全部产品
Search
文档中心

Web 应用防火墙:验证域名归属权

更新时间:Sep 27, 2024

如果您是首次添加域名,需要验证是否拥有主域名的归属权。验证通过后,您再次添加该主域名下的任意域名时,无需再次验证。本文介绍如何进行域名归属权验证。

应用场景

通过如下方式,首次添加域名时,需要进行域名归属权验证:

验证方法

方法一:DNS解析验证(推荐)

DNS解析验证需要在DNS解析服务商,根据WAF控制台提供的TXT记录值,手动添加一条解析记录用于域名所有权验证。

前提条件

您有权限修改域名的DNS解析设置,即拥有域名管理权限。

操作步骤

  1. 访问域名所有权验证页面。

    • 场景一:在WAF 3.0通过CNAME接入添加域名

      访问接入管理页面,在CNAME接入页签,单击接入

    • 场景二:在WAF 3.0通过资产中心添加域名

      访问资产中心页面,在概览页签,单击image..png图标。

    • 场景三:在WAF 2.0通过CNAME接入添加域名

      访问添加域名页面,确认接入模式Cname接入

  2. 填写域名后,单击任意空白处。

  3. 在验证提示区域,单击方法1:DNS解析验证页签。

    重要

    DNS解析验证偶尔会出现验证失败的情况,在验证完成前请不要关闭接入域名面板。如果DNS解析验证失败,您也可以尝试使用文件验证。具体操作,请参见方法二:文件验证

  4. 根据WAF控制台提供的记录类型主机记录记录值,在您的域名解析服务商,添加TXT记录。

    下文以阿里云的云解析DNS为例介绍如何添加TXT记录,在其他域名解析服务商的配置方法类似。

    1. 登录云解析DNS控制台

    2. 域名解析页面,找到要添加到WAF的主域名,并单击右侧的解析设置

      说明

      例如CNAME接入域名为www.aliyundemo.com。

    3. 单击添加记录,填写记录类型主机记录记录值后,单击确认image..png

      配置项

      说明

      填写样例

      记录类型

      选择TXT

      TXT

      主机记录

      主机记录指域名的前缀。

      verification

      解析请求来源

      设置解析记录值的生效线路。

      保持默认

      记录值

      输入WAF生成的记录值。

      verify_8fca29dec22746a7841daf2b3af6****

      TTL

      TTL为缓存时间,数值越小,修改记录后生效时间越快,默认为10分钟。

      保持默认

      添加完成后,您可以在记录列表中查看已添加的记录。该记录默认生效(状态启用)。

  5. 等待TXT解析生效。

    如果系统提示验证失败,请检查TXT记录是否填写正确。

    不同系统TXT解析生效成功示例如下所示:

    说明
    • 域名首次配置TXT解析记录后将会实时生效,修改TXT解析记录通常会在10分钟后生效(具体生效时间长短取决于域名DNS解析配置的TTL时长,默认为10分钟)。

    • 如果Linux系统没有安装dig命令程序,可以在Linux系统内运行yum install bind-utils来安装。

    Windows系统示例

    D:\example>nslookup -qt=txt verification.example.com
    DNS request timed out.
        timeout was 2 seconds.
    服务器:  UnKnown
    Address:  10.10.XX.XX
    
    DNS request timed out.
        timeout was 2 seconds.
    非权威应答:
    verification.example.com text =
    
            "verify_165871adfd49413894ec9d3555e5****"

    Linux系统示例

     [rot@example ~]# dig verification.example.com txt
    
    ; << > > DiG 9.11.26-RedHat-9.11.26-3.1.al8 << > > verification.example.com txt
    ;; global options: +cmd
    ;; Got answer:
    ;; - > >HEADER<<- opcode: QUERY, status: NOERROR, id: 63246
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags:; udp: 4096
    ; COOKIE: 13561416e9b77d0701000000615fb0d7304d137ea064**** (good)
    ;; QUESTION SECTION:
    ;verification.example.com.                IN      TXT
    
    ;; ANSWER SECTION:
    verification.example.com. 600     IN      TXT     "verify_165871adfd49413894ec9d3555e5****"
    
