在证书颁发机构(CA)为您的网站颁发证书之前,您需要配合CA中心验证您拥有或可以管理证书绑定的域名。在证书申请信息提交审核后,请您根据实际情况通过选择域名系统(DNS)、文件或电子邮件证明您对域名的所有权。本文为您介绍域名所有权验证的规则以及流程。
前提条件
已经提交证书申请,具体操作,请参见提交证书申请。
域名验证方式
自2021年11月15日起,通配符域名(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支持文件验证方式。更多信息,请参见【通知】申请通配符证书不再支持文件验证。
域名所有权验证过程中,如果遇到了问题,请联系商务经理进行咨询。
下表为您介绍不同类型证书的域名验证方式以及操作指导。
证书类型 | 场景 | 域名验证方式 | 审核签发时长 |
DV证书 | DNS域名解析服务与证书申请者属于同一阿里云账号 | 自动DNS验证:阿里云会自动识别符合条件的域名,并自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权,您仅需等待证书签发即可。为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除有冲突的TXT解析记录。更多信息,请参见DNS域名解析服务与证书申请者属于同一阿里云账号。 | 信息填写正确的情况下,CA中心会在1~2个工作日内完成审核和签发。 |
DNS域名解析服务与证书申请者不属于同一阿里云账号 | |||
OV或EV证书 | 不区分 | 本地邮件验证:提交OV或EV证书申请后,CA中心一般会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件,请根据邮件提供的审核方式,并配合CA中心完成验证。 | 在信息填写正确且积极配合CA中心验证的情况下,CA中心会在3~7个工作日内完成审核和签发。 |
DNS域名解析服务与证书申请者属于同一阿里云账号
如果DNS域名解析服务与证书申请者属于同一阿里云账号,申请DV证书时,阿里云会自动识别该域名,并默认选择自动DNS验证方式,且不支持修改。提交审核后,阿里云会自动在云解析DNS控制台对应的域名中添加一条解析记录,用于验证域名所有权。
如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,是因为控制台验证域名解析结果存在一定的延迟,所以控制台显示的验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。
为保障自动DNS验证顺利进行,添加DNS解析记录时,会删除在DNS服务内有冲突的TXT解析记录。
DNS域名解析服务与证书申请者不属于同一阿里云账号
申请DV证书时,如果DNS域名解析服务与证书申请者不属于同一阿里云账号,您可以选择以下方式进行域名所有权验证。
手动DNS验证流程
DV证书绑定的域名需为单域名或通配符域名,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)时,您可以选择手动DNS验证,即您需要在对应的DNS域名解析服务商,手动添加一条TXT类型的解析记录用于验证域名所有权。
提交证书申请审核后,您需要在证书申请面板的验证信息引导页,获取验证信息。
在您的DNS解析服务商上,为域名添加DNS解析记录。
下面以阿里云云解析DNS为例,为您演示为域名添加DNS解析记录的过程,供您参考。如果您域名对应的DNS域名解析服务不在阿里云,请您前往域名对应的DNS域名解析商添加解析记录。
使用域名持有者所在的阿里云账号,登录云解析DNS控制台。
在域名解析页面,定位到证书绑定的域名,单击域名名称。
在解析设置页面,单击添加记录。
在添加记录面板,添加步骤1获取到的验证信息(记录类型、主机记录及记录值),然后单击确认。
TXT记录类型的添加示意图如下:数字证书管理服务控制台(左图)、云解析DNS控制台(右图)。
添加完成后,您可以在记录列表中查看已添加的记录。
新增的解析记录实时生效。
删除或修改解析记录取决于本地DNS缓存的解析记录的TTL到期时间,一般默认为10分钟。
修改DNS服务器解析默认生效时间为48小时。例如您将域名DNS解析服务迁移至阿里云DNS解析,在配置解析记录后,会在48小时后生效。
重要在证书签发之前,请勿删除已添加的域名解析记录,否则会导致证书签发失败。建议您在证书签发后删除TXT解析记录,以避免后续添加解析记录时发生冲突。
成功配置解析记录后,返回数字证书管理服务控制台证书申请时的验证信息引导页,单击验证。
如果您的域名解析已经生效,但是在控制台单击验证时仍提示未检测到DNS记录值,是因为控制台验证域名解析结果存在一定的延迟,且控制台显示的验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。
