全部產品
Search

搜尋本產品

    Certificate Management Service:網域名稱所有權驗證

    文件中心

    Certificate Management Service:網域名稱所有權驗證

    更新時間:Sep 28, 2024

    在憑證授權單位(CA)為您的網站頒發認證之前,您需要配合CA中心驗證您擁有或可以管理憑證綁定的網域名稱。在認證申請資訊提交審核後,請您根據實際情況通過選擇網域名稱系統(DNS)、檔案或電子郵件證明您對網域名稱的所有權。本文為您介紹網域名稱所有權驗證的規則以及流程。

    前提條件

    已經提交認證申請,具體操作,請參見提交認證申請

    網域名稱驗證方式

    說明

    • 自2021年11月15日起,萬用字元網域名稱(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支援檔案驗證方式。更多資訊,請參見【通知】申請萬用字元認證不再支援檔案驗證

    • 網域名稱所有權驗證過程中,如果遇到了問題,請聯絡商務經理進行諮詢

    下表為您介紹不同類型認證的網域名稱驗證方式以及操作指導。

    認證類型

    情境

    網域名稱驗證方式

    審核簽發時間長度

    DV認證

    DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號

    自動DNS驗證:阿里雲會自動識別合格網域名稱,並自動在Alibaba Cloud DNS控制台對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權,您僅需等待認證簽發即可。為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除有衝突的TXT解析記錄。更多資訊,請參見DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號

    資訊填寫正確的情況下,CA中心會在1~2個工作日內完成審核和簽發。

    DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號

    • 手動DNS驗證:您需要手動在對應的DNS網域名稱解析服務商,添加一條解析記錄用於網域名稱所有權驗證。具體操作,請參見手動DNS驗證流程

    • 檔案驗證:您需要手動從數位憑證管理服務控制台下載一個專用的驗證檔案,然後將該檔案上傳到站台伺服器的指定驗證目錄。具體操作,請參見檔案驗證流程

    OV或EV認證

    不區分

    本地郵件驗證:提交OV或EV認證申請後,CA中心一般會在1個工作日(具體時間以CA中心所在地的時間為準,如遇節假日該時間會順延)內向您提交認證申請時填寫的郵箱中發送認證初審郵件,請根據郵件提供的審核方式,並配合CA中心完成驗證。

    在資訊填寫正確且積極配合CA中心驗證的情況下,CA中心會在3~7個工作日內完成審核和簽發。

    DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號

    如果DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號,申請DV認證時,阿里雲會自動識別該網域名稱,並預設選擇自動DNS驗證方式,且不支援修改。提交審核後,阿里雲會自動在Alibaba Cloud DNS控制台對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權。

    如果您的網域名稱解析已經生效,但是在控制台單擊驗證時仍提示未檢測到DNS記錄值,是因為控制台驗證網域名稱解析結果存在一定的延遲,所以控制台顯示的驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。

    重要

    為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除在DNS服務內有衝突的TXT解析記錄。

    DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號

    申請DV認證時,如果DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號,您可以選擇以下方式進行網域名稱所有權驗證。

    手動DNS驗證流程

    DV認證綁定的網域名稱需為單網域名稱或萬用字元網域名稱,且您有許可權修改網域名稱的DNS解析設定(即擁有網域名稱系統管理權限)時,您可以選擇手動DNS驗證,即您需要在對應的DNS網域名稱解析服務商,手動添加一條TXT類型的解析記錄用於驗證網域名稱所有權

    1. 提交認證申請審核後,您需要在認證申請面板的驗證資訊引導頁,擷取驗證資訊。

    2. 在您的DNS解析服務商上,為網域名稱添加DNS解析記錄。

      下面以阿里雲Alibaba Cloud DNS為例,為您示範為網域名稱添加DNS解析記錄的過程,供您參考。如果您網域名稱對應的DNS網域名稱解析服務不在阿里雲,請您前往網域名稱對應的DNS網域名稱解析商添加解析記錄。

      1. 使用網域名稱持有人所在的阿里雲帳號,登入Alibaba Cloud DNS控制台

      2. 網域名稱解析頁面,定位到認證綁定的網域名稱,單擊網域名稱名稱。

      3. 解析設定頁面,單擊添加記錄

      4. 添加記錄面板,添加步驟1擷取到的驗證資訊(記錄類型、主機記錄及記錄值),然後單擊確認

        TXT記錄類型的添加示意圖如下:數位憑證管理服務控制台(左圖)、Alibaba Cloud DNS控制台(右圖)

        image.png

        添加完成後,您可以在記錄列表中查看已添加的記錄。

        • 新增的解析記錄即時生效。

        • 刪除或修改解析記錄取決於本地DNS緩衝的解析記錄的TTL到期時間,一般預設為10分鐘。

        • 修改DNS伺服器解析預設生效時間為48小時。例如您將網域名稱DNS解析服務遷移至阿里雲DNS解析,在配置解析記錄後,會在48小時後生效。

        重要

        在認證簽發之前,請勿刪除已添加的網域名稱解析記錄,否則會導致認證簽發失敗。建議您在認證簽發後刪除TXT解析記錄,以避免後續添加解析記錄時發生衝突。

    3. 成功配置解析記錄後,返回數位憑證管理服務控制台認證申請時的驗證資訊引導頁,單擊驗證

      如果您的網域名稱解析已經生效,但是在控制台單擊驗證時仍提示未檢測到DNS記錄值,是因為控制台驗證網域名稱解析結果存在一定的延遲,且控制台顯示的驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。