    ;; Query time: 152 msec
    ;; SERVER: 100.100.XX.XX#53(100.100.XX.XX)
    ;; WHEN: Fri May 26 10:45:43 CST 2023
    ;; MSG SIZE  rcvd: 143
  6. 返回WAF控制台,单击点击验证

    显示验证成功,表示域名已通过归属权验证。如果验证失败,请根据控制台提示的失败原因,修改相关配置后,再次验证。DNS验证失败的解决办法,请参见常见问题

方法二:文件验证

文件验证需要将WAF提供的验证文档上传到域名源站服务器的指定根目录,用于域名所有权验证。

  1. 访问域名所有权验证页面。

    • 场景一:在WAF 3.0通过CNAME接入添加域名

      访问接入管理页面,在CNAME接入页签,单击接入

    • 场景二:在WAF 3.0通过资产中心添加域名

      访问资产中心页面,在概览页签,单击image..png图标。

    • 场景三:在WAF 2.0通过CNAME接入添加域名

      访问添加域名页面,确认接入模式Cname接入

  2. 填写域名后,单击任意空白处。

  3. 在验证提示区域,单击方法1:DNS解析验证页签。

    重要

    在验证完成前请不要关闭接入域名面板。

  4. 单击下载验证文件链接(图示①),下载验证文件。image..png

    重要
    • 验证文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载。

    • 请勿对验证文件执行任何操作,例如打开、编辑、重命名等。

  5. 手动将验证文件上传到控制台提示的域名源站服务器(例如您的ECS、OSS、CVM、COS、EC2等)根目录(图示②)。

    说明

    如果您添加的域名为通配符域名,例如*.aliyun.com,那么您需要将验证文档上传到aliyun.com的根目录。

    WAF系统后台将根据选择的协议类型,访问您的源站,获取验证文件,判断您是否按要求上传了指定的验证文件,请确保验证文件可被访问。

  6. 返回WAF控制台,单击点击验证

    显示验证成功,表示域名已通过归属权验证。如果验证失败,请根据控制台提示的失败原因,修改相关配置后,再次验证。具体解决办法,请参见常见问题

常见问题

验证类型

问题描述

问题现象

解决方案

DNS解析验证

TXT记录值为空

DNS验证结果显示:当前域名的TXT记录值为空。

由于DNS记录配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待10分钟后,执行验证操作。

如果验证仍失败,请您重新为该域名添加一条DNS解析记录。具体操作,请参见方法一:DNS解析验证(推荐)

TXT记录值不一致

DNS验证结果显示:当前域名的TXT记录值不为指定值。

您可以参考以下步骤,在域名解析服务商删除不匹配解析记录,并重新为该域名添加一条解析记录。

  1. 前往在域名解析服务商,删除不一致的TXT记录。

    下面以阿里云云解析DNS为例,为您演示删除记录的具体操作。

    1. 登录云解析DNS控制台

    2. 域名解析页面,定位到目标域名,单击域名名称。

    3. 在解析设置页面,定位到检测到的解析值,在操作列,单击删除

  2. 在解析设置页面,重新为该域名添加一条DNS解析记录。具体操作,请参见方法一:DNS解析验证(推荐)

文件验证

无法访问域名

文件验证结果显示:无法访问域名。

  • 没有域名DNS解析

    您需要前往域名解析服务商,为该域名添加DNS解析。关于在阿里云云解析DNS添加解析记录的具体操作,请参见添加解析记录

  • 域名访问不通

    域名访问不通可能是源站配置了白名单等原因,您可以根据实际情况,排查处理。

验证文件不存在

文件验证结果显示:验证文件不存在。

您可能未在域名源站服务器根目录上传验证文件或上传验证文件失败。请您重新下载验证文件并上传至服务器。具体操作,请参见方法二:文件验证

文件内容不正确

文件验证结果显示:文件内容不正确。

  1. 前往您域名的源站服务器,删除不正确的验证文件。

  2. 重新在域名源站服务器中上传验证文件。具体操作,请参见方法二:文件验证

相关文档

  • 如果您想了解如何将网站域名添加到Web应用防火墙中进行安全防护,请参见添加域名(WAF 3.0)

  • 如果您想梳理阿里云云上、云下的域名资产,根据资产在云上的攻击态势,进行风险等级评估并为风险等级较高的域名资产开启防护,请参见资产中心(WAF 3.0)