在憑證授權單位(CA)為您的網站頒發認證之前,您需要配合CA中心驗證您擁有或可以管理憑證綁定的網域名稱。在認證申請資訊提交審核後,請您根據實際情況通過選擇網域名稱系統(DNS)、檔案或電子郵件證明您對網域名稱的所有權。本文為您介紹網域名稱所有權驗證的規則以及流程。
前提條件
已經提交認證申請,具體操作,請參見提交認證申請。
網域名稱驗證方式
自2021年11月15日起,萬用字元網域名稱(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支援檔案驗證方式。更多資訊,請參見【通知】申請萬用字元認證不再支援檔案驗證。
網域名稱所有權驗證過程中,如果遇到了問題,請聯絡商務經理進行諮詢。
下表為您介紹不同類型認證的網域名稱驗證方式以及操作指導。
認證類型 | 情境 | 網域名稱驗證方式 | 審核簽發時間長度 |
DV認證 | DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號 | 自動DNS驗證:阿里雲會自動識別合格網域名稱,並自動在Alibaba Cloud DNS控制台對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權,您僅需等待認證簽發即可。為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除有衝突的TXT解析記錄。更多資訊,請參見DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號。 | 資訊填寫正確的情況下,CA中心會在1~2個工作日內完成審核和簽發。 |
DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號 | |||
OV或EV認證 | 不區分 | 本地郵件驗證:提交OV或EV認證申請後,CA中心一般會在1個工作日(具體時間以CA中心所在地的時間為準,如遇節假日該時間會順延)內向您提交認證申請時填寫的郵箱中發送認證初審郵件,請根據郵件提供的審核方式,並配合CA中心完成驗證。 | 在資訊填寫正確且積極配合CA中心驗證的情況下,CA中心會在3~7個工作日內完成審核和簽發。 |
DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號
如果DNS網域名稱解析服務與認證申請者屬於同一阿里雲帳號,申請DV認證時,阿里雲會自動識別該網域名稱,並預設選擇自動DNS驗證方式,且不支援修改。提交審核後,阿里雲會自動在Alibaba Cloud DNS控制台對應的網域名稱中添加一條解析記錄,用於驗證網域名稱所有權。
如果您的網域名稱解析已經生效,但是在控制台單擊驗證時仍提示未檢測到DNS記錄值,是因為控制台驗證網域名稱解析結果存在一定的延遲,所以控制台顯示的驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。
為保障自動DNS驗證順利進行,添加DNS解析記錄時,會刪除在DNS服務內有衝突的TXT解析記錄。
DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號
申請DV認證時,如果DNS網域名稱解析服務與認證申請者不屬於同一阿里雲帳號,您可以選擇以下方式進行網域名稱所有權驗證。
手動DNS驗證流程
DV認證綁定的網域名稱需為單網域名稱或萬用字元網域名稱,且您有許可權修改網域名稱的DNS解析設定(即擁有網域名稱系統管理權限)時,您可以選擇手動DNS驗證,即您需要在對應的DNS網域名稱解析服務商,手動添加一條TXT類型的解析記錄用於驗證網域名稱所有權。
提交認證申請審核後,您需要在認證申請面板的驗證資訊引導頁,擷取驗證資訊。
在您的DNS解析服務商上,為網域名稱添加DNS解析記錄。
下面以阿里雲Alibaba Cloud DNS為例,為您示範為網域名稱添加DNS解析記錄的過程,供您參考。如果您網域名稱對應的DNS網域名稱解析服務不在阿里雲,請您前往網域名稱對應的DNS網域名稱解析商添加解析記錄。
使用網域名稱持有人所在的阿里雲帳號,登入Alibaba Cloud DNS控制台。
在網域名稱解析頁面,定位到認證綁定的網域名稱,單擊網域名稱名稱。
在解析設定頁面,單擊添加記錄。
在添加記錄面板,添加步驟1擷取到的驗證資訊(記錄類型、主機記錄及記錄值),然後單擊確認。
TXT記錄類型的添加示意圖如下:數位憑證管理服務控制台(左圖)、Alibaba Cloud DNS控制台(右圖)。
添加完成後,您可以在記錄列表中查看已添加的記錄。
新增的解析記錄即時生效。
刪除或修改解析記錄取決於本地DNS緩衝的解析記錄的TTL到期時間,一般預設為10分鐘。
修改DNS伺服器解析預設生效時間為48小時。例如您將網域名稱DNS解析服務遷移至阿里雲DNS解析,在配置解析記錄後,會在48小時後生效。
重要在認證簽發之前,請勿刪除已添加的網域名稱解析記錄,否則會導致認證簽發失敗。建議您在認證簽發後刪除TXT解析記錄,以避免後續添加解析記錄時發生衝突。
成功配置解析記錄後,返回數位憑證管理服務控制台認證申請時的驗證資訊引導頁,單擊驗證。
