You need to enable JavaScript to run this app.
导航
域名验证
最近更新时间:2024.04.19 20:40:36首次发布时间:2022.11.03 11:35:26

提交证书请求后,您必须按照CA的要求完成域名验证,以证明您拥有对应的域名。本文介绍了域名验证的相关操作。

域名验证方式

提交证书请求时,您需选择一种域名验证方式。可选择的验证方式如下表所示。

验证方式

适用的域名类型

说明

DNS验证

  • 单域名
  • 泛域名

该方式要求您登录DNS服务商的系统,为域名创建一条DNS TXT/CNAME 记录。CA定期检查指定的记录是否存在。当CA确认指定的记录存在时,DNS验证将会结束。

注意

如果您使用火山引擎TrafficRoute为域名提供DNS服务,DNS验证将会自动完成。您无需手动创建DNS记录。

文件验证

  • 单域名/IP

该方式要求您添加指定的验证文件到Web服务器的指定路径。CA定期检查指定的文件是否能够访问。当CA确认指定的文件能够访问时,文件验证将会结束。

注意

  • 选择该方式前,您必须确保Web服务器的地址(域名或IP)能够通过互联网访问。如果Web服务器位于中国内地,您必须为Web服务器完成ICP备案。推荐您使用火山引擎备案中心提交ICP备案申请。
  • CA只支持向80或443端口发送验证请求。选择该方式前,请确保您的Web服务器已经开放了80或443端口。

前提条件

您已经提交了证书请求。相关操作,请参见提交证书请求

操作步骤

  1. 登录证书中心控制台
  2. 在左侧导航栏,选择 SSL证书 > 证书管理
  3. 在证书列表,找到您的证书,然后单击证书ID。
    证书的 状态验证中
  4. 订单进度 区域,找到 等待域名验证 部分,查看域名验证要求。

    说明

    如果当前进度为 CA机构验证中,表示您的证书请求刚刚提交给CA,CA还没有返回对应的域名验证要求。请等待5分钟左右,等待域名验证 部分将会出现。

  5. 根据域名验证要求,完成相关配置。
  1. 订单进度 区域,单击 检查配置
    证书中心将检查您的DNS记录或验证文件是否正确配置,并返回检查结果。如果提示“配置错误”,请仔细检查您的配置,并对其进行必要的修改,然后重新执行检查。
  2. 等待CA定期检查您的配置。
    CA每隔5分钟自动检查一次您是否按照要求完成了相关配置。当CA确认您已经正确完成配置,域名验证将会结束。

    注意

    如果您请求的是 GlobalSign 证书,检查过程需要15分钟左右。在某些特殊情况下,例如订单堵塞等,检查过程可能需要30分钟左右。

如果您请求的是 DV 证书,则域名验证结束后,CA将在数小时内为您签发证书。如果您请求的是 OV/EV 证书,则域名验证结束后,CA需要进行组织验证。组织验证可能需要数个工作日才能完成,并且需要您组织的相关人员接听电话。更多信息,请参见组织验证说明

DNS验证说明

验证要求

假设您正在为域名dns.example.com请求一张SSL证书。您选择了 域名验证方式DNS验证。下图显示了对应的域名验证要求。您需要为域名创建指定的DNS TXT记录。
图片
接下来,我们以火山引擎云解析DNS为例,介绍为域名创建DNS记录的方法。

注意

如果您使用火山引擎TrafficRoute为域名提供DNS服务,DNS验证将会自动完成。您无需手动创建DNS记录。

操作步骤

  1. 登录火山引擎云解析DNS控制台

  2. 公网域名管理 页面,单击您的域名。

  3. 记录管理 页签,单击 添加记录

  4. 添加记录 面板,按照以下说明配置记录:

    • 域名:在输入框中,输入您从域名验证要求中获取的 待添加主机记录
    • 记录类型:选择 TXT
    • 记录值:输入您从域名验证要求中获取的 记录值
      其他配置项使用默认值。

    域名验证要求

    记录配置

    图片

    图片

  5. 单击 提交

接下来,您可以按照订单进度中的说明,手动检查您的配置是否正确。

文件验证说明

验证要求

假设您正在为域名file.example.com请求一张SSL证书。您选择了 域名验证方式文件验证。下图显示了对应的域名验证要求。您需要将指定的验证文件添加到您的Web服务器。
图片

注意

如果您请求针对根域名(如example.com)或带有www前缀的子域名(如www.example.com)的证书,您需要为根域名以及对应带有www前缀的子域名都完成文件验证。
这是因为通常情况下,根域名和带有www前缀的子域名由同一张证书进行保护。例如,如果证书是针对根域名签发的,那么该证书通常也用于保护带有www前缀的子域名;反之亦然。因此,CA需要验证您对根域名和带有www前缀的子域名具有同时管理的权限。

接下来,我们以Ubuntu系统上的Nginx服务为例,介绍如何创建验证文件。如果您的服务器使用其他类型的操作系统,请参考对应操作系统的文档。以下内容供参考。

前提条件

  • 域名file.example.com指向Web服务器的IP地址。
  • Web服务器已经开放了80或443端口。
  • 您拥有登录Web服务器所需的工具、账号和密码。

操作步骤

  1. 登录服务器。

  2. 访问file.example.com的主目录。
    Nginx默认站点的主目录为/var/www/html。您需根据站点实际配置,访问对应的主目录。

    cd /var/www/html
    
  3. 在站点主目录新建文件夹(.well-known/pki-validation),并在该文件夹下新建一个验证文件。
    您可以从域名验证要求中获取文件夹的名称和验证文件的名称。
    图片

    mkdir -p .well-known/pki-validation          # 请注意,此处的文件验证信息仅为示例。
    vim .well-known/pki-validation/fileauth.txt  # 实际配置时,以订单进度中展示的信息为准。
    
  4. 将指定的内容添加到新建的验证文件中。
    您可以从域名验证要求中获取文件内容。以下截图仅为示例。
    图片

接下来,您可以按照订单进度中的说明,手动检查您的配置是否正确。