证书提交申请后,您需要进行域名授权验证。按照CA中心的规范,如果您申请了数字证书,您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。当您按照要求正确配置域名验证信息,待域名授权验证完成,CA系统中心审核通过后,证书审核才可以进入下一个状态。
如果不完成域名验证,您的证书将无法通过审核,且您的证书申请将会一直显示“待完成域名验证”的状态。
华为云SSL证书管理提供以下三种方式,根据您申请证书时,选择的验证方式进行操作:
前提条件
- 已完成域名备案。如果未进行域名备案将导致域名验证失败,请先完成域名备案。
- 文件验证:已获取登录服务器的帐号和密码。
- 邮箱验证:已获取登录申请域名的域名管理员邮箱的帐号和密码,域名管理员邮箱查询方法请参见如何查询域名管理员邮箱?。
- DNS验证:已获取登录管理控制台的帐号和密码。
- 证书的状态为“待完成域名验证”。
约束限制
- 纯IP(公网IP)的证书仅支持通过“文件验证”方式进行验证。
- DV类型证书和DV(Basic)类型证书(GeoTrust入门级SSL证书和DigiCert免费SSL证书)默认通过“DNS验证”方式进行验证。
- 如果您选择的是手动DNS验证,域名解析只能在您的域名管理平台上进行操作,具体的解析方法以域名服务商提供的解析方法为准。
自动DNS验证
DNS验证,是指在域名管理平台通过解析指定的DNS记录,验证域名所有权。
自动DNS验证无需您进行任何操作,系统将自动添加DNS记录验证。
以下场景系统将执行自动DNS验证:
- 购买的为OV、OV Pro、EV或EV Pro型证书(以下条件必须全部满足):
- 单域名类型的证书
- 在华为云上申请的域名
- 域名已使用华为云云解析服务
- 申请证书时选择的域名验证方式为“自动DNS验证”
- 购买的为DV型或DV(Basic)型证书(以下条件必须全部满足):
- 单域名类型的证书
- 在华为云上申请的域名
- 域名已使用华为云云解析服务
请您耐心等待系统进行自动DNS验证。DNS验证完成后,CA机构需要2-3个工作日对DNS验证信息进行审核,审核通过后,证书将进入下一个状态。
手动DNS验证
DNS验证,是指在域名管理平台通过解析指定的DNS记录,验证域名所有权。
本部分内容将指导您如何将域名托管至华为云云解析服务并完成DNS验证。如果您需要在华为云平台管理您的域名,请参考本部分进行操作。
- 您需要在您的域名管理平台修改DNS解析,DNS解析才能生效。
- 如果您是在其他域名管理平台(如万网、新网、DNSPod等)管理您的域名,有以下两种方式完成DNS验证:
- 第一种:前往您域名的托管管理平台,按照其平台解析方法完成DNS验证,例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置。
- 第二种:先将您的域名托管到华为云云解析服务,再参考本章节完成DNS验证。
为了顺利的完成DNS验证,早日签发证书,建议您采用第二种方式。
- 如果您购买的是多域名类型的证书,且选择的域名验证方式为DNS验证,则每个域名均需要做DNS验证。
步骤一:获取证书的主机记录和记录值
步骤二:域名托管至华为云云解析服务
- 通过华为云注册的域名,参考配置网站解析(华为云注册域名)将您的域名托管到华为云云解析服务。
- 通过华为云以外的第三方域名注册商注册的域名,参考配置网站解析(第三方注册域名)将您的域名托管到华为云云解析服务。
若域名的DNS服务器设置与NS记录集的值不符,则域名无法正常解析,您需要到域名注册商处将域名的DNS服务器修改为华为云云解析服务的DNS服务器地址,即必须完成更改域名的DNS服务器。
步骤三:在华为云的云解析服务上进行DNS验证
以下操作步骤是以申请证书的域名“domain3.com”添加一条DNS记录“2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb”(记录类型为TXT)为例说明,在华为云的云解析服务上进行DNS验证的操作步骤。
- 登录管理控制台。
- 选择“云解析”页面。 ,进入
- 在左侧树状导航栏,选择“公网域名”页面。 ,进入
- 在“公网域名”页面的域名列表中,单击添加的域名名称(多域名类型证书则添加主域名名称),进入该域名的记录集页面。
- 在页面右上角,单击“添加记录集”,进入“添加记录集”页面,如图3所示。
如果在“解析记录”的域名列表中,已存在域名“domain3.com”的TXT记录值,直接在目标域名的“操作”列,单击“修改”,进入“修改记录集”页面。
- “主机记录”:“域名验证”页面,域名服务商返回的“主机记录”的前缀。
根据域名服务商不同,返回的“主机记录”不同,以下仅为两个样例。
举例:- 如果域名服务商返回的“主机记录”为“_dnsauth.domain3.com”,则主机记录填写“_dnsauth”。
- 如果域名服务商返回的“主机记录”为“domain3.com”,则“主机记录”为空,不需要填写。
- “类型”:选择“TXT – 设置文本记录”。
- “线路类型”:全网默认。
- “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
- “值”:“域名验证”页面,域名服务商返回的“记录值”。
记录值必须用英文引号引用后粘贴在文本框中。
- 其他的设置保持不变。
- “主机记录”:“域名验证”页面,域名服务商返回的“主机记录”的前缀。
- 单击“确定”,记录集添加成功。当记录集的状态显示为“正常”时,表示记录集添加成功。
