证书支持哪些域名验证方式?
域名验证主要通过DNS和文件进行验证。单域名证书支持DNS验证、文件验证;通配符证书支持DNS验证;多域名证书支持DNS验证、文件验证。
1.DNS验证
DNS验证目前根据CA厂商不同,分为TXT解析记录和CNAME解析记录。
实际的操作步骤大同小异,只是在选择记录类型的时候会有所区别。
CNAME解析记录
待用户申请证书后,CA会返回一串域名验证信息,用户需要根据这串信息到域名解析平台,新增一条解析记录。域名验证信息里面包含了所需要添加的验证内容:主机记录、记录类型、记录值。验证信息里未提到的参数,都保持平台默认即可。
例如:域名ctyun.cn
验证方式:DNS_CNAME
CNAME记录名:2E8305A4DC5CB1263F0B52F18401F8DD.ctyun.cn
CNAME记录值:700CB5A097F1AF88A1F3CC2D564DFBEC.79AC76780B8CB074F144E4A2BBF1C8A6.TTDsgCssza.trust-provider.com
TXT解析记录
待用户申请证书后,CA会返回一串域名验证信息,用户需要根据这串信息到域名解析平台,新增一条解析记录。域名验证信息里面包含了所需要添加的验证内容:主机记录、记录类型、记录值。验证信息里未提到的参数,都保持平台默认即可。
例如:域名ctyun.cn
验证方式DNS_TXT
TXT 记录名: _dnsauth.ctyun.cn
TXT 记录值:202306120511501xckahpeebai2qjrpv8yriqrkxsf2kev8jane00g2f920ku598
2.文件验证
待用户申请证书后,CA会返回一串域名验证信息,用户需要根据这串信息到域名应用服务器上,新建一个TXT验证文本。域名验证信息里面包含了验证文本的内容以及文本的路径。
例如:
请参照以下的信息进行域名验证配置:
验证方式:文件验证
验证域:ctyun.cn
文件验证路径: http(s):// ctyun.cn /.well-known/pki-validation/DE711C8B63E558F1A2AD8462C2D3F5E2.txt
文件验证内容: 03763B47C99A2AB850007B69896A73A46F6AAE9ED8ECD952653DE6337091D8A6
ctyun.cn
cmcdtcqwjfpwpj
CA需要用户按照该验证信息新建完验证文本后,访问路径,成功返回验证值才算验证成功
验证路径:http(s):// ctyun.cn /.well-known/pki-validation/DE711C8B63E558F1A2AD8462C2D3F5E2.txt
验证值:03763B47C99A2AB850007B69896A73A46F6AAE9ED8ECD952653DE6337091D8A6
ctyun.cn
cmcdtcqwjfpwpj
如何查看域名验证是否生效?
可自行检测域名验证添加的解析是否生效(文件验证方式则自行访问文件,看是否能访问到验证文件),若解析添加通过,待CA验证即可通过域名验证。
您可自行查询解析生效工具。
Windows系统如何验证DNS解析生效?
要验证Windows系统中的DNS解析是否生效,您可以尝试以下方法:
使用命令提示符(Command Prompt)进行验证:
打开命令提示符。您可以按下Win + R键,然后输入"cmd"并按下Enter键,或者在开始菜单中搜索"命令提示符"并打开它。
在命令提示符中,输入以下命令并按下Enter键:
nslookup -q=cname _DCB4B034115D8FB7F9C9584963F17E0C.baihu2.com
如何查询域名管理员邮箱并进行验证?
邮箱验证方式:需要是CA返回的邮箱来选择,可以在订单中获取到CA返回的可选邮箱,不支持自行指定邮箱来验证。
邮箱验证:待用户进入域名验证环节,CA会向域名管理邮箱发送一封确认邮件,用户登录对应的管理邮箱,点击其中的确认按钮即可完成验证。域名管理邮箱地址是CA指定的,无法自定义。如无法提供,则只能使用另外两种验证方式。
域名管理邮箱包括:
注册域名时填写的邮箱地址(以CA 返回的为准)
admin@chiantelecom.com
administrator@chiantelecom.com
postmaster@chiantelecom.com
hostmaster@chiantelecom.com
webmaster@chiantelecom.com
域名不在天翼云平台管理,如何进行DNS验证?
需要用户登录到待验证域名的域名服务商的域名解析管理平台(申请证书的域名在哪里注册购买的),在对应域名下按照获取的TXT验证信息,新建添加一条TXT类型的解析记录,具体添加方式以平台具体要求为准,或者修改其他可用验证方式。
DV证书DNS验证失败该如何处理?
若客户添加解析操作导致的失败,可重新添加解析或更换其他可用验证方式;
若由于域名解析平台规则限制原因导致的失败,需联系域名服务商处理。
哪些场景企业型(OV)和增强型(EV)证书不需要确认函?
- 如果您申请证书时填写邮箱企业邮箱与企业域名相关(例如申请的域名为*.ctyun.com,企业邮箱为*@chinatelecom.com),并且该企业邮箱可以正常收发外部邮件,这种情形下可以不提供确认函。
- 企业发送工商登记年报的邮箱若可以正常收发外部邮件,使用该邮箱申请证书时可以不提供确认函。
- 非以上场景申请企业型(OV)和增强型(EV)证书必须提供确认函,建议使用189、126、163、QQ等免费邮箱。