      重要

      如果網域名稱解析記錄中包含CAA記錄,請您確認是否與當前認證品牌一致。如果非當前認證品牌的CAA記錄,您需要刪除該CAA記錄,否則認證將不會簽發。更多關於DNS驗證問題,請參見網域名稱所有權驗證相關問題

    檔案驗證流程

    DV認證綁定的網域名稱為單網域名稱(aliyundoc.com)時,支援檔案驗證方式。您在提交認證申請審核後,需要下載驗證檔案,然後將解壓後的檔案上傳到站台伺服器的指定驗證目錄(.well-known/pki-validation/)。CA中心將會依次嘗試訪問HTTPS地址HTTP地址(443連接埠和80連接埠),驗證是否可以訪問到驗證檔案內容,驗證通過後,將為您簽發認證。

    重要

    • 目前CA中心僅支援向80、443連接埠發起驗證請求,因此您的伺服器需開放80、443連接埠。

    • 伺服器如果有HTTPS服務,一定確保可通過HTTPS地址訪問到驗證檔案內容(認證需保證可信),否則建議您暫時關閉該網域名稱的HTTPS服務,以免影響驗證;伺服器如果未配置過HTTPS服務,需確保HTTP地址可以訪問到驗證檔案內容。

    • 訪問HTTPS地址HTTP地址地址不能存在301或302跳轉。如存在此類重新導向跳轉,請取消相關設定關閉跳轉。 您可使用wget -S <URL地址>命令檢測該驗證URL地址是否存在跳轉。

    • 如果申請的是國際品牌認證(例如DigiCert、GlobalSign),您需要確保網域名稱伺服器可通過中國境外的網路訪問。建議您在網域名稱伺服器中臨時將CA中心的IP地址添加到白名單中,確保CA中心可以正常訪問您的網域名稱伺服器,完成網域名稱所有權驗證。如何擷取CA中心IP地址,請聯絡商務經理進行諮詢

    • 如果您的網域名稱為頂層網域(例如,aliyundoc.com),您需要確保該網域名稱以www.為起始的次層網域也可被訪問。以aliyundoc.com網域名稱為例,您需要同時確保http://aliyundoc.com/.well-known/pki-validation/fileauth.txthttp://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被訪問,否則驗證將不通過。

    • 如果您的網域名稱是以www.為起始的次層網域(例如:www.example.com),您需要確保該網域名稱對應的頂層網域也可被訪問。以www.example.com網域名稱為例,您需要同時確保http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt都可被訪問,否則驗證將不通過。

    上傳驗證檔案樣本流程如下:

    1. 提交認證申請審核後,在下載驗證檔案地區,單擊驗證檔案,下載專有驗證檔案壓縮包到本機電腦並解壓縮。

      image.png

      下載的檔案是一個ZIP壓縮包,將其解壓縮後可以獲得fileauth.txt專有驗證檔案。該檔案僅在下載後的3天內有效,如果您逾期未完成檔案驗證,則需要重新下載專有驗證檔案。

      重要

      下載並解壓縮獲得專有驗證檔案後,請勿對檔案執行任何操作,例如,開啟、編輯、重新命名等。

    2. 下面以安裝在阿里雲Elastic Compute Service上的Nginx(Linux版本)為例,為您介紹如何進行檔案驗證配置。

      說明

      建議由伺服器管理員進行操作。

      1. 串連Elastic Compute Service。具體操作,請參見ECS遠端連線方式概述

      2. 依次執行以下命令,在伺服器的Web根目錄(Nginx服務預設為/var/www/html/)下建立檔案驗證目錄(.well-known/pki-validation/)。

        cd /var/www/html
mkdir -p .well-known/pki-validation

      3. 將驗證檔案fileauth.txt上傳到驗證目錄(/var/www/html/.well-known/pki-validation/)。

        您可以使用遠程登入工具附帶的本地檔案上傳功能,上傳檔案。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里雲Elastic Compute Service,上傳檔案具體操作,請參見上傳或下載檔案(Windows)上傳檔案到Linux雲端服務器

        重要

        在認證簽發前,請勿刪除伺服器中的專有驗證檔案,否則會導致認證簽發失敗。

    3. 成功上傳fileauth.txt驗證檔案後,返回數位憑證管理服務控制台認證申請面板,訪問URL地址(HTTPS地址HTTP地址),確保能夠訪問到驗證檔案內容。

      數位憑證管理服務控制台驗證檔案會有延遲,單擊驗證會出現未檢測到檔案的情況,請您耐心等待。如果1個工作日後仍然未驗證成功,請您檢查檔案是否上傳正確。控制台驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。

    相關問題