凯发k8国际娱乐官网入口-k8凯发> 云证书管理服务 ccm> > > > 方式二:手动dns验证
更新时间:2023-05-30 gmt 08:00

方式二:手动dns验证-凯发k8国际娱乐官网入口

按照ca中心的规范,如果您申请了ssl证书,则必须完成域名验证(又称验证域名所有权)来证明待申请证书要绑定的域名属于您。

手动dns验证,是指您需要在域名的dns解析服务商手动修改域名的dns解析记录,在解析记录中添加一条用于验证的记录。ca机构验证添加的记录能被解析,则表示验证通过。

如果您在申请证书时域名验证方式选择了手动dns验证,请参照本章节进行处理。

约束与限制

手动dns验证的域名解析只能在您的域名管理平台上进行操作,具体的解析方法以域名服务商提供的解析方法为准。

前提条件

绑定的域名须做实名认证,如果未做实名认证,请前往您的域名服务商处完成域名实名认证。

步骤一:确认验证步骤

dns验证只能在域名管理平台(即您的域名托管平台)上进行解析。请根据域名管理平台类型执行验证步骤:

域名管理平台类型

验证步骤

域名管理平台是华为云

继续执行后续所有步骤。

域名管理平台不是华为云
请确认是否愿意把域名从其他服务商迁移到华为云dns?
  • 是。请执行以下操作步骤:
    1. 请参见,把域名从其他服务商迁移到华为云dns。
    2. 继续执行后续所有步骤。
  • 否。请在相应的平台上进行dns验证。例如,域名托管在阿里云,则需要到阿里云的云解析dns控制台进行相关配置。

步骤二:获取验证信息

  1. 登录。
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,进入云证书管理界面。
  3. 在左侧导航栏选择“ssl证书管理”,并ssl证书页面中待域名验证的证书所在行的“操作”列,单击“域名验证”,系统从右面弹出域名验证详细页面。
  4. 在证书的域名验证页面,查看并记录“主机记录”“记录类型”“记录值”,如图1所示。
    如果界面未显示,则请登录邮箱(申请证书时填写的邮箱)进行查看。
    图1 查看主机记录

步骤三:在华为云云解析服务上进行dns验证

  1. 登录。
  2. 选择网络 > 云解析服务,并在云解析页面左侧导航栏,选择“公网域名”,进入“公网域名”页面。
  3. “公网域名”页面的域名列表中,单击待添加记录集的域名,并在解析记录页面右上角单击“添加记录集”,进入“添加记录集”页面。
    • 不同域名类型的证书做dns验证时,需要添加记录集的域名如下:
      • 单域名证书,为证书绑定的域名添加记录集(域名带www时例外,域名带www时为其上一级域名添加记录集。例如证书绑定的域名为www.example.com,为域名example.com添加记录集)。
      • 多域名证书,需要为证书绑定的所有域名添加记录集。
      • 泛域名证书,为泛域名相应的上一级域名添加记录集。

        例如:证书绑定的域名为*.example.com,只需为域名example.com添加记录集。

    • 如果在“解析记录”的域名列表中,已存在带解析域名且相同记录类型的记录值,直接在目标域名的“操作”列,单击“修改”,进入“修改记录集”页面。
    图2 添加记录集
    表1 添加记录集参数说明

    参数名称

    参数说明

    主机记录

    证书的“域名验证”页面,域名服务商返回的“主机记录”

    类型

    证书的“域名验证”页面,域名服务商返回的“记录类型”

    别名

    选择“否”。

    线路类型

    选择“全网默认”。

    ttl (秒)

    一般建议设置为5分钟。ttl值越大,则dns记录的同步和更新越慢。

    证书的“域名验证”页面,域名服务商返回的“记录值”

    说明:

    记录值必须用英文引号引用后粘贴在文本框中。

    其他的设置保持不变。
  4. 单击“确定”,记录集添加成功。
    当记录集的状态显示为“正常”时,表示记录集添加成功。

    该记录集在证书签发后才可以删除。

步骤四:查看域名验证是否生效

  1. 在windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。
  2. 根据不同的记录类型,选择执行表 验证命令所示命令,查看dns验证配置是否已经生效。
    表2 验证命令

