领域验证

全部 CPAC CSR 生成器 CSR 生成教程 CSR 解码器 IP 地址 S/MIME 一般情况 业务验证 代码签名 企业社会责任代码 变化 多域 安装 扩展验证 数字证书 更新 私钥 类型 续订 证书颁发机构 通配符 配置 领域验证
我无法选择域验证方法

在配置、重新签发或续费 SSL 证书时,如果无法选择域名验证方法,或遇到错误信息,则表示存在 CSR 错误。 以下是最常见的 CSR 错误和修复方法:

  • 如果使用的是通配符 SSL 证书(用于多个子域),则 CSR 中的通用名称应以星号和点(*.)开头,例如 *.website.com。对于普通的非通配符 SSL 证书,通用名称应采用以下格式之一:website.com、www.website.com 或 my.website.com。
  • 错误密钥加密(如 4096 位)。 请将密钥加密设置为 2048 位。
  • 您的 CSR 受密码保护。 请禁用密码,以便颁发 SSL 证书的证书颁发机构可以读取 CSR 代码。
  • CSR 代码缺少某些必填字段或信息。 您可以在我们的CSR 生成器中找到完整的字段列表。
  • 您的 CSR 可能有其他不正确或不允许的信息。 有关允许的信息和格式的详细信息,请参阅常见问题解答

要修复 CSR 代码,您需要生成一个新代码。 然后,尝试使用新的 CSR 代码配置或重新签发 SSL 证书。 如果问题仍然存在,请与我们联系并发送您的 CSR 代码。 我们将解码 CSR 并告诉您问题出在哪里,以便您解决问题。

复制链接

什么是 .well-known 文件夹?

在服务器的~/public目录中,您可能会发现.well-known文件夹。 众所周知的 URI 是统一资源标识符,代表众所周知的服务或信息,可通过 URL 在各服务器上统一使用。

有些服务器会自动创建.well-known 文件夹,但有时可能需要手动添加。 该目录作为一种基于网络的协议,可在提出请求前获取主机的站点元数据。

.well-known 文件夹有什么用途?

在订购 SSL 证书时,您必须证明域名所有权,这是 DCV 的一部分。 如果选择HTTP/HTTPS 方法,则必须创建.well-known目录,您必须在该文件夹中上传 TEXT 文件,以便 CA 扫描并批准您的 SSL 请求。

文件应可通过实时网站链接访问。 添加验证文件后,CA 爬虫系统将扫描您的网站并查找该文件。 一旦找到它,你应该能在几分钟内通过域名验证。

复制链接

如何创建 .well-known 文件夹?

要创建 .well-known 文件夹,您需要通过 SFTP 客户端、虚拟主机控制面板或其他适当方式访问服务器。下面介绍如何在最流行的平台上创建 .well-known 文件夹:

如何在基于 Linux 的服务器上创建 .well-known 文件夹?

以下说明适用于 Ubuntu、Debian 和 CentOS 服务器。

  1. 进入网站根目录
  2. 创建一个名为”.wide “的目录
  3. 在其中创建另一个名为 “pki-验证 “的文件夹
  4. 在 “pki-验证 “目录下上传 TXT 文件

如何在 cPanel 中创建 .well-known 文件夹?

  1. 登录 WHM,如果没有 WHM,请跳过此步骤
  2. 找到并登录域名的 cPanel 账户
  3. 点击 “文件管理器
  4. 选择 “Web Root (public_html/www) “选项,然后点击 “Go”。
  5. 创建名为 .well-known 的新文件夹
  6. 在该文件夹内创建另一个文件夹,名为:PKI-验证
  7. 在 pkii-validation 文件夹中上传 TXT 文件

如何在 Plesk 中创建 .well-known 文件夹?

  1. 使用 “文件管理器“选项,进入右侧菜单的 “文件 “部分。
  2. 您应在域的默认文档根文件夹(在 Plesk 中为httpdocs)中创建.well-known 文件夹。
  3. 要创建文件夹,请选择新建, 然后创建目录
  4. .well-known 文件夹中创建pkii-validation 文件夹
  5. 使用上传 按钮将验证 TXT 文件添加到pkii-validation文件夹中。

如何在 Windows IIS 服务器中创建 .well-known 文件夹?

基于 Windows 的服务器不允许在文件夹名称中加点,因此需要按照以下步骤操作:

  1. 转到 C: 驱动器
  2. 新建一个名为 “众所周知 “的文件夹
  3. 在众所周知的文件夹内,创建另一个名为 pkii-validation 的文件夹。
    到目前为止,您的文件夹应该是这样的C:well-knownpkii-validation
  4. 上传 pkii-validation 文件夹中的 TXT 文件
  5. 打开服务器上的 IIS 管理器
  6. 右键单击网站,选择添加虚拟目录
  7. 在别名部分写上 .well-known
  8. 在心理路径区域输入知名文件夹的路径。 例如
    C:知名
  9. 按 “确定 “创建该别名

如何在 WordPress 中创建 .well-known 文件夹?