- 该DNS配置记录在证书颁发或吊销后才可以删除。
- 请您务必检查是否正确配置了DNS记录,DNS没有配置正确是无法签发证书的。
- 验证完成后,CA机构可能还需要一段时间审核域名信息。在此期间,证书状态为“待完成域名验证”。
CA机构审核通过后,证书审核才可以进入“待完成组织验证”状态。
查看域名验证是否生效
- 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。
- 在cmd中输入以下命令,查看域名授权验证配置是否已经生效。
xxx代表域名服务商返回的“主机记录”值。
- 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图4所示,说明域名授权验证配置已经生效。
- 如果界面回显信息不存在TXT记录,显示为“Non-existent domain”,说明域名授权验证配置未生效。图5 域名授权验证配置未生效
文件验证
文件验证指通过在服务器上创建指定文件的方式来验证域名所有权。
在您成功申请证书后,需要按照订单进度提示完成域名授权验证配置,否则证书将一直处于“待完成域名验证”状态,且您的证书将无法通过审核。
如果您购买的是多域名类型的证书,且选择的域名验证方式为文件验证,则每个域名均需要做文件验证。
文件验证方式一般需要由您的服务器管理人员进行操作。本部分内容将介绍如何进行文件验证。
- 登录管理控制台。
- 进入域名验证页面,如图6所示。
- 在域名验证页面中,查看此处的“记录值”或按照页面中的提示,登录邮箱(申请证书时填写的邮箱)查看“记录值”。图7 文件验证
- 登录您的服务器。
- 在网站根目录下,创建指定的文件。
网站根目录是指您在服务器上存放网站程序的文件夹,大致有这几种表示名称:wwwroot、htdocs、public_html、webroot等。请您根据实际情况进行操作。
示例:
如下以网站根目录为“/www/htdocs”为例进行说明:
- 在网站根目录下,创建“.well-known/pki-validation”子目录。
此处则在“/www/htdocs”目录下进行创建,请您根据实际情况进行操作。
- 在“.well-known/pki-validation”子目录下,创建一个名称为“whois.txt”的文件。
- 将3中的记录值放在“whois.txt”文件内。
- 在网站根目录下,创建“.well-known/pki-validation”子目录。
- 验证配置是否生效。
- 打开浏览器,访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。
请将URL地址中的yourdomain替换成您申请证书时绑定的域名。
- 如果您的域名是普通域名,则请参照以下方法进行操作:
例如,如果您的域名为example.domain.com,则访问的URL地址为:https://example.domain.com/.well-known/pki-validation/whois.txt或http://example.domain.com/.well-known/pki-validation/whois.txt
- 如果您的域名为泛域名,则请参照以下方法进行操作:
例如,如果您的域名为*.domain.com,则访问的URL地址为:https://domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well-known/pki-validation/whois.txt
- 如果您的域名是普通域名,则请参照以下方法进行操作:
- 查看验证是否生效。
确认验证URL地址在浏览器中可正常访问,且页面中显示的内容和订单进度页面或邮件中的记录值内容一致。
- 如果界面回显的记录值与SSL证书管理控制台的域名验证页面或邮件中显示的记录值(即3中查看的记录值)一致,则说明域名授权验证已生效。
- 如果界面回显信息不一致,则说明域名授权验证未生效。
- 打开浏览器,访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。
- 验证完成后,CA机构可能还需要一段时间审核域名信息。在此期间,证书状态为“待完成域名验证”。
若您已完成域名验证操作,由于CA机构需要2-3个工作日对您提交的信息进行验证,请您耐心等待。CA机构审核通过后,证书审核才可以进入“待完成组织验证”状态。
邮箱验证
申请证书后,CA机构会发送域名确认邮件到您的域名管理员邮箱,您需要按照提示进行操作,从而进行域名验证,验证通过后,证书审核才可以进入下一个状态。
如果您购买的是多域名类型的证书,选择的域名验证方式为邮箱验证,且邮箱为不同的邮箱地址,则每个域名均需要做邮箱验证。
本部分内容将指导您如何通过邮箱验证来完成域名授权验证。
- 登录您申请域名的域名管理员邮箱。
- 打开来自CA机构的域名确认邮件。
- 单击邮件中的认证按钮,完成域名验证。
验证完成后,CA机构可能还需要一段时间审核域名信息。在此期间,证书状态为“待完成域名验证”。
若您已完成域名验证操作,由于CA机构需要2-3个工作日对您提交的信息进行验证,请您耐心等待。CA机构审核通过后,证书审核才可以进入“待完成组织验证”状态。
后续处理
如果您申请的OV、OV Pro、EV或EV Pro类型的证书,域名验证完成后,CA机构将向您填写的邮箱发送一封组织验证邮件,并根据您选择的验证方式与您进行联系,确认企业/组织是否发起了此次的证书订单申请。具体操作请参见组织验证。