在證書頒發機構(CA)為您的網站頒發證書之前,您需要配合CA中心驗證您擁有或可以管理證書綁定的域名。在證書申請信息提交審核后,請您根據實際情況通過選擇域名系統(DNS)、文件或電子郵件證明您對域名的所有權。本文為您介紹域名所有權驗證的規則以及流程。
前提條件
已經提交證書申請,具體操作,請參見提交證書申請。
域名驗證方式
自2021年11月15日起,通配符域名(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支持文件驗證方式。更多信息,請參見【通知】申請通配符證書不再支持文件驗證。
如果您在域名所有權驗證階段需要專業的技術支持,希望快速簽發證書,推薦您購買證書申請協助服務。更多信息,請參見購買證書申請協助和部署服務。
域名所有權驗證過程中,如果遇到了問題,請聯系產品技術專家進行咨詢,詳情請參見專家一對一服務。
下表為您介紹不同類型證書的域名驗證方式以及操作指導。
證書類型 | 場景 | 域名驗證方式 | 審核簽發時長 |
DV證書 | DNS域名解析服務與證書申請者屬于同一阿里云賬號 | 自動DNS驗證:阿里云會自動識別符合條件的域名,并自動在云解析DNS控制臺對應的域名中添加一條解析記錄,用于驗證域名所有權,您僅需等待證書簽發即可。為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除有沖突的TXT解析記錄。更多信息,請參見DNS域名解析服務與證書申請者屬于同一阿里云賬號。 | 信息填寫正確的情況下,CA中心會在1~2個工作日內完成審核和簽發。 |
DNS域名解析服務與證書申請者不屬于同一阿里云賬號 | |||
OV或EV證書 | 不區分 | 本地郵件驗證:提交OV或EV證書申請后,CA中心一般會在1個工作日(具體時間以CA中心所在地的時間為準,如遇節假日該時間會順延)內向您提交證書申請時填寫的郵箱中發送證書初審郵件,請根據郵件提供的審核方式,并配合CA中心完成驗證。 | 在信息填寫正確且積極配合CA中心驗證的情況下,CA中心會在3~7個工作日內完成審核和簽發。 |
DNS域名解析服務與證書申請者屬于同一阿里云賬號
如果DNS域名解析服務與證書申請者屬于同一阿里云賬號,申請DV證書時,阿里云會自動識別該域名,并默認選擇自動DNS驗證方式,且不支持修改。提交審核后,阿里云會自動在云解析DNS控制臺對應的域名中添加一條解析記錄,用于驗證域名所有權。
如果您的域名解析已經生效,但是在控制臺單擊驗證時仍提示未檢測到DNS記錄值,是因為控制臺驗證域名解析結果存在一定的延遲,所以控制臺顯示的驗證結果僅供參考,實際驗證和簽發結果請以CA中心檢測為準。一般情況下,證書的審核和簽發需要1~2個工作日,請您耐心等待。
為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除在DNS服務內有沖突的TXT解析記錄。
DNS域名解析服務與證書申請者不屬于同一阿里云賬號
申請DV證書時,如果DNS域名解析服務與證書申請者不屬于同一阿里云賬號,您可以選擇以下方式進行域名所有權驗證。
手動DNS驗證流程
DV證書綁定的域名需為單域名或通配符域名,且您有權限修改域名的DNS解析設置(即擁有域名管理權限)時,您可以選擇手動DNS驗證,即您需要在對應的DNS域名解析服務商,手動添加一條CNAME或TXT類型的解析記錄用于驗證域名所有權。
不同證書品牌所生成的記錄類型可能存在差異(例如,Wosign品牌證書的記錄類型僅為CNAME),故實際記錄類型請以頁面顯示為準。
如果您已在數字證書管理服務控制臺添加域名免驗證授權,則無需再次手動添加DNS解析記錄,等待證書簽發即可。域名免驗證授權詳情,請參見添加并授權免DNS驗證的域名。
下文以添加TXT解析記錄為例,向您介紹域名驗證流程:
提交證書申請審核后,您需要在證書申請面板的驗證信息引導頁,獲取驗證信息。
在您的DNS解析服務商上,為域名添加DNS解析記錄。
下面以阿里云云解析DNS為例,為您演示為域名添加DNS解析記錄的過程,供您參考。如果您域名對應的DNS域名解析服務不在阿里云,請您前往域名對應的DNS域名解析商添加解析記錄。
使用域名持有者所在的阿里云賬號,登錄云解析DNS控制臺。
在域名解析頁面,定位到證書綁定的域名,單擊域名名稱。
在解析設置頁面,單擊添加記錄。
在添加記錄面板,添加步驟1獲取到的驗證信息(記錄類型、主機記錄及記錄值),然后單擊確認。
TXT記錄類型的添加示意圖如下:數字證書管理服務控制臺(左圖)、云解析DNS控制臺(右圖)。
添加完成后,您可以在記錄列表中查看已添加的記錄。
新增的解析記錄實時生效。
刪除或修改解析記錄取決于本地DNS緩存的解析記錄的TTL到期時間,一般默認為10分鐘。
修改DNS服務器解析默認生效時間為48小時。例如您將域名DNS解析服務遷移至阿里云DNS解析,在配置解析記錄后,會在48小時后生效。
重要在證書簽發之前,請勿刪除已添加的域名解析記錄,否則會導致證書簽發失敗。建議您在證書簽發后刪除TXT解析記錄,以避免后續添加解析記錄時發生沖突。
