如何完成SSL证书域控制验证(DCV)?

好的SSL证书请关注我们

如何完成SSL证书域控制验证(DCV)?

域控制验证


在颁发证书之前,证书申请者需要确认域名所有权。通过新帐户面板的实施,您可以在证书激活期间选择多种SSL证书域控制验证方法(DCV)。
有三种SSL证书域控制验证DCV方法:
电邮验证
基于HTTP的验证
基于DNS的验证

第一种域SSL证书控制验证方法,电邮验证。确保域名所有权的最普通和众所周知的选项。在证书激活期间,您需要选择要向其发送批准电子邮件的电子邮件地址。由于证书颁发机构的规定,只能使用域名whois记录或以下与域相关的通用电子邮件之一来接收批准者电子邮件:admin @ example.com,administrator @ example.com,postmaster @ example。 com,webmaster @ example.com或hostmaster@example.com。在我们的网站上完成注册过程后,您将收到证书颁发机构发送到所选电子邮件地址的电子邮件。

如果whois记录未显示在可能的电子邮件列表中,则表示证书颁发机构未能检索到您的域的whois记录(对于具有.ca,.br,.uk这样的TLD的域,这是一种非常常见的情况。来自CSR代码的.au等)。在这种情况下,如果您要使用来自whois的电子邮件验证证书,您可以从列表中选择任何电子邮件进行激活。激活完成后,请联系我们的支持团队,请求将批准者电子邮件重新发送到whois的地址。
激活完成后,将向您发送电子邮件。要确认证书的域所有权,您需要从批准电子邮件中复制验证代码,按照其中的链接并将验证代码粘贴到相应的字段中。
如果您没有收到邮箱的批准电子邮件,您可以随时通过单击“重新发送电子邮件”按钮来检索它。

第二种SSL证书域控制验证方法,基于HTTP的验证。它涉及将激活文件上传到您网站的以下目录:/.well-known/pki-validation/。

注册过程完成后,可以检索文本文件。订单提交后,您将被带到证书管理页面。

上传文件并通过以下URL http://your_domain_name.com/.well-known/pki-validation/filename.txt从外部访问后,请单击“重试DCV”按钮。这将强制在证书颁发机构端进行DCV检查。

注意!如果要为子域激活证书,则需要将文本上载到域主目录中; 如果文件上传到子域的目录 – 它也应该得到验证。基本上,该文件应该可以通过http(s)访问://example.com/.well-known/pki-validation/ 或通过http(s)://sub.example.com/.well-known/pki-validation/ 如果要为子域激活多域证书,则应将验证文件放入每个相应域的Document根目录中。我们建议您也为每个子域名上传。
注意: 如果您已在CSR代码中使用domain.com指示为FQDN激活证书,请确保该文件可通过http://domain.com/.well-known/pki-validation/file.txt获取。在这种情况下,www.domain.com也被视为您的控制。
如果您的CSR代码包含www.domain.com作为FQDN,请确保该文件可通过链接http://domain.com/.well-known/pki-validation/file.txt获取。
不应以任何方式更改文件内容,因为Comodo(现为Sectigo)验证系统区分大小写。

SSL证书域控制验证


第三种SSL证书域控制验证方法,基于DNS的验证。对于此验证方法,您需要在域的DNS设置中创建某个CNAME记录。

在将订单提交给CA激活后,您的帐户中也会显示CNAME记录的值。

将提供CNAME记录的值。

注意!某些DNS系统具有这样的特性,它们会自动将域名添加到记录创建期间提交的值中。请确保您的域名在值中不重复:如果域使用基本名称服务器或PremiumDNS,请在将其添加到域的验证记录之前删除提供的Host值的“example.com”部分。复制主机和目标值,并将其粘贴到DNS提供商帐户的相应字段中。设置最小可能的TTL值。
注意!请记住,如果要激活多域证书,则应为证书中包含的每个域/子域放置DNS记录,将“主机”字段中的域名替换为相应的域/子域。其他值保持不变。设置正确的值后,请单击“重试DCV”按钮以加快域控制验证的过程。
但是,如果为子域激活单域证书,则需要直接为裸域设置DNS记录。

发表评论

电子邮件地址不会被公开。 必填项已用*标注