SSL證書添加DNS或文件驗證的方法
因受到歐盟通用數據保護條例(GDPR)的影響,部分域名的whois隱私信息被隱藏而無法直接通過公開的whois中的郵箱地址進行域名所有權驗證。因此,當您在補全SSL證書時,如果域名無法正常獲取到whois審批郵箱時,將會看到下圖的內容選項。
操作說明:
1、根據您的實際情況進行選擇一個可以正常接收郵件的郵箱。如果系統獲取的郵箱均不可用,請選擇“其他,以上郵箱均不可用”。
2、當您選擇了“其他,以上郵箱均不可用”之后,我們會為您申請記錄值,發送到與您核實后的郵箱里。當您收到記錄值之后,按照如下步驟添加DNS驗證或文件驗證。
域名所有權驗證方法
驗證方法一:文件驗證
文件驗證較快,只需要將文件放到指定位置即可,推薦使用。
1、下載文件:
下載專有驗證文件 fileauth.txt文件,下載后不要編輯,不要打開,不要重命名,有效期24小時。
2、創建目錄:
在站點的根目錄下創建.well-known/pki-validation子目錄。注意第一層目錄是帶點的隱藏目錄,Windows下命令為:md ".well-known"。 將下載到本地的文件上傳到該子目錄中。如果您的站點由于某種原因無法創建隱藏目錄,選擇其它DNS驗證方式。
3、配置檢測:
(1)HTTPS配置檢測鏈接:https://您的域名/.well-known/pki-validation/fileauth.txt
(2)HTTP配置檢測鏈接:http://您的域名/.well-known/pki-validation/fileauth.txt
請確保您的主機服務商沒有屏蔽國外訪問。如已屏蔽,請聯系主機服務商。
有些CA廠商會優先檢測HTTPS地址,如果開啟HTTPS協議一定要保證正確配置了證書,否則不要開啟HTTPS。
如果用了CDN、WAF等服務,請確認證書是否有效,強烈建議臨時關閉相關服務的HTTPS。
常見的錯誤:
(1)站點有多個Host,其它Host開啟了HTTPS,從而導致該域名的HTTPS證書不可信;
(2)用了CDN、WAF等服務,開啟了HTTPS但沒有配置證書,服務商提供的默認證書從而導致域名不匹配。
配置好之后,請用瀏覽器訪問地址是否正常輸出內容。
常見的錯誤:
(1)文件內容不正確;
(2)內容看起來正確,但并不正確,原因是里面包含了HTML元素;
(3)原始地址發生了跳轉;
(4)內容已經過期。
驗證方法二:DNS驗證
SSL證書DNS驗證在各主流域名注冊商下的域名解析方法,僅供參考,具體以各注冊商實際為準。具體的記錄值將會發送到您指定的郵箱內,屆時請留意查收。
域名解析方法:找到要解析的域名,進入域名管理中心-域名解析-域名高級解析,按圖所示,在主機記錄中輸入ssl驗證時獲取到的一長串主機記錄,包括網址信息,將記錄類型選擇為TXT,在記錄值(IP/域名)中輸入ssl驗證時獲取的一串記錄值。
愛名網賬戶下的域名解析方法:如圖,在主機記錄中輸入ssl驗證時獲取到的一長串主機記錄,不包括網址信息,將記錄類型選擇為TXT,在IP地址/主機名中輸入ssl驗證時獲取的一串記錄值。
易名賬戶下的域名解析方法:如圖,在主機記錄中輸入ssl驗證時獲取到的一長串主機記錄,包括網址信息,將記錄類型選擇為TXT,在記錄值(IP/域名)中輸入ssl驗證時獲取的一串記錄值。
阿里云賬戶下的域名解析方法:找到需要域名,如圖,將記錄類型選擇為TXT,在主機記錄中輸入ssl驗證時獲取到的一長串主機記錄,包括網址信息,在記錄值中輸入ssl驗證時獲取的一串記錄值。
新網賬戶下的域名解析方法:如圖,將記錄類型選擇為TXT,在主機記錄中輸入ssl驗證時獲取到的一長串主機記錄,不包括網址信息,在對應值中輸入ssl驗證時獲取的一串記錄值。
西部數碼賬戶下的域名解析方法:如圖,在主機名中輸入ssl驗證時獲取到的一長串主機記錄,包括網址信息,將記錄類型選擇為TXT,在對應值中輸入ssl驗證時獲取的一串記錄值。
更多域名解析方法,請詳詢您的域名注冊商。
注意事項:
1、記錄值24小時內有效。超過24小時后該值會變化,請用最新值配置DNS記錄。
2、添加解析記錄后,還未生效。添加或修改DNS解析后,生效時間0-72小時,具體以各注冊商時間為準。
3、當填寫的不是一級域名,例如www.22.cn,api.ssl.22.cn類似這種的域名,請優先嘗試添加對應的一級域名的解析記錄值,一級域名記錄值生效后,再添加二級及以上的域名記錄值。
4、已存在其他CNAME記錄值的解析。請嘗試修改為A記錄的解析,然后再添加上述解析記錄。CNAME記錄值可能影響驗證,如果無法刪除CNAME記錄,請嘗試文件驗證方式。