SSL证书添加DNS或文件验证的方法
因受到欧盟通用数据保护条例(GDPR)的影响,部分域名的whois隐私信息被隐藏而无法直接通过公开的whois中的邮箱地址进行域名所有权验证。因此,当您在补全SSL证书时,如果域名无法正常获取到whois审批邮箱时,将会看到下图的内容选项。
操作说明:
1、根据您的实际情况进行选择一个可以正常接收邮件的邮箱。如果系统获取的邮箱均不可用,请选择“其他,以上邮箱均不可用”。
2、当您选择了“其他,以上邮箱均不可用”之后,我们会为您申请记录值,发送到与您核实后的邮箱里。当您收到记录值之后,按照如下步骤添加DNS验证或文件验证。
域名所有权验证方法
验证方法一:文件验证
文件验证较快,只需要将文件放到指定位置即可,推荐使用。
1、下载文件:
下载专有验证文件 fileauth.txt文件,下载后不要编辑,不要打开,不要重命名,有效期24小时。
2、创建目录:
在站点的根目录下创建.well-known/pki-validation子目录。注意第一层目录是带点的隐藏目录,Windows下命令为:md ".well-known"。 将下载到本地的文件上传到该子目录中。如果您的站点由于某种原因无法创建隐藏目录,选择其它DNS验证方式。
3、配置检测:
(1)HTTPS配置检测链接:https://您的域名/.well-known/pki-validation/fileauth.txt
(2)HTTP配置检测链接:http://您的域名/.well-known/pki-validation/fileauth.txt
请确保您的主机服务商没有屏蔽国外访问。如已屏蔽,请联系主机服务商。
有些CA厂商会优先检测HTTPS地址,如果开启HTTPS协议一定要保证正确配置了证书,否则不要开启HTTPS。
如果用了CDN、WAF等服务,请确认证书是否有效,强烈建议临时关闭相关服务的HTTPS。
常见的错误:
(1)站点有多个Host,其它Host开启了HTTPS,从而导致该域名的HTTPS证书不可信;
(2)用了CDN、WAF等服务,开启了HTTPS但没有配置证书,服务商提供的默认证书从而导致域名不匹配。
配置好之后,请用浏览器访问地址是否正常输出内容。
常见的错误:
(1)文件内容不正确;
(2)内容看起来正确,但并不正确,原因是里面包含了HTML元素;
(3)原始地址发生了跳转;
(4)内容已经过期。
验证方法二:DNS验证
SSL证书DNS验证在各主流域名注册商下的域名解析方法,仅供参考,具体以各注册商实际为准。具体的记录值将会发送到您指定的邮箱内,届时请留意查收。
域名解析方法:找到要解析的域名,进入域名管理中心-域名解析-域名高级解析,按图所示,在主机记录中输入ssl验证时获取到的一长串主机记录,包括网址信息,将记录类型选择为TXT,在记录值(IP/域名)中输入ssl验证时获取的一串记录值。
爱名网账户下的域名解析方法:如图,在主机记录中输入ssl验证时获取到的一长串主机记录,不包括网址信息,将记录类型选择为TXT,在IP地址/主机名中输入ssl验证时获取的一串记录值。
易名账户下的域名解析方法:如图,在主机记录中输入ssl验证时获取到的一长串主机记录,包括网址信息,将记录类型选择为TXT,在记录值(IP/域名)中输入ssl验证时获取的一串记录值。
阿里云账户下的域名解析方法:找到需要域名,如图,将记录类型选择为TXT,在主机记录中输入ssl验证时获取到的一长串主机记录,包括网址信息,在记录值中输入ssl验证时获取的一串记录值。
新网账户下的域名解析方法:如图,将记录类型选择为TXT,在主机记录中输入ssl验证时获取到的一长串主机记录,不包括网址信息,在对应值中输入ssl验证时获取的一串记录值。
西部数码账户下的域名解析方法:如图,在主机名中输入ssl验证时获取到的一长串主机记录,包括网址信息,将记录类型选择为TXT,在对应值中输入ssl验证时获取的一串记录值。
更多域名解析方法,请详询您的域名注册商。
注意事项:
1、记录值24小时内有效。超过24小时后该值会变化,请用最新值配置DNS记录。
2、添加解析记录后,还未生效。添加或修改DNS解析后,生效时间0-72小时,具体以各注册商时间为准。
3、当填写的不是一级域名,例如www.22.cn,api.ssl.22.cn类似这种的域名,请优先尝试添加对应的一级域名的解析记录值,一级域名记录值生效后,再添加二级及以上的域名记录值。
4、已存在其他CNAME记录值的解析。请尝试修改为A记录的解析,然后再添加上述解析记录。CNAME记录值可能影响验证,如果无法删除CNAME记录,请尝试文件验证方式。