全部產品
Search

搜尋本產品

    Certificate Management Service:網域名稱所有權驗證相關問題

    文件中心

    Certificate Management Service:網域名稱所有權驗證相關問題

    更新時間:Sep 19, 2025

    SSL認證在提交認證申請後,需要配合CA中心完成網域名稱所有權驗證。數位憑證管理服務控制台提供了輔助網域名稱驗證功能,可以協助您提前發現並解決一些驗證過程中的問題,降低CA中心驗證失敗的幾率。本文介紹網域名稱驗證過程中可能遇到的問題及解決方案。

    DV認證驗證常見問題

    DV認證驗證方式可分為:手動驗證、檔案驗證、自動驗證三種方式。常見問題和解決方案如下,您可根據驗證方式尋找問題原因和解決方案:

    手動DNS驗證

    如何檢測DNS解析記錄是否生效?

    阿里雲提供網路撥測工具可協助您檢測解析記錄是否生效。檢測步驟如下:

    1. 認證申請面板,單擊查看記錄值

      image

    2. 網路撥測工具頁簽,單擊立即檢測

      image

    3. 檢測結果列表中的解析結果與您配置的解析記錄值一致時,代表解析正常生效。

    控制台提示“未檢測到DNS記錄值”怎麼辦?

    常見原因及解決方案如下

    1. 未添加網域名稱解析記錄。

      請參見手動DNS驗證,在對應的DNS網域名稱解析服務商,手動添加一條TXT類型的解析記錄用於驗證網域名稱所有權。

    2. 控制台驗證解析延遲。

      如果您已正確添加網域名稱解析記錄,但仍提示“未檢測到DNS記錄值”,可能是控制台驗證延遲導致的。無需任何操作,耐心等待重試即可。

    3. SSL認證綁定網域名稱和DNS網域名稱解析對應的網域名稱不一致。

      說明

      非阿里雲DNS解析服務商的使用者,請前往對應DNS解析供應商確認網域名稱。

      1. 確認網域名稱是否一致image

      2. 在SSL認證驗證頁點擊修改,重新填寫認證綁定網域名稱後再次提交審核。image

    控制台提示“DNS記錄值不匹配”怎麼辦?

    常見原因及解決方案如下

    1. DNS解析記錄值配置錯誤。

      將認證申請的主機記錄和記錄值重新複製到DNS解析的配置中。

      image

    2. 使用了DNSPod或其他網域名稱解析服務商解析網域名稱。

      您可以暫時忽略控制台提示的相關錯誤,按要求在DNSPod或其他網域名稱解析服務商配置DNS的解析記錄後,等待CA驗證即可。

    3. DigiCert品牌的DV認證,解析記錄值超過24小時。

      1. 刪除已超過24小時的TXT解析記錄值。

      2. 訪問數位憑證管理服務控制台,重新申請目標認證,擷取最新的TXT解析記錄值。

      3. 前往網域名稱解析服務商平台重新添加新的TXT解析記錄值。

      說明

      GeoTrust品牌的DV型認證時間戳記始終有效。

    4. 記錄值未同步至海外DNS。

      動態網域名稱解析記錄同步延遲,導致海外權威DNS伺服器無法擷取最新的TXT記錄值。檢查您的動態解析服務是否正常運行,耐心等待即可。

    控制台提示“驗證逾時,請重試”怎麼辦?

    網域名稱伺服器的網路異常,請聯絡對應的網域名稱服務 (DNS)商,檢查並修複網路情況。

    檔案驗證

    控制台提示“未檢測到檔案”怎麼辦?

    常見原因及解決方案如下

    1. 未上傳驗證檔案至伺服器指定目錄。

      請參見檔案驗證,將驗證檔案上傳至站台伺服器的指定驗證目錄(.well-known/pki-validation/)。

    2. 控制台檔案驗證延遲。

      如果您已上傳驗證檔案至伺服器對應目錄,且訪問URL地址(HTTPS地址HTTP地址),能夠訪問到驗證檔案內容,但是控制台仍提示“未檢測到檔案”。可能是控制台檔案驗證延遲導致的您無需任何操作,耐心等待重試即可。

    控制台提示“驗證逾時,請重試”怎麼辦?

    常見原因及解決方案如下

    1. 未開放伺服器的80或443連接埠。

      目前CA中心僅支援通過訪問HTTPS地址HTTP地址(443連接埠和80連接埠),驗證是否可以訪問到驗證檔案內容。

      解決方案一:開放80或443連接埠。

      如何開放80或443連接埠?

