领域验证
申请 SSL 证书时,你必须证明你拥有申请 SSL 证书的域名或子域名的所有权或管理权。
重要! 自 2021 年 6 月 16 日起,Sectigo 不再接受基于 WHOIS 的电子邮件地址进行域控制验证 (DCV)。
步骤 1:领域验证 (DV)
A.电子邮件
如果您拥有由 Sectigo、GoGetSSL、GeoTrust、Thawte、DigiCert 和RapidSSL 签发的 SSL 证书,那么您可以通过回复发送到您电子邮件地址的自动域验证消息来完成域验证。 您将收到一份可供选择的电子邮件列表,自动域名验证信息将发送到您选择的电子邮件地址。
请经常检查您的电子邮件地址(包括垃圾邮件文件夹),这样您就会收到证书颁发机构的电子邮件,其中说明了如何验证(证明您的域名所有权)您的域名。 电子邮件会要求您复制一个唯一的代码,并将其粘贴到同一封电子邮件中提供的特定链接上。
重要:域名验证只允许使用 5 个电子邮件地址:admin@、administrator@、hostmaster@、webmaster@ 和 postmaster@。
在某些情况下,证书颁发机构也可能允许您从 WHOIS 发送管理电子邮件,但前提是禁用了私人注册。
B.HTTP / HTTPS 方法
HTTP 验证包括将 TXT 验证文件上传到网站上的预定义位置。 您必须确保可以通过任何网络浏览器访问该文件和链接。 一旦您使用这种域名验证方法,CA 就会对您的网站进行扫描,并在给定的链接中特别查找该文件。 当 CA 的爬虫系统在你的网站上找到 TXT 文件后,你的 SSL 证书将在几分钟内通过域名验证。
HTTPS 验证方法与上述验证方法相同。 如果网站已安装 SSL 证书,则应选择 HTTPS 选项。
C.DNS 方法
您还可以向域名注册商(注册域名的网站)添加预定义的域名记录。 确保防火墙没有阻止 CA 的验证机器人。
Sectigo 和 GoGetSSL 要求使用 CNAME DNS 类型,它看起来像
_b2013ea8353c9760c0221c49dc3e8ca7.yourwebsite.com CNAME
165b83449f4fdf83021de4e6f6ee795a.4ae75dbefe3r7bb8a1878616d8b5ae4.5r4r46855d28f6903.comodoca.com
而 DigiCert(Thawte、GeoTrust、RapidSSL)需要 TXT DNS 类型,它看起来像
yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”
或
dnsauth.yourwebsite.com TXT “w34f54t4t45t354eer98rn4jf4449nfrf”
请注意,新添加的 DNS 记录需要 10-48 分钟才能传播。 这意味着,如果使用这种方法,您最多需要等待 48 小时才能通过域名验证。 因此,我们更推荐电子邮件、HTTP 和 HTTPS 方法,因为它们可以让您立即通过域名验证。
第 2 步: CAA 检查
自 2017 年 9 月 8 日起,作为一项安全措施,所有证书颁发机构(CA)都有义务尊重您的 CAA 政策。
CAA 记录应允许 CA 为您的域名签发 SSL,否则,订单将被设置为待定,直到您更新记录。
默认情况下,如果没有找到 CAA 记录,任何 CA 都可以为你的域名签发 SSL。 否则,您应更新 CAA 记录。
具体方法如下:
–https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFMO
–https://docs.digicert.com/manage-certificates/dns-caa-resource-record-check/
下面是测试记录的方法:
–https://toolbox.googleapps.com/apps/dig/#CAA/
–https://caatest.co.uk/scan.org.ua
可选(罕见) – 品牌验证(手动检查)
在某些情况下,如果您的订单未能通过品牌验证的任何内部规则,CA 可能会要求进行人工验证。
通过这种人工检查大约需要 24-48 个小时,在这种情况下,CA 要么签发命令,要么拒绝签发命令。
以下是您的订单处于品牌验证状态的原因。
如何更改域验证方法?