如果您的網域名稱解析已經生效,但是在控制台單擊驗證時仍提示未檢測到DNS記錄值,是因為控制台驗證網域名稱解析結果存在一定的延遲,且控制台顯示的驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。
重要如果網域名稱解析記錄中包含CAA記錄,請您確認是否與當前認證品牌一致。如果非當前認證品牌的CAA記錄,您需要刪除該CAA記錄,否則認證將不會簽發。更多關於DNS驗證問題,請參見網域名稱所有權驗證相關問題。
檔案驗證流程
DV認證綁定的網域名稱為單網域名稱(aliyundoc.com)時,支援檔案驗證方式。您在提交認證申請審核後,需要下載驗證檔案,然後將解壓後的檔案上傳到站台伺服器的指定驗證目錄(.well-known/pki-validation/)。CA中心將會依次嘗試訪問HTTPS地址和HTTP地址(443連接埠和80連接埠),驗證是否可以訪問到驗證檔案內容,驗證通過後,將為您簽發認證。
目前CA中心僅支援向80、443連接埠發起驗證請求,因此您的伺服器需開放80、443連接埠。
伺服器如果有HTTPS服務,一定確保可通過HTTPS地址訪問到驗證檔案內容(認證需保證可信),否則建議您暫時關閉該網域名稱的HTTPS服務,以免影響驗證;伺服器如果未配置過HTTPS服務,需確保HTTP地址可以訪問到驗證檔案內容。
訪問HTTPS地址和HTTP地址地址不能存在301或302跳轉。如存在此類重新導向跳轉,請取消相關設定關閉跳轉。 您可使用
wget -S <URL地址>
命令檢測該驗證URL地址是否存在跳轉。如果申請的是國際品牌認證(例如DigiCert、GlobalSign),您需要確保網域名稱伺服器可通過中國境外的網路訪問。建議您在網域名稱伺服器中臨時將CA中心的IP地址添加到白名單中,確保CA中心可以正常訪問您的網域名稱伺服器,完成網域名稱所有權驗證。如何擷取CA中心IP地址,請聯絡商務經理進行諮詢。
如果您的網域名稱為頂層網域(例如,
aliyundoc.com
),您需要確保該網域名稱以www.
為起始的次層網域也可被訪問。以aliyundoc.com
網域名稱為例,您需要同時確保http://aliyundoc.com/.well-known/pki-validation/fileauth.txt
和http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt
都可被訪問,否則驗證將不通過。如果您的網域名稱是以
www.
為起始的次層網域(例如:www.example.com
),您需要確保該網域名稱對應的頂層網域也可被訪問。以www.example.com
網域名稱為例,您需要同時確保http://www.example.com/.well-known/pki-validation/fileauth.txt
和http://example.com/.well-known/pki-validation/fileauth.txt
都可被訪問,否則驗證將不通過。
上傳驗證檔案樣本流程如下:
提交認證申請審核後,在下載驗證檔案地區,單擊驗證檔案,下載專有驗證檔案壓縮包到本機電腦並解壓縮。
下載的檔案是一個ZIP壓縮包,將其解壓縮後可以獲得fileauth.txt專有驗證檔案。該檔案僅在下載後的3天內有效,如果您逾期未完成檔案驗證,則需要重新下載專有驗證檔案。
重要下載並解壓縮獲得專有驗證檔案後,請勿對檔案執行任何操作,例如,開啟、編輯、重新命名等。
下面以安裝在阿里雲Elastic Compute Service上的Nginx(Linux版本)為例,為您介紹如何進行檔案驗證配置。
說明建議由伺服器管理員進行操作。
串連Elastic Compute Service。具體操作,請參見串連執行個體。
依次執行以下命令,在伺服器的Web根目錄(Nginx服務預設為/var/www/html/)下建立檔案驗證目錄(.well-known/pki-validation/)。
cd /var/www/html mkdir -p .well-known/pki-validation
將驗證檔案fileauth.txt上傳到驗證目錄(/var/www/html/.well-known/pki-validation/)。
您可以使用遠程登入工具附帶的本地檔案上傳功能,上傳檔案。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里雲Elastic Compute Service,上傳檔案具體操作,請參見上傳或下載檔案(Windows)或上傳檔案到Linux雲端服務器。
重要在認證簽發前,請勿刪除伺服器中的專有驗證檔案,否則會導致認證簽發失敗。
成功上傳fileauth.txt驗證檔案後,返回數位憑證管理服務控制台認證申請面板,訪問URL地址(HTTPS地址和HTTP地址),確保能夠訪問到驗證檔案內容。
數位憑證管理服務控制台驗證檔案會有延遲,單擊驗證會出現未檢測到檔案的情況,請您耐心等待。如果1個工作日後仍然未驗證成功,請您檢查檔案是否上傳正確。控制台驗證結果僅供參考,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,認證的審核和簽發需要1~2個工作日,請您耐心等待。