重要如果域名解析记录中包含CAA记录,请您确认是否与当前证书品牌一致。如果非当前证书品牌的CAA记录,您需要删除该CAA记录,否则证书将不会签发。更多关于DNS验证问题,请参见域名所有权验证相关问题。
文件验证流程
DV证书绑定的域名为单域名(aliyundoc.com)时,支持文件验证方式。您在提交证书申请审核后,需要下载验证文件,然后将解压后的文件上传到站点服务器的指定验证目录(.well-known/pki-validation/)。CA中心将会依次尝试访问HTTPS地址和HTTP地址(443端口和80端口),验证是否可以访问到验证文件内容,验证通过后,将为您签发证书。
目前CA中心仅支持向80、443端口发起验证请求,因此您的服务器需开放80、443端口。
服务器如果有HTTPS服务,一定确保可通过HTTPS地址访问到验证文件内容(证书需保证可信),否则建议您暂时关闭该域名的HTTPS服务,以免影响验证;服务器如果未配置过HTTPS服务,需确保HTTP地址可以访问到验证文件内容。
访问HTTPS地址和HTTP地址地址不能存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。 您可使用
wget -S <URL地址>命令检测该验证URL地址是否存在跳转。如果申请的是国际品牌证书(例如DigiCert、GlobalSign),您需要确保域名服务器可通过中国境外的网络访问。建议您在域名服务器中临时将CA中心的IP地址添加到白名单中,确保CA中心可以正常访问您的域名服务器,完成域名所有权验证。如何获取CA中心IP地址,请联系商务经理进行咨询。
如果您的域名为一级域名(例如,
aliyundoc.com),您需要确保该域名以www.为起始的二级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://aliyundoc.com/.well-known/pki-validation/fileauth.txt和http://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。如果您的域名是以
www.为起始的二级域名(例如:www.example.com),您需要确保该域名对应的一级域名也可被访问。以www.example.com域名为例,您需要同时确保http://www.example.com/.well-known/pki-validation/fileauth.txt和http://example.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。
上传验证文件示例流程如下:
提交证书申请审核后,在下载验证文件区域,单击验证文件,下载专有验证文件压缩包到本地计算机并解压缩。
下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
重要下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
下面以安装在阿里云云服务器ECS上的Nginx(Linux版本)为例,为您介绍如何进行文件验证配置。
说明建议由服务器管理员进行操作。
连接云服务器ECS。具体操作,请参见ECS远程连接方式概述。
依次执行以下命令,在服务器的Web根目录(Nginx服务默认为/var/www/html/)下创建文件验证目录(.well-known/pki-validation/)。
cd /var/www/html mkdir -p .well-known/pki-validation将验证文件fileauth.txt上传到验证目录(/var/www/html/.well-known/pki-validation/)。
您可以使用远程登录工具附带的本地文件上传功能,上传文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服务器 ECS,上传文件具体操作,请参见上传或下载文件(Windows)或上传文件到Linux云服务器。
重要在证书签发前,请勿删除服务器中的专有验证文件,否则会导致证书签发失败。
成功上传fileauth.txt验证文件后,返回数字证书管理服务控制台证书申请面板,访问URL地址(HTTPS地址和HTTP地址),确保能够访问到验证文件内容。
数字证书管理服务控制台验证文件会有延迟,单击验证会出现未检测到文件的情况,请您耐心等待。如果1个工作日后仍然未验证成功,请您检查文件是否上传正确。控制台验证结果仅供参考,实际验证和签发结果请以CA中心检测为准。一般情况下,证书的审核和签发需要1~2个工作日,请您耐心等待。