如果您选择了上述其中一种域名验证方法,但发现自己的域名没有通过验证,那么您可以随时更改域名验证方法。 请访问此链接了解如何操作。
复制链接
某些SSL 证书允许您保护 IP 地址的安全,但仅限于公共 IP 地址。 IP 地址的验证过程与域名验证类似,但也有其特殊性。 因此,我们鼓励您遵循以下指导原则。
GoGetSSL
步骤 1. 首先,你必须在 SSL Dragon 账户内填写配置表,配置 SSL 证书。
重要!在配置证书时,系统会要求您生成一个没有通用名称的 CSR。下面介绍如何操作。
步骤 2. 在 SANs 字段中注明您的 IP 地址/IP 地址。
如果只有 1 个 IP 地址,只需在 SANs 字段中插入即可,不要有多余的空格或字符,例如
123.34.34.234
如果您有 2 个或更多 IP 地址(如果您购买了额外的 SAN),请在 SAN 字段中插入 IP 地址列表,每个 IP 地址之间用空格隔开,例如
123.34.34.234
124.34.24.234
重要! 此步骤必须执行。 由于 CSR 的字段中不包含 IP 地址,因此必须在 SAN 字段中提及您的 IP 地址/IP 地址。 否则,如果将 SANs 字段留空,将无法进一步配置 SSL 证书,并会显示错误信息。
注意: 如果您需要保护一个IP 地址和一个域名,GoGetSSL PublicIP SAN 允许您这样做,但需要手动配置。 请与我们联系,向我们发送 CSR(无通用名称)、IP 地址和域名。 我们将手动配置 SSL,并为您提供进一步验证的说明。
步骤 3. 证书配置完成后,您必须证明该 IP 地址的所有权或使用权。为此,您必须通过 SSL 证书的 HTTP/HTTPS 验证。电子邮件或 DNS 验证不适用于 IP 验证。要通过 HTTP/HTTPS 验证,必须创建一个 .TXT 文件,其中包含 SSL 证书页面详情中 “内容 “字段提供的验证码。你必须添加到 .TXT 文件中的 “内容 “与下面的内容相似:
38622319C755B5952FA4CD590655F05000C4951C2EF07BFFCB2BBA23623BE9D6
COMODOCA.COM
t0520161001553133275
然后,您必须将 TXT 文件上传到服务器上的某个位置,如下所示:
http://127.0.0.1/.well-known/pki-validation/B34037F1D9BFE9F5936AFEA9798174AB.txt
127.0.0.1 应替换为您要验证的 IP 地址。有关如何创建 .well-known 文件夹的信息,请访问以下链接:https://www.ssldragon.com/faq/create-well-known-folder/。
确保您可以从任何网络浏览器访问该文件和链接。 请告知我们您何时在服务器上上传了所附 TXT 文件,以便我们对您的网站进行扫描,特别是在给定链接中查找该文件。
如果完全按照这些步骤操作,就能成功验证您的 IP 地址。
注意:如果您使用的是路由器而不是服务器,则无法在路由器上上传 TXT 文件。 验证 IP 地址的办法是将 IP 地址重新路由到服务器,将 TXT 文件放在服务器上,通过 IP 验证,然后将 IP 地址重新路由回路由器。
Sectigo
步骤 1. 首先,你必须在 SSL Dragon 账户内填写配置表,配置 SSL 证书。 配置证书时,系统会要求您生成 CSR 或输入现有 CSR。
请确保 在 CSR 中将 您的 IP 地址作为 “通用名称”(您希望保护的域/IP)。
步骤 2. 证书配置完成后,您必须证明该 IP 地址的所有权或使用权。为此,您必须通过 SSL 证书的 HTTP/HTTPS 验证。电子邮件或 DNS 验证不适用于 IP 验证。要通过 HTTP/HTTPS 验证,必须创建一个 .TXT 文件,其中包含 SSL 证书页面详情中 “内容 “字段提供的验证码。你必须添加到 .TXT 文件中的 “内容 “与下面的内容相似:
38622319C755B5952FA4CD590655F05000C4951C2EF07BFFCB2BBA23623BE9D6
COMODOCA.COM
t0520161001553133275
然后,您必须将 TXT 文件上传到服务器上的某个位置,如下所示:
http://127.0.0.1/.well-known/pki-validation/B34037F1D9BFE9F5936AFEA9798174AB.txt
127.0.0.1 应替换为您要验证的 IP 地址。有关如何创建 .well-known 文件夹的信息,请访问以下链接:https://www.ssldragon.com/faq/create-well-known-folder/。
