域控制验证(DCV)有助于防止未经授权签发 SSL 证书。 没有它,就无法激活 SSL。 本指南涵盖 DCV 流程,并告诉您如何通过几种方法通过 DCV。 使用 DCV 方法获取最适合您的技能和情况的 SSL 证书。
目录
什么是域控制验证 (DCV)?
域名控制验证是证书颁发机构进行的检查之一,目的是验证申请 SSL 证书的人是否拥有域名或域名的管理员权限。 每个申请人必须通过 DCV,才能从 CA 获得 SSL 证书。 它不需要任何文书工作,而且程序简单明了。
什么是 DCV 方法?
要确认您拥有要加密的域的管理员权限,CA 提供了三种 DCV 方法。 我们将详细探讨它们。
1.电子邮件验证
验证 SSL 证书最常用、最简单的方法是通过电子邮件。 CA 将向您的 WHOIS 或域电子邮件地址发送一封带有验证码的批准电子邮件。 打开电子邮件中的链接,粘贴验证码以通过 DCV。 整个过程都是自动化的,只需不到 5 分钟即可获得域名验证证书。
只有特定域名或您在 WOIS 的联系电子邮件地址才可使用 DCV 电子邮件方法。 WHOIS 电子邮件的问题在于,出于隐私原因,它通常是隐藏的,CA 无法看到。 如果您不知道 WHOIS 电子邮件地址,请查看域名控制面板或联系域名注册商。
或者,也可以使用以下一种预先核准的基于域名的电子邮件:
请将 @yoursite.com 替换为您的域名。
没有收到验证电子邮件? 该怎么做?
- 检查您的垃圾邮件文件夹。 电子邮件过滤器可能会错误地将 CA 电子邮件标记为垃圾邮件。
- 仔细检查您的电子邮件地址。 确保地址是可接受的,并且没有任何错别字。
- 重新发送电子邮件。
- 如果没有任何效果,请向 SSL 提供商寻求支持。
我选择了一个不存在的电子邮件地址…
如果您选择了一个不存在的电子邮件地址,请不要惊慌。 对于没有经验的管理员来说,输入一个尚未创建的基于域的电子邮件地址是非常漂亮的。 解决办法很简单:
- 进入主机控制面板,创建您为验证指定的域名电子邮件地址。
- 重新发送批准电子邮件。
重要! 自 2021 年 6 月 16 日起,Sectigo 不再接受基于 WHOIS 的电子邮件地址进行域控制验证 (DCV)。
2.DNS 验证
DNS 验证是一种技术性更强的方法。 这需要在域名的 DNS 设置中创建一个 CNAME 记录(一种将别名映射为域名规范名称的 DNS 记录)。
简单地说,DNS(域名系统)就像网络电话簿,将网络浏览器与网站连接起来。 它可以翻译人类可读的域名,如 yoursite.com 转换成机器可读的 IP 地址,如 89.145.93.29 例如
如果选择 DNS 方法,您将收到针对特定订单的唯一验证记录值。 您可以在 SSL 供应商账户中找到该记录。
在 SSL 验证过程中,CA 会验证申请 SSL 证书的实体是否是域名的合法所有者。 CA 验证域名所有权的一种方法是检查 DNS TXT 记录是否有特定值。 CA 将为您提供一个唯一值,添加到 DNS TXT 记录中,然后 CA 将检查以确保该记录包含该值。 通过检查 DNS TXT 记录,CA 可以确定域名属于您。
SSL 证书激活后,必须向域名注册商(注册域名的网站)添加预定义的域名记录值。 确保防火墙不会阻止 CA 的验证机器人。
- 登录域名注册商账户,进入域名的 DNS 设置。
- 使用供应商账户中的域名记录值创建 CNAME 记录。
- 为记录设置最小可用 TTL(生存时间),以避免在记录传播或创建错误时出现长时间延迟。
检查您的 CNAME 记录
Sectigo 和GoGetSSL要求使用 CNAME DNS 类型,如下所示:
_b2013ea8353c9760c0221c49dc3e8ca7.yourwebsite.com CNAME
165b83449f4fdf83021de4e6f6ee795a.4ae75dbefe3r7bb8a1878616d8b5ae4.5r4r46855d28f6903.comodoca.com.