您可以通过三种不同的方式在 WordPress 中创建 .well-known 文件夹。

  1. 使用特殊插件
  2. 通过网络托管面板
  3. 通过 SFTP 客户端,如 FileZilla

我们不建议使用插件,因为长期使用可能会导致兼容性和安全问题。相反,请使用我们上面的说明在 cPanel(最常用的主机面板)中创建 .well-known 文件夹。

如果没有 cPanel,请使用 SFTP 客户端。 连接到服务器,在~/public文件夹中查找 .wellknwon 目录。如果没有,请右键单击公共文件夹,选择创建目录, 并将新目录命名为 .well-knownwon。

如何在 AWS 中创建 .well-known 文件夹?

  1. 使用 bash 命令在 AWS EC2 实例中创建 .well-known.folder 文件夹:
    mkdir -p .well-known/pkii-validation
  2. 将验证文件放到 pkii-validation 子文件夹中:
    nano .well-known/pkii-validation/HashFileName.txt

如何在 macOS X Server 中创建 .well-known 文件?

通过内置 FTP 客户端或命令行界面连接到服务器。

文件传输协议

  1. Command+K
  2. 连接到服务器窗口中,输入 FTP 服务器的地址。 例如,ftp://ftp.yourdomain.com。 点击连接。
  3. 然后,输入 FTP 用户名和密码,再次点击连接。
  4. 查找域名的根目录。
  5. 创建名为.well-known的目录
  6. 内部。 知名文件夹,创建另一个名为pkii-validation的文件夹。
  7. 上传 pkii-validation 目录内的 TXT 文件

命令行界面

您可以使用 SSH 和安全复制协议上传 TXT 文件。

scp AC3E5D6I8G12935LSJEIK.txt

your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation

其中,”AC3E5D6I8G12935LSJEIK.txt “是验证文件名,”your_username “是服务器账户的用户名,”hostname.tld “是 Mac OSX 服务器主机名,”/Library/WebServer/Documents/”是文档根文件夹的默认目录。

对于所有服务器类型,如果您的操作正确无误,您应该可以打开以下 URL,并在任何网页浏览器中看到哈希代码和 “comodoca.com”:

http://mywebsite.com/.well-known/pki-validation/HashFileName.txt

复制链接

品牌验证原因

 

在某些情况下,如果您的订单未能通过品牌验证的任何内部规则,CA 可能会要求进行人工验证。 ,通过这种人工检查大约需要 24-48 小时,在这种情况下,CA 会签发或拒绝订单。

以下是证书颁发机构决定对某些订单进行品牌验证的最常见原因:

  1. 来自某些国家的订单比其他国家的订单更频繁地受到人工审核,例如:  韩国、朝鲜、日本
  2. 受限国家– 俄罗斯
    俄罗斯 (RU)、白俄罗斯 (BY)(自 2022 年起)、
    阿富汗(AF),克里米亚(俄罗斯),科特迪瓦(CI),古巴(CU),厄立特里亚(ER),几内亚(GN),伊拉克(IQ),伊朗(IR),朝鲜民主主义人民共和国(KP),利比里亚(LR)、缅甸 (MM)、卢旺达 (RW)、苏丹 (SD)、塞拉利昂 (SL)、南苏丹 (SS)、阿拉伯叙利亚共和国 (SY)、委内瑞拉 (VE)、津巴布韦 (ZW) – SSL 不针对这些国家签发: https://sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907/kA01N000000zFKI 和 https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
  3. 域名包括一个品牌名称,如:facebook-app.com、sony-shop.net、dellshop.com 等;
  4. 域名可能有一个隐藏的品牌名称。 例如,您的域名是 “sibmama.com”,但自动验证系统可能会将其读作 “sIBMama”,并标记 “IBM “品牌。 证书颁发机构希望手动检查此类命令;
  5. 域名中有 “停止词”,如:支付、在线、安全、预订、购物、银行、转账、金钱、电子支付、付款、保护、暴力、恐怖分子等。 这些词和其他许多词在验证系统中被设置为触发词,并使证书颁发机构对这些命令进行人工审核;
  6. 域名被列入黑名单或声誉不佳
    partner-order-id

如何加快进程?

请通过即时聊天直接联系SectigoThawte、RapidSSL、GeoTrust、DigiCert ,并与 CA 代表讨论情况。

请在邮件中注明您的 “合作伙伴订单编号”。  你可以在 SSL Dragon 账户内的 SSL 证书详情页找到你的 “合作伙伴订单 ID”。 请看右边的截图。

复制链接

我可以获得以.local 为扩展名的域名吗?

遗憾的是,自 2015 年 11 月 1 日起,不支持以 .local 结尾的域名。如果您为扩展名为 .local 的域名或子域名申请 SSL 证书,您的 SSL 证书将被证书颁发机构拒绝。

如果要保护本地主机上的域或子域,可以创建自签名 SSL 证书。 网上有大量文件介绍如何做到这一点。

复制链接

能否使用 SSL 证书保护 IP 地址?