      Linux

      1. 在伺服器終端執行以下命令,檢測443連接埠的開放情況:

        RHEL/CentOS 系列
        command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# 請將以下的 <當前伺服器的公網 IP> 替換為當前伺服器的公網 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <當前伺服器的公網 IP> 443

        如果輸出 Ncat: Connected to <當前伺服器公網 IP>:443,則表明443連接埠已開放。否則需在安全性群組和防火牆中開放443連接埠。

        Debian/Ubuntu 系列
        command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# 請將以下的 <當前伺服器的公網 IP> 替換為當前伺服器的公網 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <當前伺服器的公網 IP> 443

        若輸出 Connection to <當前伺服器公網 IP> port [tcp/https] succeeded![<當前伺服器公網 IP>] 443 (https) open,則表明443連接埠已開放。否則需在安全性群組和防火牆中開放443連接埠。

      2. 若連接埠未開放,可參照如下操作在安全性群組和防火牆中開放443連接埠。

        1. 在安全性群組中開放 443 連接埠

        重要

        若您的伺服器部署在雲平台,請確保其安全性群組已開放 443 連接埠 (TCP),否則外部無法訪問服務。以下操作以阿里雲 ECS 為例,其他雲平台請參考其官方文檔。

        1. 登入ECS管理主控台,在頁面左側頂部,選擇目標 ECS 執行個體所在地區。在執行個體頁面,找到目標 ECS 執行個體。

        2. 單擊目標執行個體名稱,進入執行個體詳情頁面,單擊安全性群組 > 內網入方向全部規則,確儲存在一條授權策略允許協議類型為 TCP、目的連接埠範圍為 HTTPS(443)、授權對象任何位置(0.0.0.0/0)的規則。

        3. 如不存在上述規則,請按以下步驟添加。更多安全性群組配置請參見添加安全性群組規則

          1. 在 ECS 執行個體詳情頁面,單擊安全性群組 > 安全性群組列表,選擇目標安全性群組並進入其詳情頁。

          2. 在安全性群組詳情頁的安全性群組詳情 > 入方向下,單擊快速添加

          3. 快速添加面板,選中連接埠範圍中的 HTTPS(443),單擊確定即可。

        2. 在伺服器本地防火牆中開放 443 連接埠

        執行以下命令,識別系統當前的防火牆服務類型:

        if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

        若輸出為 none,則無需進一步操作。否則,請根據輸出的類型(firewalldufwnftablesiptables),執行以下命令開放 443 連接埠:

        firewalld
        sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload
        ufw
        sudo ufw allow 443/tcp
        nftables
        sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null
        iptables
        sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

        為避免 iptables 規則在系統重啟後失效,請執行以下命令持久化 iptables 規則:

        RHEL/CentOS 系列
        sudo yum install -y iptables-services
sudo service iptables save
        Debian/Ubuntu 系列
        sudo apt-get install -y iptables-persistent
sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
      Windows

      1. 在安全性群組中開放 443 連接埠

      重要

      若您的伺服器部署在雲平台,請確保其安全性群組已開放入方向 443 連接埠 (TCP),否則外部無法訪問服務。以下操作以阿里雲 ECS 為例,其他雲平台請參考其官方文檔。

      1. 登入ECS管理主控台,在頁面左側頂部,選擇目標 ECS 執行個體所在地區。在執行個體頁面,找到目標 ECS 執行個體。

      2. 單擊目標執行個體名稱,進入執行個體詳情頁面,單擊安全性群組 > 內網入方向全部規則,確儲存在一條授權策略允許協議類型為 TCP、目的連接埠範圍為 HTTPS(443)、授權對象任何位置(0.0.0.0/0)的規則。如不存在此規則,請進行添加。

        如何添加安全性群組規則

        1. 在 ECS 執行個體詳情頁面,單擊安全性群組 > 安全性群組列表,選擇目標安全性群組並進入其詳情頁。

        2. 在安全性群組詳情頁的安全性群組詳情 > 入方向下,單擊增加規則

        3. 建立安全性群組規則面板,將訪問目的(本執行個體)設定為 HTTPS(443),其餘參數保持預設值,單擊確定即可。

        4. 更多安全性群組配置請參見添加安全性群組規則

      2. 在伺服器本地防火牆中開放 443 連接埠

      1. 登入Windows伺服器,單擊左下角開始菜單,開啟控制台

      2. 點擊系統和安全 > Windows防火牆 > 檢查防火牆狀態

      3. 如果防火牆處於如下圖的關閉狀態,無需額外操作。image

      4. 如果防火牆已開啟,需允許存取HTTPS規則。

        如何允許存取防火牆HTTPS規則

        1. 單擊左側進階設定 > 入站規則,檢查是否存在協議為TCP,本地連接埠為443,操作阻止的入站規則。

        2. 若存在此類規則,需要按右鍵相應規則並選擇屬性,在常規頁簽,將其修改為允許串連應用

        3. 更多防火牆配置,請參見配置防火牆規則

      解決方案二:認證申請面板,單擊撤回申請,修改網域名稱驗證方式為手動DNS驗證

    2. 存在301或302重新導向跳轉

      • 使用wget -S <URL地址>命令檢測該驗證URL地址是否存在跳轉。若返回 HTTP/1.1 301 Moved Permanently 或 HTTP/1.1 302 Found,則說明存在重新導向。