DigiCert、Thawte、GeoTrust 和RapidSSL需要 TXT DNS 类型,如下所示:
yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”
或
dnsauth.yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”.
这里有 工具,可检查您的 CAME 记录 和 TXT 类型的相同工具 . 用它来确保您正确设置了记录.
我已经设置了 CNAME 记录,接下来该做什么?
新添加的 DNS 记录最长需要 72 小时才能在全球范围内传播,但通常只需要几个小时。 因此,您可能需要等待三天才能完成激活过程。 一般来说,如果您订购了域名验证证书,并希望在几分钟内就能获得证书,那么其他两个选项更适合您。
HTTP/HTTPS 验证
重要! 此方法 在验证通配符 SSL 证书时 验证通配符 SSL 证书。
此方法要求您将 TXT 验证文件上传到域的目录中。 确保您可以通过仪表板或 FTP 连接到主机账户,并确保您的 CA 可以从任何网络浏览器访问该账户。
CA 会扫描您的网站,并在指定链接上查找该文件。 一旦 CA 的爬虫在你的网站上找到 TXT 文件,你的 SSL 证书就会通过域名验证。
HTTPS 验证方法与上述方法相同。 如果网站上已有 SSL 证书,则应选择 HTTPS 选项。
从哪里获取验证文件?
选择基于文件的选项后,您将在供应商账户中找到验证文件。 验证文件是一个用数字和字母命名的 .txt 文件(例如:B4DS4C5H73UFGJDHJ.txt)。
下载验证文件后,需要将其上传到托管服务器/面板。 您应该将文件上传到”.知名 “文件夹和域名文档根目录下的 “pki-validation “子文件夹。
因此,验证文件应可通过请求的验证路径访问:http://yoursite.com/.well-known/pki-validation/B4DS4C5H73UFGJDHJ.txt。
3.品牌验证
在极少数情况下,CA 可能会要求人工进行域名验证(也称为品牌验证)。 通过这种人工检查最长需要 48 小时,在这种情况下,CA 要么签发命令,要么拒绝签发命令。 以下是您的订单未通过品牌验证的最常见原因:
- 域名被列入黑名单或声誉有问题。
- 域名中包含在线、安全、支付、银行等停止词,会自动触发验证系统将其拒之门外,因此需要人工验证。
- 域名可能有一个隐藏的品牌名称。 例如,您的域名是 “sibmama.com”,但自动验证系统可能会将其读作 “sIBMama”,并标记 “IBM “品牌进行人工检查。
- 您的订单来自受限国家。
最后一步:查看 CAA 记录
自 2017 年 9 月 8 日起,作为一项安全措施,所有证书颁发机构(CA)都必须遵守您的 CAA 政策。
CAA 记录 应允许 CA 为您的域名签发 SSL;否则,订单将被设置为 “待定”,直到您更新该记录。
默认情况下,如果没有 CAA 记录,任何 CA 都可以为你的域名签发 SSL。 否则,您应更新 CAA 记录。
结论
总之,域控制验证对于确保网络通信安全、保护用户免受潜在风险以及防止未经授权的证书签发至关重要。 有多种验证方法可供选择,DCV 的验证相对快速、简便。 这是任何希望获得经域名控制验证的 SSL 证书并建立安全在线存在的网站所有者的必要步骤。
常见问题
完成 DCV 验证过程所需的时间因所选验证方法和域所有者的响应速度而异。 不过,与需要 1-2 天的业务验证相比,在大多数情况下,用户只需几分钟就能通过 DCV。
复制链接
如果 DCV 失败,则无法签发 SSL 证书,域所有者必须采取纠正措施来解决问题。 他们应仔细检查授权电子邮件地址或 DNS 记录,确保文件存放在正确的位置,并确保网站可以访问。
复制链接
最简单的 DCV 方法通常是电子邮件验证。 电子邮件方法简单明了,不需要任何技术知识,也不需要更改网站或 DNS 配置。 不过,如果具备 DNS 和主机管理的基本知识,其他 DCV 方法也很简单。
复制链接
