全部產品
Search
文件中心

Certificate Management Service:網域名稱所有權驗證

更新時間:Dec 04, 2024

在憑證授權單位(CA)為您的網站頒發認證之前,您需要配合CA中心驗證您擁有或可以管理憑證綁定的網域名稱。在認證申請資訊提交審核後,請您根據實際情況通過選擇網域名稱系統(DNS)、檔案或電子郵件證明您對網域名稱的所有權。本文為您介紹網域名稱所有權驗證的規則以及流程。

前提條件

已經提交認證申請,具體操作,請參見提交認證申請

網域名稱驗證方式

說明
  • 自2021年11月15日起,萬用字元網域名稱(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支援檔案驗證方式。更多資訊,請參見【通知】申請萬用字元認證不再支援檔案驗證

  • 網域名稱所有權驗證過程中,如果遇到了問題,請聯絡商務經理進行諮詢

下表為您介紹不同類型認證的網域名稱驗證方式以及操作指導。

認證類型

情境

網域名稱驗證方式

審核簽發時間長度

DV認證

DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號

自動DNS驗證:阿里雲會自動識別合格網域名稱,並自動在Alibaba Cloud DNS控制台對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權,您僅需等待認證簽發即可。為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除有衝突的TXT解析記錄。更多資訊,請參見DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號

資訊填寫正確的情況下,CA中心會在1~2個工作日內完成審核和簽發。

DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號

  • 手動DNS驗證:您需要手動在對應的DNS網域名稱解析服務商,添加一條解析記錄用於網域名稱所有權驗證。具體操作,請參見手動DNS驗證流程

  • 檔案驗證:您需要手動從數位憑證管理服務控制台下載一個專用的驗證檔案,然後將該檔案上傳到站台伺服器的指定驗證目錄。具體操作,請參見檔案驗證流程

OV或EV認證

不區分

本地郵件驗證:提交OV或EV認證申請後,CA中心一般會在1個工作日(具體時間以CA中心所在地的時間為準,如遇節假日該時間會順延)內向您提交認證申請時填寫的郵箱中發送認證初審郵件,請根據郵件提供的審核方式,並配合CA中心完成驗證。

在資訊填寫正確且積極配合CA中心驗證的情況下,CA中心會在3~7個工作日內完成審核和簽發。

DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號

如果DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號,申請DV認證時,阿里雲會自動識別該網域名稱,並預設選擇自動DNS驗證方式,且不支援修改。提交審核後,阿里雲會自動在Alibaba Cloud DNS控制台對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權。

如果您的網域名稱解析已經生效,但是在控制台單擊驗證時仍提示未檢測到DNS記錄值,是因為控制台驗證網域名稱解析結果存在一定的延遲,所以控制台顯示的驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。

重要

為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除在DNS服務內有衝突的TXT解析記錄。

DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號

申請DV認證時,如果DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號,您可以選擇以下方式進行網域名稱所有權驗證。

手動DNS驗證流程

DV認證綁定的網域名稱需為單網域名稱或萬用字元網域名稱,且您有許可權修改網域名稱的DNS解析設定(即擁有網域名稱系統管理權限)時,您可以選擇手動DNS驗證,即您需要在對應的DNS網域名稱解析服務商,手動添加一條TXT類型的解析記錄用於驗證網域名稱所有權

  1. 提交認證申請審核後,您需要在認證申請面板的驗證資訊引導頁,擷取驗證資訊。

  2. 在您的DNS解析服務商上,為網域名稱添加DNS解析記錄。

    下面以阿里雲Alibaba Cloud DNS為例,為您示範為網域名稱添加DNS解析記錄的過程,供您參考。如果您網域名稱對應的DNS網域名稱解析服務不在阿里雲,請您前往網域名稱對應的DNS網域名稱解析商添加解析記錄。

    1. 使用網域名稱持有人所在的阿里雲帳號,登入Alibaba Cloud DNS控制台

    2. 網域名稱解析頁面,定位到認證綁定的網域名稱,單擊網域名稱名稱。

    3. 解析設定頁面,單擊添加記錄

    4. 添加記錄面板,添加步驟1擷取到的驗證資訊(記錄類型、主機記錄及記錄值),然後單擊確認

      TXT記錄類型的添加示意圖如下:數位憑證管理服務控制台(左圖)、Alibaba Cloud DNS控制台(右圖)

      image.png

      添加完成後,您可以在記錄列表中查看已添加的記錄。

      • 新增的解析記錄即時生效。

      • 刪除或修改解析記錄取決於本地DNS緩衝的解析記錄的TTL到期時間,一般預設為10分鐘。

      • 修改DNS伺服器解析預設生效時間為48小時。例如您將網域名稱DNS解析服務遷移至阿里雲DNS解析,在配置解析記錄後,會在48小時後生效。

      重要

      在認證簽發之前,請勿刪除已添加的網域名稱解析記錄,否則會導致認證簽發失敗。建議您在認證簽發後刪除TXT解析記錄,以避免後續添加解析記錄時發生衝突。

  3. 成功配置解析記錄後,返回數位憑證管理服務控制台認證申請時的驗證資訊引導頁,單擊驗證

    如果您的網域名稱解析已經生效,但是在控制台單擊驗證時仍提示未檢測到DNS記錄值,是因為控制台驗證網域名稱解析結果存在一定的延遲,且控制台顯示的驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。