        wget -S http://<您的網域名稱>/.well-known/pki-validation/<驗證檔案名稱>

      • 刪除重新導向配置。以下為Nginx設定檔nginx.conf中301和302配置範例程式碼。

        301配置

        server {
    listen 80;
    server_name <您主網域名稱> <您的www子網域名稱>;
    return 301 跳轉網域名稱$request_uri;
}

        302配置

        location /.well-known/ {
    return 302 <重新導向地址>
}

    • 網域名稱伺服器的網路異常。

      聯絡對應的網域名稱服務 (DNS)商,檢查並修複網路情況。

    • 個人測試認證申請的網域名稱含有敏感詞。

      解決方案一:更換特殊詞(edu、gov、org、jp(國家縮寫)、pay、bank、live、nuclear等),重新發起申請。

      解決方案一:如網域名稱無法更改,請您購買OV、EV認證的認證。

    控制台提示“檔案內容不正確”怎麼辦?

    常見原因及解決方案如下

    1. 網域名稱伺服器下存在舊檔案未及時刪除

      1. 認證申請面板,單擊查看檢測到的檔案,並記錄已檢測到的檔案的資訊。檔案資訊

      2. 前往您的網域名稱伺服器,刪除已檢測到的檔案。

        說明

        通常情況下,舊檔案在網站的根目錄/.well-known/pki-validation目錄下。

      3. 請參見檔案驗證,重新下載最新驗證檔案並上傳至網域名稱伺服器。

    2. 未部署HTTPS服務路徑。

      部分網站頁面已啟用HTTPS訪問,而驗證檔案僅部署在HTTP服務路徑下,未部署HTTPS服務路徑下,導致報錯。

      解決方案一:您可以將驗證檔案同時部署在HTTP和HTTPS服務路徑下,並且需要確認HTTPS協議的正常訪問。

      解決方案二:您可以臨時關閉對應網站涉及頁面的HTTPS服務。

    3. 啟用了CDN服務,但未完成CDN服務節點海外資料同步。

      解決方案一:將驗證檔案同步到海外CDN服務節點,或者臨時關閉CDN海外加速服務。

      解決方案二:如果無法對CDN節點伺服器進行變更操作,可在認證申請面板,單擊撤回申請,修改網域名稱驗證方式為手動DNS驗證

    4. 驗證檔案時間戳記逾時。

      訪問數位憑證管理服務控制台,重新下載最新的驗證檔案並上傳到您網站的指定目錄。

    檔案驗證失敗的其他原因

    • www子網域名稱/主網域名稱驗證不全

      根據憑證授權單位 (CA) 的驗證規範,無論您申請的是主網域名稱還是其 www子網域名稱 ,CA都會對這兩個地址同時進行檢查。請務必確保,這兩個網域名稱下的驗證檔案均可被公開訪問,否則驗證將失敗。

      說明

      www.example.comaliyundoc.com網域名稱為例,您需要同時確保http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt都可被訪問,否則驗證將不通過。

    • 未關閉HTTPS服務

      伺服器如果有HTTPS服務,需確保可通過HTTPS地址訪問到驗證檔案內容,否則建議您暫時關閉該網域名稱的HTTPS服務,否則會到證驗證失敗。

      說明

      如果伺服器未配置過HTTPS服務,只需確保HTTP地址可以訪問到驗證檔案內容。

    萬用字元網域名稱支援檔案驗證嗎?

    不支援,詳情可參見【通知】申請萬用字元認證不再支援檔案驗證

    自動驗證

    自動驗證方式是否可以更改?

    不能,若需要更改驗證方式請切換至其他阿里雲帳號,重新進行認證購買。完成購買後可參見網域名稱所有權驗證完成網域名稱所有權驗證。

    OV、EV認證常見問題

    CA中心收到您的OV或EV認證申請後,將向您的連絡人郵箱發送一封網域名稱驗證郵件或撥打連絡人電話進行驗證。常見問題如下:

    可以只驗證郵件不電話中完成驗證嗎?

    可以,但要回複郵件說明情況。

    驗證郵件一般有哪些?郵件接收人是誰?

    CA中心會發送網域名稱驗證和訂單確認郵件給認證申請時連絡人預留的郵箱。連絡人管理可參見管理連絡人。不同的認證品牌郵件內容可能存在差異,可參考下方郵件說明:

    重要

    以下郵件內容僅供參考,請您以實際收到的為準。

    GlobalSign

    image

    其他問題

    控制台顯示網域名稱驗證通過,但是認證一直未簽發?