    记录类型

    验证命令

    txt

    nslookup -q=txt xxx

    cname

    nslookup -q=cname xxx

    xxx代表域名服务商返回的“主机记录”值。

    • 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图3所示,说明域名授权验证配置已经生效。
      图3 域名授权验证配置生效
    • 如果界面未回显记录值,显示为“non-existent domain”,说明域名授权验证配置未生效。
      图4 域名授权验证配置未生效
  3. 如果dns验证配置未生效,请根据以下可能原因进行排除修改,直至验证生效。
    表3 排查处理

    可能原因

    处理方法

    域名管理平台选择错误

    dns验证只能在域名管理平台(即您的域名托管平台)上进行解析,请确认您进行dns验证的平台是否为您的域名托管平台。

    旧解析记录未删除

    证书签发后添加的解析记录即可删除。

    若您上一次申请证书时添加的解析记录未删除,本次申请证书添加的解析记录将不会生效,请您确认是否未删除上一次解析记录。

    记录配置出错

    请您检查“主机记录”“类型”“记录值”是否填写正确。

    图5 配置记录

    配置的生效时间过长,生效时间还未到,因此无法查询到数据。

    请您检查生效时间(ttl)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的dns配置不一样,如华为云的dns(云解析服务)默认是5分钟后生效,如下图所示。

    若配置的生效时间未到,请等时间到了后再进行验证。

    图6 生效时间

步骤五:dns验证结果审核

  • ov、ev证书

    按ca机构审核邮件要求完成验证后,请耐心等待,ca机构需要2-3个工作日对dns验证信息进行审核,审核通过后,才会签发证书。

    如遇验证失败或其他问题,请根据ca机构审核邮件中提供的凯发k8国际娱乐官网入口的联系方式,与ca机构联系。

  • dv证书
    您可以在域名验证页面,手动验证结果。
    1. 登录。
    2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,进入云证书管理界面。
    3. 在左侧导航栏选择“ssl证书管理”,并ssl证书页面中待域名验证的证书所在行的“操作”列,单击“域名验证”,系统从右面弹出域名验证详细页面。
    4. 单击“验证”,验证dns解析配置。
      • 界面提示“验证成功,证书签发审核中,请等待”:证书将在1分钟内签发,请您及时刷新页面查看证书状态。
      • 验证失败,请参照dv证书dns验证失败如何处理?排查并修改问题后,等待3-5分钟重新验证。

dv证书dns验证失败如何处理?

失败提示信息

凯发k8国际娱乐官网入口的解决方案

提交验证频繁,请稍后再试

验证过于频繁,建议您等待3-5分钟后,执行验证操作。

dns记录值不匹配

您配置的dns记录值不正确,请参照步骤二:获取验证信息获取正确记录值后,重新配置。

dns验证失败,请稍后再试。

请排查是否存在以下问题:

  • 可能问题一:dns记录值配置未生效。

    凯发k8国际娱乐官网入口的解决方案:dns记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的ttl缓存时间),建议您等待3-5分钟后,执行验证操作。

  • 可能问题二:dns记录值正确配置,且一段时间后验证依然失败。

    凯发k8国际娱乐官网入口的解决方案:ca验证服务器位于国外,部分时间可能存在网络问题,导致验证dns失败,请等待1-2小时,或尝试重新发起申请。

  • 可能问题三:域名未完成备案或实名认证。

    凯发k8国际娱乐官网入口的解决方案:请完成域名备案和实名认证后,进行域名所有权验证。

  • 可能问题四:域名存在caa类型的解析记录。

    凯发k8国际娱乐官网入口的解决方案:caa记录会导致验证失败,您需要在域名解析记录中删除所有caa类型的记录。

  • 可能问题五:ca验证服务器没有检测到dns解析记录。

    凯发k8国际娱乐官网入口的解决方案:ca验证服务器位于国外,需要您放开该域名国外的访问限制。
父主题:
分享:
网站地图