SSL证书提交申请信息后,您需要配合CA中心验证待申请的证书绑定的域名是否属于证书申请人,待域名所有权验证完成且CA中心审核通过后,才会签发证书。本文介绍您在申请证书时配合CA中心进行域名验证的具体方法。

背景信息

说明 自2021年11月15日起,通配符域名(例如*.aliyundoc.com、*.abc.aliyundoc.com等)不支持文件验证方式。更多信息,请参见【通知】申请通配符证书不再支持文件验证

下表为您介绍不同类型证书的域名验证方式以及操作指导。

证书类型 场景 域名验证方式
DV证书 DNS云解析服务与证书申请者属于同一阿里云账号 自动DNS验证:表示您已授权数字证书管理服务修改域名的DNS解析记录,数字证书管理服务会自动在域名控制台的解析记录中添加一条记录,无需您手动添加域名解析记录。更多信息,请参见DNS云解析服务与证书申请者属于同一阿里云账号
DNS云解析服务与证书申请者不属于同一阿里云账号
  • 手工DNS验证:使用该方式时,您需要手动修改域名的DNS解析记录,并在证书绑定域名的域名控制台,添加一条解析记录用于域名所有权验证。具体操作,请参见手工DNS验证
  • 文件验证:您需要手动从数字证书管理服务控制台下载一个专用的证书验证文件,然后将该文件上传到站点服务器的指定验证目录。具体操作,请参见文件验证
OV或EV证书 不区分 本地邮件验证:在数字证书管理服务控制台提交OV或EV证书申请后,CA中心会在1个工作日(具体时间以CA中心所在地的时间为准,如遇节假日该时间会顺延)内向您提交证书申请时填写的邮箱中发送证书初审邮件。收到初审邮件后,您需要根据邮件中提供的域名验证步骤完成域名验证操作

域名所有权验证过程中,如果遇到了问题,请加入钉群(钉群号:32435999),联系产品技术专家进行咨询

DNS云解析服务与证书申请者属于同一阿里云账号

如果您当前的阿里云账号与域名的DNS云解析服务所在账号一致,申请DV证书时,阿里云数字证书管理服务将会自动识别,并默认选择自动DNS验证方式,且不支持修改,提交审核后,系统会自动进行DNS验证,请您耐心等待。

如果DNS验证失败,您可以参考系统页面提示,并结合本文内容尝试解决后,重新单击验证。更多信息,请参见常见问题
警告 请您在证书签发后再删除域名验证记录,否则会因为没有解析记录导致证书签发失败。

DNS云解析服务与证书申请者不属于同一阿里云账号

申请DV证书时,如果您当前的阿里云账号与域名的DNS云解析服务所在账号不一致,您可以选择以下方式进行域名所有权验证。

手工DNS验证

通过手工DNS验证方式验证域名时,需同时满足以下条件:
  • 证书的域名类型为单域名或通配符域名。
  • 域名通过第三方平台注册,且您有权限修改域名的DNS解析设置(即拥有域名管理权限)。
  1. 登录数字证书管理服务控制台,通过以下方式进入域名验证环节。
    • 方式一:提交DV证书申请时,域名验证方式选择手工DNS验证,填写完其他申请信息后,即进入域名验证环节。
    • 方式二:在证书列表中定位到目标证书,在操作列,单击验证,进入域名验证环节。
      重要 验证操作,仅在证书状态为待验证时才会显示。
  2. 证书申请面板的验证信息页签,获取验证信息。
    验证信息
  3. 在您的DNS解析服务器,为域名添加DNS解析记录。
    下面以阿里云云解析DNS为例,为您演示为域名添加DNS解析记录的过程,供您参考。
    重要 如果您域名对应的DNS域名解析服务不在阿里云,请您前往域名对应的DNS域名解析商添加解析记录。
    1. 使用域名持有者所在的阿里云账号,登录云解析DNS控制台
    2. 域名解析页面,定位到证书绑定的域名,单击域名名称。
    3. 解析设置页面,单击添加记录
    4. 添加记录面板,将步骤2获取到的验证信息,添加至对应的云解析DNS配置项,单击确认
      添加域名解析记录
      添加完成后,您可以在记录列表中查看已添加的记录。该记录默认生效(状态正常)。解析记录
  4. 配置完成解析记录后,返回验证信息页签,单击验证
    DNS验证失败的解决办法,请参见常见问题
    警告 请您在证书签发后再删除域名验证记录,否则会因为没有解析记录导致证书签发失败。

文件验证

通过文件验证方式验证域名时,需同时满足以下条件:
  • 证书的域名类型为单域名。
  • 域名通过第三方平台注册,且您有权限向网站所在服务器的根目录写入内容(即拥有服务器管理权限)。
  • 目前CA中心仅支持向80、443端口发起认证请求。如果您的服务器未开放80、443端口,则请勿使用文件验证方式。
  1. 登录数字证书管理服务控制台,通过以下方式进入域名验证环节。
    • 方式一:提交DV证书申请时,域名验证方式选择文件验证,填写完其他申请信息后,即进入域名验证环节。
    • 方式二:在证书列表中定位到目标证书,在操作列,单击验证,进入域名验证环节。
      重要 验证操作,仅在证书状态为待验证时才会显示。
  2. 验证信息页签,单击专有验证文件,下载专有验证文件压缩包到本地计算机并解压缩。
    下载的文件是一个ZIP压缩包,将其解压缩后可以获得fileauth.txt专有验证文件。该文件仅在下载后的3天内有效,如果您逾期未完成文件验证,则需要重新下载专有验证文件。
    重要 下载并解压缩获得专有验证文件后,请勿对文件执行任何操作,例如,打开、编辑、重命名等。
    文件验证
    不同服务器、不同Web程序,文件验证配置操作不同。以下以安装在ECS实例上的Nginx服务(Linux版本)为例,介绍如何进行文件验证配置。
    说明 建议由服务器管理员进行操作。
    1. 连接您的服务器。具体操作,请参见连接ECS实例
    2. 依次执行如下命令,在服务器的Web根目录(Nginx服务默认为var/www/html/)下创建文件验证目录(.well-known/pki-validation/)。
      cd /var/www/html
      mkdir .well-known
      cd .well-known
      mkdir pki-validation
      cd pki-validation
    3. 使用ECS云助手,将专有验证文件(fileauth.txt)上传到验证目录(var/www/html/.well-known/pki-validation/)。具体操作,请参见上传本地文件到ECS实例
    4. 执行ls命令,验证专有验证文件是否上传到验证目录。

