步骤三：域名验证_云证书管理服务 CCM_快速入门_申购SSL证书

前提条件

• 已完成域名备案。如果未进行域名备案将导致域名验证失败，请先完成域名备案。
• 文件验证：已获取登录服务器的帐号和密码。
• 邮箱验证：已获取登录申请域名的域名管理员邮箱的帐号和密码，域名管理员邮箱查询方法请参见如何查询域名管理员邮箱？。
• DNS验证：已获取登录管理控制台的帐号和密码。
• 证书的状态为“待完成域名验证”。

约束限制

• 纯IP（公网IP）的证书仅支持通过“文件验证”方式进行验证。
• DV类型证书和DV（Basic）类型证书（GeoTrust入门级SSL证书和DigiCert免费SSL证书）默认通过“DNS验证”方式进行验证。
• 如果您选择的是手动DNS验证，域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。

自动DNS验证

DNS验证，是指在域名管理平台通过解析指定的DNS记录，验证域名所有权。

自动DNS验证无需您进行任何操作，系统将自动添加DNS记录验证。

以下场景系统将执行自动DNS验证：

• 购买的为OV、OV Pro、EV或EV Pro型证书（以下条件必须全部满足）：
  • 单域名类型的证书
  • 在华为云上申请的域名
  • 域名已使用华为云云解析服务
  • 申请证书时选择的域名验证方式为“自动DNS验证”
• 购买的为DV型或DV（Basic）型证书（以下条件必须全部满足）：
  • 单域名类型的证书
  • 在华为云上申请的域名
  • 域名已使用华为云云解析服务

请您耐心等待系统进行自动DNS验证。DNS验证完成后，CA机构需要2-3个工作日对DNS验证信息进行审核，审核通过后，证书将进入下一个状态。

手动DNS验证

DNS验证，是指在域名管理平台通过解析指定的DNS记录，验证域名所有权。

本部分内容将指导您如何将域名托管至华为云云解析服务并完成DNS验证。如果您需要在华为云平台管理您的域名，请参考本部分进行操作。

• 您需要在您的域名管理平台修改DNS解析，DNS解析才能生效。
• 如果您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，有以下两种方式完成DNS验证：
  • 第一种：前往您域名的托管管理平台，按照其平台解析方法完成DNS验证，例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。
  • 第二种：先将您的域名托管到华为云云解析服务，再参考本章节完成DNS验证。

  为了顺利的完成DNS验证，早日签发证书，建议您采用第二种方式。

• 如果您购买的是多域名类型的证书，且选择的域名验证方式为DNS验证，则每个域名均需要做DNS验证。

步骤一：获取证书的主机记录和记录值

1. 登录管理控制台。
2. 进入域名验证页面，如图1所示。
   图1 进入域名验证页面
   
3. 在证书的域名验证页面，查看并记录“主机记录”、“记录类型”和“记录值”，如图2所示。
   如果界面未显示，则请登录邮箱（申请证书时填写的邮箱）进行查看。

   图2 查看主机记录
   

步骤二：域名托管至华为云云解析服务

步骤三：在华为云的云解析服务上进行DNS验证

以下操作步骤是以申请证书的域名“domain3.com”添加一条DNS记录“2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb”（记录类型为TXT）为例说明，在华为云的云解析服务上进行DNS验证的操作步骤。

1. 登录管理控制台。
2. 选择“网络 > 云解析服务”，进入“云解析”页面。
3. 在左侧树状导航栏，选择“域名解析 > 公网解析”，进入“公网域名”页面。
4. 在“公网域名”页面的域名列表中，单击添加的域名名称（多域名类型证书则添加主域名名称），进入该域名的记录集页面。
5. 在页面右上角，单击“添加记录集”，进入“添加记录集”页面，如图3所示。
   

   如果在“解析记录”的域名列表中，已存在域名“domain3.com”的TXT记录值，直接在目标域名的“操作”列，单击“修改”，进入“修改记录集”页面。

   图3 添加记录集
   
   • “主机记录”：“域名验证”页面，域名服务商返回的“主机记录”的前缀。

     根据域名服务商不同，返回的“主机记录”不同，以下仅为两个样例。

     举例：

     • 如果域名服务商返回的“主机记录”为“_dnsauth.domain3.com”，则主机记录填写“_dnsauth”。
     • 如果域名服务商返回的“主机记录”为“domain3.com”，则“主机记录”为空，不需要填写。
   • “类型”：选择“TXT – 设置文本记录”。
   • “线路类型”：全网默认。
   • “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。
   • “值”：“域名验证”页面，域名服务商返回的“记录值”。
     

     记录值必须用英文引号引用后粘贴在文本框中。

   • 其他的设置保持不变。
6. 单击“确定”，记录集添加成功。
   当记录集的状态显示为“正常”时，表示记录集添加成功。

   

   • 该DNS配置记录在证书颁发或吊销后才可以删除。
   • 请您务必检查是否正确配置了DNS记录，DNS没有配置正确是无法签发证书的。
7. 验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待完成域名验证”。

   CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

查看域名验证是否生效

1. 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。
2. 在cmd中输入以下命令，查看域名授权验证配置是否已经生效。

   nslookup -q=TXT xxx

   xxx代表域名服务商返回的“主机记录”值。

   • 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图4所示，说明域名授权验证配置已经生效。
     图4 域名授权验证配置生效
     