是的,您可以使用 SSL 证书保护 IP 地址。 不过,只有某些特定的 SSL 证书才允许这样做。 下面是这些 SSL 证书:

– Sectigo InstantSSL Premium
– GoGetSSL 公共 IP SAN

请注意, Sectigo InstantSSL Premium 是 商业验证 SSL 证书,这意味着您需要有一家注册公司才能获得 此 SSL 证书。

GeGetSSL Public IP SAN 是域名验证 SSL 证书,默认保护 2 个 IP 地址。

复制链接

如何更改域验证方法?

仅对 Sectigo 和 GoGetSSL 证书有效:

请按以下步骤更改 SSL 证书的域名验证类型:

  1. 登录SSL Dragon 账户
  2. 转到“SSL 证书” -> “我的 SS L证书“;
  3. 您将看到从 SSL Dragon 购买的产品列表。 单击要更改域验证类型的 SSL 证书;
  4. 点击页面底部的 “更改 DV 方法 “按钮;
  5. 为你的域名选择新的域名验证方法;你可以在此链接中了解每种验证类型的含义;(重要:通配符 SSL 证书不再使用 HTTP 验证方法)。
  6. 点击 “提交”,使新的验证方法生效。

复制链接

多域 SSL 的域名验证为何如此缓慢?

购买时 多域 SSL 证书中包含多个域名和/或子域,证书颁发机构要求您通过每个域的域验证 名字 和/或您在多域 SSL 证书中包含的子域,之后才会向您签发多域 SSL 证书。

可能的问题:有时,您为多域证书选择的电子邮件地址、HTTP 选项或 DNS 记录在到达证书颁发机构时没有正确设置。 当你看到你的电子邮件地址只收到一条域名验证信息,而不是收到多条域名验证信息,或者你的多域名 SSL 证书状态仍然显示为 “等待验证(完整)”,即使你通过了其中一个域名的域名验证,你就会知道这一点。

partner-order-id如何解决有一个简单的方法可以解决这个问题,那就是与证书颁发机构的验证部门取得联系。 联系他们时,请提供您的 “合作伙伴订单 ID”(见右侧截图),然后告诉他们您选择的域名验证方法:HTTP、DNS 或电子邮件。 如果您选择通过电子邮件进行域名验证,那么请与验证部代表再次确认他们的系统中设置了哪些电子邮件地址,并请他们向您发送 域名验证信息,以便 您所需的电子邮件地址。

Sectigo/GoGetSSL

请致电 Sectigo 验证部 +1 (888) 266-6361 或https://sectigo.com/support,原因如上所述。 与他们通话时,您需要向他们提供您的 “合作伙伴订单号”。

Thawte、GeoTrust、DigiCert

出于上述原因,请致电 Thawte、GeoTrust、DigiCert 验证部+1 (877) 438-8776 。 请注意 Thawte、GeoTrust、DigiCert 都归 DigiCert 所有,它们的电话号码与上面提供的相同。 与他们联系时,您需要提供 “合作伙伴订单 ID”。

复制链接

验证过程需要多长时间?

SSL 的验证时间取决于你选择购买的证书类型。

在 99% 的情况下,域验证证书可在 3-5 分钟内签发。 只有在为包含商标或品牌名称的域名申请 SSL 证书时,这些 SSL 证书才可能通过品牌验证,并可能在一个工作日内签发。

商业验证证书通常在 1-3 个工作日内签发。

扩展验证证书的签发需要 1-7 个工作日。 证书颁发机构会很快完成自己的工作。 如果所有信息都能迅速、正确地提供给证书颁发机构,那么证书颁发机构就能在 1 个工作日内颁发 EV 证书。 我们曾见过几小时内就签发 EV 证书的情况。 1-7 天的期限取决于客户向证书颁发机构提供所需信息的速度,以及客户对证书颁发机构可能提出的补充信息要求做出回应的速度。

通过验证过程,证书颁发机构试图确认您是域名的所有者,并且您申请商业验证或扩展验证证书的公司是活跃的。 因此,贵公司必须及时更新公司记录(地址和电话号码),并及时回复证书颁发机构的要求。

复制链接

如何验证路由器上的 IP 地址

如果路由器有公共 IP 地址,您仍然可以验证该 IP 地址。

HTTP/HTTPS 验证是 IP 地址验证的唯一方法。 HTTP/HTTPS 验证方法包括在 IP 地址上添加 TXT 文件,然后让 Sectigo 扫描该 IP 地址并进行验证。 路由器无法上传 TXT 文件。 验证 IP 地址的办法是将 IP 地址重新路由到服务器,将 TXT 文件放在服务器上,通过 IP 验证,然后将 IP 地址重新路由回路由器。

关于 TXT 文件应包括的内容和上传位置,您可以在以下 FAQ 项目中阅读更多信息: https://www.ssldragon.com/faq/pass-validation-public-ip-address-ssl-certificate/

 

复制链接