    控制台驗證結果僅供參考,控制台驗證通過不代表完成CA驗證並簽發認證,實際驗證和簽髮結果請以CA中心檢測為準。一般情況下,DV認證的平均簽發時間為1~15分鐘,EV或OV認證平均簽發時間長度為5個自然日。特殊情況下可能導致認證審核時間長度增加,常見原因及解決方案如下:

    1. 網域名稱存在 CAA 解析記錄

      方案一:請前往雲DNS解析控制台,在網域名稱的解析配置頁,將記錄類型為“CAA”的解析記錄刪除,操作完成後重新申請認證即可。

      方案二:將認證對應的CA機構加入CAA 解析記錄,操作完成後重新申請認證即可。

      什麼是 CAA 解析記錄?

      CAA(Certification Authority Authorization, 憑證授權單位授權) 是一種 DNS 記錄類型,它允許網域名稱所有者通過 DNS 明確指定哪些 CA(憑證授權單位)被授權為自己的網域名稱簽發 SSL/TLS 認證。這樣可以有效防止非法或錯誤的認證簽發,提升網站安全。

      重要

      使用 GitHub Page 服務把網域名稱 CNAME 到 github.io網域名稱,會同步引用 github.io 的 CAA 策略從而影響到認證的簽發。針對這種特殊情況,您可以在認證簽發前暫停該 CNAME 記錄,或將 CAA 記錄加上 trust-provider.com、globalsign.com 、sectigo.com。

    2. 網域名稱包含敏感詞

      如果您的網域名稱中包含某些敏感詞可能會觸發人工審核機制,審核時間會比較長。耐心等待人工複審結果,如未審核通過,可更換網域名稱重新申請。

      常見敏感詞

      live、bank、banc、fund、wallet、pay、lv、nuclear、pw、asia、ban.c、alpha、test、example、credit、apple、ebay、trust、root、amazon、android、visa、google、discover、financial、wordpress、pal、hp、free、SCP等。

    3. 防火牆等安全裝置影響CA驗證

      在政府單位、國有企業等高度隔離的網路環境中,CA在驗證網域名稱所有權時可能會受到網路限制,導致認證長時間處於審核狀態。因此,為確保認證能夠順利簽發,需要在防火牆等安全裝置配置CA白名單。

      CA中心IP地址

      CA廠商

      IP

      DigiCert

      • 216.168.247.9

      • 64.78.193.238

      • 216.168.249.9

      GlobalSign

      • 211.123.204.251

      • 180.222.177.99

      • 114.179.250.1

      • 114.179.250.2

      • 27.115.18.218

    4. 主網域名稱與www子網域名稱的未雙向覆蓋

      根據憑證授權單位 (CA) 的驗證規範,無論您申請的是主網域名稱 (如 example.com)還是其 www 子網域名稱(如 www.example.com),CA都會對這兩個地址同時進行檢查請務必確保,這兩個網域名稱下的驗證檔案均可被公開訪問,否則驗證將失敗。

    為什麼網域名稱解析已經生效,但是控制台驗證仍舊不通過?

    控制台驗證解析記錄,不管是檔案驗證還是DNS驗證都存在一定的延遲,您無需其他動作,耐心等待即可。

    控制台顯示網域名稱驗證通過,但是認證卻“審核失敗”?

    控制台驗證結果僅供參考,控制台驗證通過不代表完成CA驗證並簽發認證,可參見SSL認證審核失敗的原因及處理方法擷取認證審核失敗解決方案。

    網域名稱解析供應商不是阿里雲,是否可申請阿里雲SSL認證?

    可以。 您只需完成網域名稱所有權驗證即可,這與網域名稱服務 (DNS)商無關。

    方案

    操作方法

    優點

    在原服務商配置

    登入您當前網域名稱平台,添加從阿里雲擷取SSL認證驗證記錄 (TXT)。

    說明

    若有疑問請聯絡您的網域名稱解析供應商。

    快速直接,無需轉移網域名稱。

    將網域名稱轉入阿里雲

    參考網域名稱轉入阿里雲完成轉入後,在Alibaba Cloud DNS控制台完成DNS解析配置。

    重要

    網域名稱轉入時您需交納一年的續約費用,即網域名稱轉入價格為網域名稱續約一年的價格。

    方便未來認證續簽和網域名稱統一管理。

    SSL認證是否可以在內網使用?

    能。但是新申請的認證由於CA中心要通過公網完成網域名稱驗證,所以驗證過程中需要開通公網存取權限,驗證通過後關閉許可權即可。簽發後的認證對使用環境無限制。