如果您是首次添加域名,需要驗證是否擁有主域名的歸屬權。驗證通過后,您再次添加該主域名下的任意域名時,無需再次驗證。本文介紹如何進行域名歸屬權驗證。
應用場景
通過如下方式,首次添加域名時,需要進行域名歸屬權驗證:
通過CNAME接入將域名添加到WAF。具體操作,請參見添加域名(WAF 3.0)、添加域名(WAF 2.0)。
在資產中心手動添加域名資產。具體操作,請參見資產中心(WAF 3.0)。
驗證方法
方法一:DNS解析驗證(推薦)
DNS解析驗證需要在DNS解析服務商,根據WAF控制臺提供的TXT記錄值,手動添加一條解析記錄用于域名所有權驗證。
前提條件
您有權限修改域名的DNS解析設置,即擁有域名管理權限。
操作步驟
訪問域名所有權驗證頁面。
填寫域名后,單擊任意空白處。
在驗證提示區域,單擊方法1:DNS解析驗證頁簽。
重要DNS解析驗證偶爾會出現驗證失敗的情況,在驗證完成前請不要關閉接入域名面板。如果DNS解析驗證失敗,您也可以嘗試使用文件驗證。具體操作,請參見方法二:文件驗證。
根據WAF控制臺提供的記錄類型、主機記錄、記錄值,在您的域名解析服務商,添加TXT記錄。
下文以阿里云的云解析DNS為例介紹如何添加TXT記錄,在其他域名解析服務商的配置方法類似。
登錄云解析DNS控制臺。
等待TXT解析生效。
如果系統提示驗證失敗,請檢查TXT記錄是否填寫正確。
不同系統TXT解析生效成功示例如下所示:
說明域名首次配置TXT解析記錄后將會實時生效,修改TXT解析記錄通常會在10分鐘后生效(具體生效時間長短取決于域名DNS解析配置的TTL時長,默認為10分鐘)。
如果Linux系統沒有安裝dig命令程序,可以在Linux系統內運行
yum install bind-utils
來安裝。
D:\example>nslookup -qt=txt verification.example.com DNS request timed out. timeout was 2 seconds. 服務器: UnKnown Address: 10.10.XX.XX DNS request timed out. timeout was 2 seconds. 非權威應答: verification.example.com text = "verify_165871adfd49413894ec9d3555e5****"
[rot@example ~]# dig verification.example.com txt ; << > > DiG 9.11.26-RedHat-9.11.26-3.1.al8 << > > verification.example.com txt ;; global options: +cmd ;; Got answer: ;; - > >HEADER<<- opcode: QUERY, status: NOERROR, id: 63246 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; COOKIE: 13561416e9b77d0701000000615fb0d7304d137ea064**** (good) ;; QUESTION SECTION: ;verification.example.com. IN TXT ;; ANSWER SECTION: verification.example.com. 600 IN TXT "verify_165871adfd49413894ec9d3555e5****" ;; Query time: 152 msec ;; SERVER: 100.100.XX.XX#53(100.100.XX.XX) ;; WHEN: Fri May 26 10:45:43 CST 2023 ;; MSG SIZE rcvd: 143
返回WAF控制臺,單擊點擊驗證。
顯示驗證成功,表示域名已通過歸屬權驗證。如果驗證失敗,請根據控制臺提示的失敗原因,修改相關配置后,再次驗證。DNS驗證失敗的解決辦法,請參見常見問題。
方法二:文件驗證
文件驗證需要將WAF提供的驗證文檔上傳到域名源站服務器的指定根目錄,用于域名所有權驗證。
訪問域名所有權驗證頁面。
填寫域名后,單擊任意空白處。
在驗證提示區域,單擊方法1:DNS解析驗證頁簽。
重要在驗證完成前請不要關閉接入域名面板。
單擊下載驗證文件鏈接(圖示①),下載驗證文件。
重要驗證文件僅在下載后的3天內有效,如果您逾期未完成文件驗證,則需要重新下載。
請勿對驗證文件執行任何操作,例如打開、編輯、重命名等。
手動將驗證文件上傳到控制臺提示的域名源站服務器(例如您的ECS、OSS、CVM、COS、EC2等)根目錄(圖示②)。
說明如果您添加的域名為通配符域名,例如
*.aliyun.com
,那么您需要將驗證文檔上傳到aliyun.com
的根目錄。上傳完成后,你可以參考如下方法,查看驗證文檔是否上傳成功。
在指定根目錄,查看驗證文件。
執行如下命令,查看驗證文檔。
WAF系統后臺將根據選擇的協議類型,訪問您的源站,獲取驗證文件,判斷您是否按要求上傳了指定的驗證文件,請確保驗證文件可被訪問。
返回WAF控制臺,單擊點擊驗證。
顯示驗證成功,表示域名已通過歸屬權驗證。如果驗證失敗,請根據控制臺提示的失敗原因,修改相關配置后,再次驗證。具體解決辦法,請參見常見問題。
常見問題
驗證類型 | 問題描述 | 問題現象 | 解決方案 |
DNS解析驗證 | TXT記錄值為空 | DNS驗證結果顯示:當前域名的TXT記錄值為空。 | 由于DNS記錄配置完后不會立即生效(具體生效時間為您域名服務器中設置的TTL緩存時間),建議您等待10分鐘后,執行驗證操作。 如果驗證仍失敗,請您重新為該域名添加一條DNS解析記錄。具體操作,請參見方法一:DNS解析驗證(推薦)。 |
TXT記錄值不一致 | DNS驗證結果顯示:當前域名的TXT記錄值不為指定值。 | 您可以參考以下步驟,在域名解析服務商刪除不匹配解析記錄,并重新為該域名添加一條解析記錄。
| |
文件驗證 | 無法訪問域名 | 文件驗證結果顯示:無法訪問域名。 |
|
驗證文件不存在 | 文件驗證結果顯示:驗證文件不存在。 | 您可能未在域名源站服務器根目錄上傳驗證文件或上傳驗證文件失敗。請您重新下載驗證文件并上傳至服務器。具體操作,請參見方法二:文件驗證。 | |
文件內容不正確 | 文件驗證結果顯示:文件內容不正確。 |
|
相關文檔
如果您想了解如何將網站域名添加到Web應用防火墻中進行安全防護,請參見添加域名(WAF 3.0)。
如果您想梳理阿里云云上、云下的域名資產,根據資產在云上的攻擊態勢,進行風險等級評估并為風險等級較高的域名資產開啟防護,請參見資產中心(WAF 3.0)。