      如果返回结果中有fileauth.txt,表示验证文件已经配置成功。

  3. 在服务器配置完验证文件后,返回证书申请面板,并在验证信息页签,单击验证
    CA中心将会依次尝试访问https://yourdomain/.well-known/pki-validation/fileauth.txthttp://yourdomain/.well-known/pki-validation/fileauth.txt,验证专有验证文件已配置正确。如果上述URL可以正常访问,则验证通过。建议您自行验证并确保上述URL可访问。
    重要
    • 如果您的域名支持HTTPS服务,请确保上述HTTPS地址可被访问,且证书可信。否则,建议您暂时关闭该域名的HTTPS服务,以免影响验证。
    • 如果您的域名为二级域名(例如:aliyundoc.com),您需要确保该域名以www.为起始的三级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://<aliyundoc.com>/.well-known/pki-validation/fileauth.txthttp://<www.aliyundoc.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。
    • 如果您的域名为以www.为起始的三级域名(例如:www.example.com),您需要确保该域名对应的二级域名也可被访问。以www.example.com域名为例,您需要同时确保http://<www.example.com>/.well-known/pki-validation/fileauth.txthttp://<example.com>/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。
    验证失败的处理方法,请参见常见问题
    警告 请您在证书签发后再删除域名验证记录,否则会因为没有解析记录导致证书签发失败。

常见问题

未检测到DNS记录值

由于DNS记录配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待10分钟后,执行验证操作。TTL

如果验证仍失败,请您参考手工DNS验证示例,尝试重新为该域名添加一条DNS解析记录。具体操作,请参见手工DNS验证

DNS记录值不匹配

您可以参考以下步骤,在域名解析服务器删除不匹配解析记录,并重新为该域名添加一条解析记录。
  1. 证书申请面板,单击查看检测到的记录值查看检测到的记录值
  2. 在弹出的对话框,查看检测到的解析值需要您添加的解析值解析值
  3. 前往您的域名解析服务器,删除检测到的解析值

    下面以阿里云云解析DNS为例,为您演示删除记录的具体操作。

    1. 登录云解析DNS控制台
    2. 域名解析页面,定位到证书绑定的域名,单击域名名称。
    3. 在解析设置页面,定位到检测到的解析值,在操作列,单击删除
  4. 在解析设置页面,重新为该域名添加一条DNS解析记录(即需要您添加的解析值)。您可参考手工DNS验证示例添加解析记录,具体操作,请参见手工DNS验证

自动或手工DNS验证超时

您可以通过以下方法排查验证超时的原因。
  • 检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,再进行域名所有权验证。
  • 检查域名解析是否正常。您可以联系域名服务商确认域名解析是否正常。
  • 确认域名是否已完成备案和实名认证。如未完成,请在完成域名备案和实名认证后,进行域名所有权验证。
  • 检查域名是否包含CAA记录。CAA记录会导致验证失败,如果域名中存在CAA记录,请在删除该记录后,进行域名所有权验证。

文件验证超时

您可以通过以下方法排查文件验证超时的原因。
  • 检查域名服务器的网络是否有异常。如果有异常,请先修复网络异常问题,再进行域名所有权验证。
  • 检查域名服务器是否开放了80或443端口。如果未开放,请在开放域名服务器的80或443端口后,再进行域名所有权验证。
    重要 使用文件验证方式需要域名服务器开放80或443端口。如果您的域名服务器无法开放80或443端口,您需要使用手工DNS验证方式完成验证。在证书申请面板,单击上一步,修改域名验证方式为手工DNS验证
  • 如果申请的是国际品牌证书(例如DigiCert、GolbalSign),您需要确保域名服务器可通过中国境外的网络访问。建议您在域名服务器中临时将CA中心的IP地址添加到白名单中,确保CA中心可以正常访问您的域名服务器,完成域名所有权验证。如何获取CA中心IP地址,请加入钉群(钉群号:32435999),联系产品技术专家进行咨询
    说明 在证书签发后,建议您删除已配置的IP白名单,防止再次申请证书时出现未知问题。

未检测到文件

您可能未在域名服务器上传专有验证文件或上传专有验证文件失败。请您在验证信息页签,下载专有验证文件并上传至服务器。具体操作,请参见文件验证

文件内容不正确

您可以参考以下步骤处理。
  1. 证书申请面板,单击查看检测到的文件,并记录已检测到的文件的信息。文件信息
  2. 前往您域名服务器,删除已检测到的文件。

    通常情况下,旧文件在站点的根目录/.well-known/pki-validation目录下。

  3. 重新在域名服务器中上传专有验证文件。您可参考文件验证示例添加解析记录,具体操作,请参见文件验证