心会在3~7个工作日内完成审核和签发。

DNS域名解析服务与证书申请者属于同一阿里云账号

如果DNS域名解析服务与证书申请者属于同一阿里云账号,申请DV证书时,阿里云会自动识别该域名,并默认选择自动DNS验证方式,且不支持修改。提交审核后,阿里云会自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权。

如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,是因为控制台验证域名解析结果存在一定的延迟,所以控制台显示的验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。

重要

为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除在DNS服务内有冲突的TXT解析记录。

DNS域名解析服务与证书申请者不属于同一阿里云账号

申请DV证书时,如果DNS域名解析服务与证书申请者不属于同一阿里云账号,您可以选择以下方式进行域名所有权验证。

手动DNS验证流程

DV证书绑定的域名需为单域名或通配符域名,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)时,您可以选择手动DNS验证,即您需要在对应的DNS域名解析服务商,手动添加一条CNAME或TXT类型的解析记录用于验证域名所有权

重要
  • 不同证书品牌所生成的记录类型可能存在差异(例如,Wosign品牌证书的记录类型仅为CNAME),故实际记录类型请以页面显示为准。

  • 如果您已在数字证书管理服务控制台添加域名免验证授权,则无需再次手动添加DNS解析记录,等待证书签发即可。域名免验证授权详情,请参见添加并授权免DNS验证的域名

下文以添加TXT解析记录为例,向您介绍域名验证流程:

  1. 提交证书申请审核后,您需要在证书申请面板的验证信息引导页,获取验证信息。

    image

  2. 在您的DNS解析服务商上,为域名添加DNS解析记录。

    下面以阿里云云解析DNS为例,为您演示为域名添加DNS解析记录的过程,供您参考。如果您域名对应的DNS域名解析服务不在阿里云,请您前往域名对应的DNS域名解析商添加解析记录。

    1. 使用域名持有者所在的阿里云账号,登录云解析DNS控制台

    2. 域名解析页面,定位到证书绑定的域名,单击域名名称。

    3. 解析设置页面,单击添加记录

    4. 添加记录面板,添加步骤1获取到的验证信息(记录类型、主机记录及记录值),然后单击确认

      TXT记录类型的添加示意图如下:数字证书管理服务控制台(左图)、云解析DNS控制台(右图)

      image.png

      添加完成后,您可以在记录列表中查看已添加的记录。

      • 新增的解析记录实时生效。

      • 删除或修改解析记录取决于本地DNS缓存的解析记录的TTL到期时间,一般默认为10分钟。

      • 修改DNS服务器解析默认生效时间为48小时。例如您将域名DNS解析服务迁移至阿里云DNS解析,在配置解析记录后,会在48小时后生效。

      重要

      在证书签发之前,请勿删除已添加的域名解析记录,否则会导致证书签发失败。建议您在证书签发后删除TXT解析记录,以避免后续添加解析记录时发生冲突。

  3. 成功配置解析记录后,返回数字证书管理服务控制台证书申请时的验证信息引导页,单击验证

    如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,是因为控制台验证域名解析结果存在一定的延迟,且控制台显示的验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。

    重要

    如果域名解析记录中包含CAA记录,请您确认是否与当前证书品牌一致。如果非当前证书品牌的CAA记录,您需要删除该CAA记录,否则证书将不会签发。更多关于DNS验证问题,请参见域名所有权验证相关问题

文件验证流程

DV证书绑定的域名为单域名(aliyundoc.com)时,支持文件验证方式。您在提交证书申请审核后,需要下载验证文件,然后将解压后的文件上传到站点服务器的指定验证目录(.well-known/pki-validation/)。CA中心将会依次尝试访问HTTPS地址HTTP地址(443端口和80端口),验证是否可以访问到验证文件内容,验证通过后,将为您签发证书。

重要
  • 目前CA中心仅支持向80、443端口发起验证请求,因此您的服务器需开放80、443端口。

  • 服务器如果有HTTPS服务,一定确保可通过HTTPS地址访问到验证文件内容(证书需保证可信),否则建议您暂时关闭该域名的HTTPS服务,以免影响验证;服务器如果未配置过HTTPS服务,需确保HTTP地址可以访问到验证文件内容。

  • 访问HTTPS地址HTTP地址地址不能存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。 您可使用wget -S <URL地址>命令检测该验证URL地址是否存在跳转。

  • 如果申请的是国际品牌证书(例如DigiCert、GlobalSign),您需要确保域名服务器可通过中国境外的网络访问。建议您在域名服务器中临时将CA中心的IP地址添加到白名单中,确保CA中心可以正常访问您的域名服务器,完成域名所有权验证。如何获取CA中心IP地址,请联系产品技术专家进行咨询,详情请参见专家一对一服务

  • 如果您的域名为一级域名(例如,aliyundoc.com),您需要确保该域名以www.为起始的二级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://aliyundoc.com/.well-known/pki-validation/fileauth.txthttp://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

  • 如果您的域名是以www.为起始的二级域名(例如:www.example.com),您需要确保该域名对应的一级域名也可被访问。以www.example.com域名为例,您需要同时确保http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

上传验证文件示例流程如下:

  1. 提交证书申请审核后,在下载验证文件区域,单击验证文件,下载专有验证文件压缩包到本地计算机并解压缩。

    image.png

    下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。

    重要

    下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。

  2. 下面以安装在阿里云云服务器ECS上的Nginx(Linux版本)为例,为您介绍如何进行文件验证配置。

    说明

    建议由服务器管理员进行操作。

    1. 连接云服务器ECS。具体操作,请参见ECS远程连接方式概述

    2. 依次执行以下命令,在服务器的Web根目录(Nginx服务默认为/var/www/html/)下创建文件验证目录(.well-known/pki-validation/)。

      cd /var/www/html
      mkdir -p .well-known/pki-validation
    3. 将验证文件fileauth.txt上传到验证目录(/var/www/html/.well-known/pki-validation/)。

      您可以使用远程登录工具附带的本地文件上传功能,上传文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服务器 ECS,上传文件具体操作,请参见上传或下载文件(Windows)上传文件到Linux云服务器

      重要

      在证书签发前,请勿删除服务器中的专有验证文件,否则会导致证书签发失败。

  3. 成功上传fileauth.txt验证文件后,返回数字证书管理服务控制台证书申请面板,访问URL地址(HTTPS地址HTTP地址),确保能够访问到验证文件内容。

    数字证书管理服务控制台验证文件会有延迟,单击验证会出现未检测到文件的情况,请您耐心等待。如果1个工作日后仍然未验证成功,请您检查文件是否上传正确。控制台验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。

相关问题