    重要

    如果網域名稱解析記錄中包含CAA記錄,請您確認是否與當前認證品牌一致。如果非當前認證品牌的CAA記錄,您需要刪除該CAA記錄,否則認證將不會簽發。更多關於DNS驗證問題,請參見網域名稱所有權驗證相關問題

檔案驗證流程

DV認證綁定的網域名稱為單網域名稱(aliyundoc.com)時,支援檔案驗證方式。您在提交認證申請審核後,需要下載驗證檔案,然後將解壓後的檔案上傳到站台伺服器的指定驗證目錄(.well-known/pki-validation/)。CA中心將會依次嘗試訪問HTTPS地址HTTP地址(443連接埠和80連接埠),驗證是否可以訪問到驗證檔案內容,驗證通過後,將為您簽發認證。

重要
  • 目前CA中心僅支援向80、443連接埠發起驗證請求,因此您的伺服器需開放80、443連接埠。

  • 伺服器如果有HTTPS服務,一定確保可通過HTTPS地址訪問到驗證檔案內容(認證需保證可信),否則建議您暫時關閉該網域名稱的HTTPS服務,以免影響驗證;伺服器如果未配置過HTTPS服務,需確保HTTP地址可以訪問到驗證檔案內容。

  • 訪問HTTPS地址HTTP地址地址不能存在301或302跳轉。如存在此類重新導向跳轉,請取消相關設定關閉跳轉。 您可使用wget -S <URL地址>命令檢測該驗證URL地址是否存在跳轉。

  • 如果申請的是國際品牌認證(例如DigiCert、GlobalSign),您需要確保網域名稱伺服器可通過中國境外的網路訪問。建議您在網域名稱伺服器中臨時將CA中心的IP地址添加到白名單中,確保CA中心可以正常訪問您的網域名稱伺服器,完成網域名稱所有權驗證。如何擷取CA中心IP地址,請聯絡商務經理進行諮詢

  • 如果您的網域名稱為頂層網域(例如,aliyundoc.com),您需要確保該網域名稱以www.為起始的次層網域也可被訪問。以aliyundoc.com網域名稱為例,您需要同時確保http://aliyundoc.com/.well-known/pki-validation/fileauth.txthttp://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被訪問,否則驗證將不通過。

  • 如果您的網域名稱是以www.為起始的次層網域(例如:www.example.com),您需要確保該網域名稱對應的頂層網域也可被訪問。以www.example.com網域名稱為例,您需要同時確保http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt都可被訪問,否則驗證將不通過。

上傳驗證檔案樣本流程如下:

  1. 提交認證申請審核後,在下載驗證檔案地區,單擊驗證檔案,下載專有驗證檔案壓縮包到本機電腦並解壓縮。

    image.png

    下載的檔案是一個ZIP壓縮包,將其解壓縮後可以獲得fileauth.txt專有驗證檔案。該檔案僅在下載後的3天內有效,如果您逾期未完成檔案驗證,則需要重新下載專有驗證檔案。

    重要

    下載並解壓縮獲得專有驗證檔案後,請勿對檔案執行任何操作,例如,開啟、編輯、重新命名等。

  2. 下面以安裝在阿里雲Elastic Compute Service上的Nginx(Linux版本)為例,為您介紹如何進行檔案驗證配置。

    說明

    建議由伺服器管理員進行操作。

    1. 串連Elastic Compute Service。具體操作,請參見串連執行個體

    2. 依次執行以下命令,在伺服器的Web根目錄(Nginx服務預設為/var/www/html/)下建立檔案驗證目錄(.well-known/pki-validation/)。

      cd /var/www/html
      mkdir -p .well-known/pki-validation
    3. 將驗證檔案fileauth.txt上傳到驗證目錄(/var/www/html/.well-known/pki-validation/)。

      您可以使用遠程登入工具附帶的本地檔案上傳功能,上傳檔案。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里雲Elastic Compute Service,上傳檔案具體操作,請參見上傳或下載檔案(Windows)上傳檔案到Linux雲端服務器

      重要

      在認證簽發前,請勿刪除伺服器中的專有驗證檔案,否則會導致認證簽發失敗。

  3. 成功上傳fileauth.txt驗證檔案後,返回數位憑證管理服務控制台認證申請面板,訪問URL地址(HTTPS地址HTTP地址),確保能夠訪問到驗證檔案內容。

    數位憑證管理服務控制台驗證檔案會有延遲,單擊驗證會出現未檢測到檔案的情況,請您耐心等待。如果1個工作日後仍然未驗證成功,請您檢查檔案是否上傳正確。控制台驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。

相關問題