   • 如果界面回显信息不存在TXT记录，显示为“Non-existent domain”，说明域名授权验证配置未生效。
     图5 域名授权验证配置未生效
     
     如果域名验证配置未生效，请根据以下两种可能的原因进行排除修改，直至验证生效：

     • 配置的生效时间过长，生效时间还未到，因此无法查询到数据。

       请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效。

     • 记录配置出错。
       请您检查“主机记录”或“类型”是否填写正确。

       

       请您确认您的域名管理平台提供的主机记录是否支持全域名，如果您的域名管理系统不支持全域名的主机记录，请去掉根域名的后缀部分。

文件验证

文件验证指通过在服务器上创建指定文件的方式来验证域名所有权。

在您成功申请证书后，需要按照订单进度提示完成域名授权验证配置，否则证书将一直处于“待完成域名验证”状态，且您的证书将无法通过审核。

如果您购买的是多域名类型的证书，且选择的域名验证方式为文件验证，则每个域名均需要做文件验证。

文件验证方式一般需要由您的服务器管理人员进行操作。本部分内容将介绍如何进行文件验证。

1. 登录管理控制台。
2. 进入域名验证页面，如图6所示。
   图6 进入域名验证页面
   

3. 在域名验证页面中，查看此处的“记录值”或按照页面中的提示，登录邮箱（申请证书时填写的邮箱）查看“记录值”。
   图7 文件验证
   

4. 登录您的服务器。
5. 在网站根目录下，创建指定的文件。
   

   网站根目录是指您在服务器上存放网站程序的文件夹，大致有这几种表示名称：wwwroot、htdocs、public_html、webroot等。请您根据实际情况进行操作。

   示例：

   如下以网站根目录为“/www/htdocs”为例进行说明：

   1. 在网站根目录下，创建“.well-known/pki-validation”子目录。

      此处则在“/www/htdocs”目录下进行创建，请您根据实际情况进行操作。

   2. 在“.well-known/pki-validation”子目录下，创建一个名称为“whois.txt”的文件。
   3. 将3中的记录值放在“whois.txt”文件内。

6. 验证配置是否生效。
   1. 打开浏览器，访问URL地址“https://yourdomain/.well-known/pki-validation/whois.txt”或“http://yourdomain/.well-known/pki-validation/whois.txt”。

      请将URL地址中的yourdomain替换成您申请证书时绑定的域名。

      • 如果您的域名是普通域名，则请参照以下方法进行操作：

        例如，如果您的域名为example.domain.com，则访问的URL地址为：https://example.domain.com/.well-known/pki-validation/whois.txt或http://example.domain.com/.well-known/pki-validation/whois.txt

        

        对于www开头的域名，例如www.domain.com，则需要执行以下操作：

        1. 执行1~6，对域名www.domain.com进行文件验证并查看验证是否生效。
        2. 执行本步骤（即6），访问URL地址“https://domain.com/.well-known/pki-validation/whois.txt”查看回显的值。

           回显的值需要跟SSL证书管理控制台的域名验证页面或邮件中显示的记录值（即3中查看的记录值）一致。

      • 如果您的域名为泛域名，则请参照以下方法进行操作：

        例如，如果您的域名为*.domain.com，则访问的URL地址为：https://domain.com/.well-known/pki-validation/whois.txt或http://domain.com/.well-known/pki-validation/whois.txt

   2. 查看验证是否生效。

      确认验证URL地址在浏览器中可正常访问，且页面中显示的内容和订单进度页面或邮件中的记录值内容一致。

      • 如果界面回显的记录值与SSL证书管理控制台的域名验证页面或邮件中显示的记录值（即3中查看的记录值）一致，则说明域名授权验证已生效。
      • 如果界面回显信息不一致，则说明域名授权验证未生效。
        如果配置未生效，请从以下几方面进行排查和处理：

        • 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在，请在浏览器中使用HTTPS重新访问，如果浏览器提示“证书不可信”或者显示的内容不正确，请您暂时关闭该域名的HTTPS服务。
        • 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外，请确认您的站点是否有国外镜像，或者是否使用了智能DNS服务。
        • 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转，请取消相关设置关闭跳转。

          您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

7. 验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待完成域名验证”。

   若您已完成域名验证操作，由于CA机构需要2-3个工作日对您提交的信息进行验证，请您耐心等待。CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

邮箱验证

申请证书后，CA机构会发送域名确认邮件到您的域名管理员邮箱，您需要按照提示进行操作，从而进行域名验证，验证通过后，证书审核才可以进入下一个状态。

如果您购买的是多域名类型的证书，选择的域名验证方式为邮箱验证，且邮箱为不同的邮箱地址，则每个域名均需要做邮箱验证。

本部分内容将指导您如何通过邮箱验证来完成域名授权验证。

1. 登录您申请域名的域名管理员邮箱。
2. 打开来自CA机构的域名确认邮件。
3. 单击邮件中的认证按钮，完成域名验证。

   验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待完成域名验证”。

   若您已完成域名验证操作，由于CA机构需要2-3个工作日对您提交的信息进行验证，请您耐心等待。CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

后续处理

如果您申请的OV、OV Pro、EV或EV Pro类型的证书，域名验证完成后，CA机构将向您填写的邮箱发送一封组织验证邮件，并根据您选择的验证方式与您进行联系，确认企业/组织是否发起了此次的证书订单申请。具体操作请参见组织验证。