确保您可以从任何网络浏览器访问该文件和链接。 请告知我们您何时在服务器上上传了所附 TXT 文件,以便我们对您的网站进行扫描,特别是在给定的链接中查找该文件。
如果完全按照这些步骤操作,就能成功验证您的 IP 地址。
注意:如果您使用的是路由器而不是服务器,则无法在路由器上上传 TXT 文件。 验证 IP 地址的办法是将 IP 地址重新路由到服务器,将 TXT 文件放在服务器上,通过 IP 验证,然后将 IP 地址重新路由回路由器。
步骤 3. 为 IP 地址获取 SSL 证书的最后一步是通过业务验证。 有关如何操作的详细说明,请访问以下链接: https://www.ssldragon.com/faq/how-to-pass-the-business-validation-for-my-ssl-certificate/
复制链接
要购买域名验证证书,您不需要提供任何文件。 您必须通过简单的电子邮件、DNS 记录或基于文件的验证(通配符 SSL 证书除外)来确认域名所有权。 完成其中一项内容后,将签署 DV 证书并将其发放给您。
复制链接
域名验证 (DV) SSL 证书是提高博客、个人或小型企业网站安全性的最经济实惠的选择。 由于不需要书面文件,因此获取域名验证证书的过程非常简单快捷:您只需回复自动发送的电子邮件信息,即可证明您是域名所有者。 几分钟后,你就会收到签发的 SSL 证书,可以立即安装。 大多数网络浏览器都会显示挂锁,以此来识别通过域名验证认证的网站。
如果需要通过安全连接来证明网站的安全性,建议使用这种 SSL 证书。 域名验证证书不显示法律实体,因为在签发证书时没有检查网站所有者的身份。 因此,如果您有一个电子商务网站或一个收集用户个人数据的网站,您应该考虑购买我们的商业验证(BV)或扩展验证(EV)证书,这将使您的网站更值得信赖。
复制链接
完全合格域名(FQDN),有时也称为 “绝对域名”、”域名“或 “通用名”,是一个指定其在域名系统 (DNS) 树层次结构中确切位置的域名。
填写证书签名申请表时必须指定 FQDN。 例如,如果您希望确保
https://yoursite.com/about.html
,”域名 “或 “通用名称 “为
Yoursite.com
.
如您所见,FQDN 不包括协议名称 (https://),也不包括子页面或子类别 (about.html)。
请注意,申请通配符 SSL 证书时,必须在域名前添加星号。 例如,*.yourdomain.com。
来源:Sectigo 知识库Sectigo 知识库
复制链接
自 2021 年 6 月 16 日起,当 WHOIS 需要人工查询域名信息时,Sectigo 不再接受基于WHOIS 的电子邮件地址进行域名控制验证(DCV)。 Whois 是一个广泛使用的互联网记录列表,用于确定谁拥有某个域名以及如何与他们取得联系。
这一变化不会影响通过自动查询在WHOIS上找到的电子邮件。 这些电子邮件将在证书申请过程中或通过 “GetDCVEmailAddressList “API 提供给您。 已构建 “的电子邮件地址仍可使用。
如果在 DCV 过程中没有显示或提供所需的电子邮件地址,则需要使用以下域控制验证的替代方法之一:
- 预先确定的电子邮件地址,如-admin@、administrator@、hostmaster@、postmaster@、webmaster@。
- 基于 HTTP 或 DNS 的域控制验证
来源:Sectigo 知识库Sectigo 知识库
复制链接
如果您还想知道每种验证类型(域验证 (DV)、企业验证 (BV) 和扩展验证 (EV))的主要优点是什么,以及为什么要选择其中一种验证类型,请阅览以下常见问题。 每种 SSL 证书类型在创建时都考虑到了一定的客户信任度:
- 初级 – 域名验证 SSL 证书 -专为对于在 SSL 证书中显示公司名称和地址不感兴趣的客户设计 – 这些客户不需要/不想显示,或者仅仅因为他们不持有公司。 他们只需快速获得 SSL 证书,就能通过 HTTPS 确保域名安全,并让所有网页和移动浏览器将其网站显示为 “安全”。
- 中级 – 企业验证 SSL 证书 – 专为希望在 SSL 证书的详细信息中显示公司名称的客户设计,以确保这些客户的用户知晓此企业真实可信。 BV SSL 证书还允许您在网站上显示由第三方证书颁发机构提供的网站签章,以证明您的 SSL 证书是以贵公司的名称和地址颁发的。
- 最高级 – 扩展验证 SSL 证书 – 为那些非常重视用户信任度的客户而开发。 EV SSL 证书还提供网站签章,证明 SSL 证书是根据网站、公司名称和地址签发的,但这些证书具有最高的信任级别,因为它们向您的客户、潜在客户和访问者表明,您的网站是高度安全的,他们的信息始终受到保护。
现在您已经知道域名验证(DV)、企业验证(BV)和扩展验证(EV)SSL 证书之间的主要区别,那么选择最适合您的证书应该会容易得多。
复制链接