成功配置解析記錄后,返回數字證書管理服務控制臺證書申請時的驗證信息引導頁,單擊驗證。
如果您的域名解析已經生效,但是在控制臺單擊驗證時仍提示未檢測到DNS記錄值,是因為控制臺驗證域名解析結果存在一定的延遲,且控制臺顯示的驗證結果僅供參考,實際驗證和簽發結果請以CA中心檢測為準。一般情況下,證書的審核和簽發需要1~2個工作日,請您耐心等待。
重要如果域名解析記錄中包含CAA記錄,請您確認是否與當前證書品牌一致。如果非當前證書品牌的CAA記錄,您需要刪除該CAA記錄,否則證書將不會簽發。更多關于DNS驗證問題,請參見域名所有權驗證相關問題。
文件驗證流程
DV證書綁定的域名為單域名(aliyundoc.com)時,支持文件驗證方式。您在提交證書申請審核后,需要下載驗證文件,然后將解壓后的文件上傳到站點服務器的指定驗證目錄(.well-known/pki-validation/)。CA中心將會依次嘗試訪問HTTPS地址和HTTP地址(443端口和80端口),驗證是否可以訪問到驗證文件內容,驗證通過后,將為您簽發證書。
目前CA中心僅支持向80、443端口發起驗證請求,因此您的服務器需開放80、443端口。
服務器如果有HTTPS服務,一定確保可通過HTTPS地址訪問到驗證文件內容(證書需保證可信),否則建議您暫時關閉該域名的HTTPS服務,以免影響驗證;服務器如果未配置過HTTPS服務,需確保HTTP地址可以訪問到驗證文件內容。
訪問HTTPS地址和HTTP地址地址不能存在301或302跳轉。如存在此類重定向跳轉,請取消相關設置關閉跳轉。 您可使用
wget -S <URL地址>命令檢測該驗證URL地址是否存在跳轉。如果申請的是國際品牌證書(例如DigiCert、GlobalSign),您需要確保域名服務器可通過中國境外的網絡訪問。建議您在域名服務器中臨時將CA中心的IP地址添加到白名單中,確保CA中心可以正常訪問您的域名服務器,完成域名所有權驗證。如何獲取CA中心IP地址,請聯系產品技術專家進行咨詢,詳情請參見專家一對一服務。
如果您的域名為一級域名(例如,
aliyundoc.com),您需要確保該域名以www.為起始的二級域名也可被訪問。以aliyundoc.com域名為例,您需要同時確保http://aliyundoc.com/.well-known/pki-validation/fileauth.txt和http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被訪問,否則驗證將不通過。如果您的域名是以
www.為起始的二級域名(例如:www.example.com),您需要確保該域名對應的一級域名也可被訪問。以www.example.com域名為例,您需要同時確保http://www.example.com/.well-known/pki-validation/fileauth.txt和http://example.com/.well-known/pki-validation/fileauth.txt都可被訪問,否則驗證將不通過。
上傳驗證文件示例流程如下:
提交證書申請審核后,在下載驗證文件區域,單擊驗證文件,下載專有驗證文件壓縮包到本地計算機并解壓縮。
下載的文件是一個ZIP壓縮包,將其解壓縮后可以獲得fileauth.txt專有驗證文件。該文件僅在下載后的3天內有效,如果您逾期未完成文件驗證,則需要重新下載專有驗證文件。
重要下載并解壓縮獲得專有驗證文件后,請勿對文件執行任何操作,例如,打開、編輯、重命名等。
下面以安裝在阿里云云服務器ECS上的Nginx(Linux版本)為例,為您介紹如何進行文件驗證配置。
說明建議由服務器管理員進行操作。
連接云服務器ECS。具體操作,請參見ECS遠程連接方式概述。
依次執行以下命令,在服務器的Web根目錄(Nginx服務默認為/var/www/html/)下創建文件驗證目錄(.well-known/pki-validation/)。
cd /var/www/html mkdir -p .well-known/pki-validation將驗證文件fileauth.txt上傳到驗證目錄(/var/www/html/.well-known/pki-validation/)。
您可以使用遠程登錄工具附帶的本地文件上傳功能,上傳文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服務器 ECS,上傳文件具體操作,請參見上傳或下載文件(Windows)或上傳文件到Linux云服務器。
重要在證書簽發前,請勿刪除服務器中的專有驗證文件,否則會導致證書簽發失敗。
成功上傳fileauth.txt驗證文件后,返回數字證書管理服務控制臺證書申請面板,訪問URL地址(HTTPS地址和HTTP地址),確保能夠訪問到驗證文件內容。
數字證書管理服務控制臺驗證文件會有延遲,單擊驗證會出現未檢測到文件的情況,請您耐心等待。如果1個工作日后仍然未驗證成功,請您檢查文件是否上傳正確。控制臺驗證結果僅供參考,實際驗證和簽發結果請以CA中心檢測為準。一般情況下,證書的審核和簽發需要1~2個工作日,請您耐心等待。