網域名稱控制驗證(DCV,Domain Control Validation)是憑證授權單位(CA,Certificate Authority)為某個網域名稱頒發認證之前,要求認證申請者證明自己對該網域名稱擁有控制權。本文將引導您完成邊緣安全加速 ESA網站網域名稱的控制權驗證。
驗證方式
DNS方式:CA將提供一組TXT類型DNS記錄,需要認證申請者將該組DNS記錄配置於網域名稱的權威DNS上。當我們通過公網能夠查詢到這組TXT類型的DNS記錄時,則表示DCV資訊成功配置。
HTTP方式:CA將提供一個HTTP URL和檔案,需要認證申請者將檔案放置在對應URL下。當我們通過公網訪問該URL並能擷取到校正檔案時,則表示DCV資訊成功配置。
注意事項
對於已經將DNS解析切換至ESA的網站,將自動完成免費認證申請過程中的DCV驗證。
對於NS接入的網站,ESA使用DNS方式進行網域名稱控制驗證,當您為網站申請免費認證後,ESA將自動為網站添加一條TXT類型的DNS記錄用於網域名稱控制驗證。
對於CNAME接入的網站,ESA使用HTTP方式進行網域名稱控制驗證,當您為網站申請免費Let's Encrypt認證後,CA進行網域名稱控制驗證的HTTP請求將直接由ESA節點返回。若使用
DigiCert免費認證,請務必保證已配置托換DCV確保認證正常簽發和續簽。
對於未將DNS解析切換至ESA的網站,申請免費認證時,需要您根據我們提供的DCV資訊手動完成配置或使用託管DCV。詳細資料參考手動網域名稱控制驗證。
說明DCV 資訊的有效期間為1小時,請在配置來源站點時留意時間限制,確保操作及時完成。
手動網域名稱控制驗證
為了確保只有對特定網域名稱具有合法控制權的實體,才能申請並獲得SSL/TLS認證,防止未經授權的訪問,您需要根據實際情況,按照以下步驟完成網域名稱控制驗證。
DNS驗證方式
如果您使用的網域名稱不是阿里雲所提供,請前往對應網域名稱供應商的DNS解析處完成第6-7步操作。
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在 邊緣認證頁面,證書管理欄複製已產生的驗證TXT名稱和驗證TXT內容。
說明如果您申請的免費認證中包含多個網域名稱,則認證驗證資訊將包含多條,每一條都需要被配置在權威DNS解析上。
在左側導覽列,單擊公网权威解析。
在公网权威解析頁面,找到上面添加網站對應的次層網域,單擊解析设置。
在解析设置頁面,單擊添加记录,记录类型選擇TXT,主机记录填寫驗證TXT名稱,記錄值填寫複製的驗證TXT內容,點擊确定。
HTTP驗證方式
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列,選擇。
在 邊緣認證頁面,證書管理欄複製已產生的驗證HTTP路徑和驗證HTTP內容。
在公網可訪問的伺服器中,配置步驟3複製的驗證HTTP路徑和驗證HTTP內容。
通過
curl -v 驗證HTTP路徑命令返回200 OK,則表示驗證資訊已經配置成功。