DNS验证,是指在域名管理平台通过解析指定的DNS记录,来验证域名所有权的一种方式。SSL证书管理中支持自动DNS验证和手动DNS验证两种DNS验证方式。
本章节将介绍如何进行手动DNS验证。
手动DNS验证是指您需要前往域名的DNS解析服务商进行操作。
以下场景可照本章节内容来完成域名所有权的验证:
- 当您申请证书时,“域名验证方式”选择的是“手动DNS验证”。
- 您购买的是DV或DV(Basic)类型的证书,且您的域名托管在华为云以外的域名管理平台。
- 自动DNS验证是指系统自动添加DNS记录验证,无需您进行任何操作。以下场景系统将执行自动DNS验证:
- 购买的为OV、OV Pro、EV或EV Pro型证书(以下条件必须全部满足):
条件二:在华为云上申请的域名
条件三:域名已使用华为云云解析服务
条件四:申请证书时选择的域名验证方式为“自动DNS验证”
- 购买的为DV型或DV(Basic)型证书(以下条件必须全部满足):
条件二:在华为云上申请的域名
条件三:域名已使用华为云云解析服务
申请证书后,请您耐心等待系统进行自动DNS验证。DNS验证完成后,CA机构需要2-3个工作日对DNS验证信息进行审核,审核通过后,证书将进入下一个状态。
- 购买的为OV、OV Pro、EV或EV Pro型证书(以下条件必须全部满足):
- 在您成功申请证书后,如果未按照证书列表页面的提示完成域名授权验证配置,证书状态将一直处于“待完成域名验证”,导致您的证书无法通过审核而迟迟不能签发。
- 为了更顺畅的完成DNS验证,早日签发证书,建议由您的专业域名管理人员进行相关操作。
约束与限制
DNS验证即解析DNS记录,只能在域名管理平台即您的域名托管平台上进行解析。
- 第一种:前往您域名的托管管理平台,按照其平台解析方法完成DNS验证。例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置。
- 第二种:先参考域名托管至华为云云解析服务将您的域名托管到华为云云解析服务,再参考在华为云的云解析服务上进行DNS验证完成DNS验证。
为了顺利的完成DNS验证,早日签发证书,建议您采用第二种方式。
域名托管至华为云云解析服务
- 通过华为云注册的域名,参考配置网站解析(华为云注册域名)将您的域名托管到华为云云解析服务。
- 通过华为云以外的第三方域名注册商注册的域名,参考配置网站解析(第三方注册域名)将您的域名托管到华为云云解析服务。
若域名的DNS服务器设置与NS记录集的值不符,则域名无法正常解析,您需要到域名注册商处将域名的DNS服务器修改为华为云云解析服务的DNS服务器地址,即必须完成更改域名的DNS服务器。
在华为云的云解析服务上进行DNS验证
以下操作步骤是以申请证书的域名“domain3.com”添加一条DNS记录“2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb”(记录类型为TXT)为例说明,在华为云的云解析服务上进行DNS验证的操作步骤。
- 登录管理控制台。
- 选择“云解析”页面。 ,进入
- 在左侧树状导航栏,选择“公网域名”页面。 ,进入
- 在“公网域名”页面的域名列表中,单击需要解析的域名“domain3.com”,进入“解析记录”页面。
- 在“解析记录”页面的右上角,单击“添加记录集”,进入“添加记录集”页面。
如果在“解析记录”的域名列表中,已存在域名“domain3.com”的TXT记录值,直接在目标域名的“操作”列,单击“修改”,进入“修改记录集”页面。
- “主机记录”:“域名验证”页面,域名服务商返回的“主机记录”的前缀。
根据域名服务商不同,返回的“主机记录”不同,以下仅为两个样例。
举例:- 如果域名服务商返回的“主机记录”为“_dnsauth.domain3.com”,则主机记录填写“_dnsauth”。
- 如果域名服务商返回的“主机记录”为“domain3.com”,则“主机记录”为空,不需要填写。
- “类型”:选择“TXT – 设置文本记录”。
- “线路类型”:全网默认。
- “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
- “值”:“域名验证”页面,域名服务商返回的“记录值”。
记录值必须用英文引号引用后粘贴在文本框中。
- 其他的设置保持不变。
图1 添加记录集 - “主机记录”:“域名验证”页面,域名服务商返回的“主机记录”的前缀。
- 验证完成后,CA机构可能还需要一段时间审核域名信息。在此期间,证书状态为“待完成域名验证”。
CA机构审核通过后,证书审核才可以进入“待完成组织验证”状态。
查看域名验证是否生效
- 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。
- 在cmd中输入以下命令,查看域名授权验证配置是否已经生效。
nslookup -q=TXT xxx
xxx代表域名服务商返回的“主机记录”值。
- 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图2所示,说明域名授权验证配置已经生效。
- 如果界面回显信息不存在TXT记录,显示为“Non-existent domain”,说明域名授权验证配置未生效。图3 域名授权验证配置未生效