SSL證書需要驗證申請者對域名的管理權,目前常用的域名驗證方式有:DNS解析驗證、網站FTP驗證、域名郵箱驗證這3種驗證方式,只需滿足其中一項的驗證要求就可以通過驗證,那么該如何選擇最適合自己的驗證方式?
注意:如您的域名DNS在我司,我司將自動授權系統添加TXT/CNAME解析記錄,自動完成域名所有權驗證。
一、DNS解析驗證(域名DNS在我司時自動解析)
DNS驗證一般需要由您的域名管理人員進行操作,SSL證書機構會給出TXT/CNAME解析記錄值,域名管理人員在域名解析服務商中增加解析記錄,設置成功后系統會自動完成域名授權驗證。
?
您可以在域名的DNS服務商網站平臺,添加記錄,以中資源為例簡要說明:
?
1、登錄系統進入會員中心,點擊【域名管理】-【域名管理列表】,找到需要配置的域名,點擊【解析】操作;
?
?
2、進入域名解析頁面,根據【域名所有權驗證頁面】返回的表格,填寫各項記錄值,點擊“保存”。?
注意: a、解析記錄需保留到證書頒發后,才可刪除。 b、添加解析記錄后,一般30分鐘后會生效,如域名驗證狀態未更新,請使用nslookup/dig工具檢查您的解析情況,或者聯系我司客服。 c、如果同主機名下已經存在CNAME解析。請修改原CNAME紀錄為A記錄,然后再添加上述驗證解析記錄。CNAME記錄值可能影響驗證,如果無法刪除CNAME記錄,請嘗試文件驗證方式。 |
?
二、網站FTP驗證
是通過申請者將CA提供的一個驗證文件,上傳到網站特定目錄來完成域名所有權的審核。?
1、下載文件:
下載專有驗證文件?fileauth.txt文件,下載后不要編輯,不要打開,不要重命名。
2、創建目錄:
在站點的根目錄下創建.well-known/pki-validation子目錄。注意第一層目錄是帶點的隱藏目錄,Windows下命令為:md ".well-known"。 將下載到本地的文件上傳到該子目錄中。如果您的站點由于某種原因無法創建隱藏目錄,選擇其它DNS驗證方式。
3、配置檢測:
HTTP配置檢測鏈接:http://您的域名/.well-known/pki-validation/fileauth.txt?
請確保您的主機服務商沒有屏蔽國外訪問。如已屏蔽,請聯系主機服務商。
如果用了CDN、WAF等服務,請確認證書是否有效,強烈建議臨時關閉相關服務的HTTPS。
常見的錯誤: 如果您的網站,有設置http自動跳轉到https,驗證期間請先取消跳轉設置。 |
?
三、域名郵箱驗證方式
域名驗證郵件將發送至申請者選擇的“管理員郵箱”,可供選擇的“管理員郵箱”選項包括:?
1、WHOIS注冊中列示的,注冊人(Registrant Email)和管理人(Admin Email)的電子郵箱(即whois郵箱)。
需要注意的是:如果需要使用這類郵箱,必須確保該域名沒有處在隱私保護狀態下,如是whois注冊信息處于隱私狀態,則無法選擇whois郵箱驗證;
2、選擇域名郵箱驗證單選框,選擇能正常收取郵件的郵箱地址(注意:如這幾個郵箱都已不再使用,建議更換為前兩種解析方式)。
3、域名驗證郵件會發送至您選擇的whois郵箱,您僅需登錄此郵箱,找到域名驗證郵件,點擊確認即可。
