域名控制权验证 (Domain Control Validated, DCV) 用于验证您对域名的所有权,所有的 SSL 证书都需要验证此项以对域名签发证书。
此过程一般是自动化的,无需人工参与。您在订购证书并提交签发请求后,CA 机构会主动与您联系并根据您选择的验证方式来验证您对域名的所有权。
# 邮箱验证
邮箱验证是最常见和普遍的 DCV 验证方式。CA 机构会查询您域名的 WHOIS 信息中的邮件地址,同时提供一票常见的对域名具有管理权限的预置地址。您需要在这些邮件地址中选择您能够接收到确认信的一个,提交验证后确认信会发送到对应邮箱。
如果您的域名开启了隐私保护,请暂时禁用再申请证书,因为多数隐私保护邮箱地址并不会转发邮件给注册人。
DCV 验证邮件一般会提供给您一个确认地址和一个 validation code,您需要通过此地址在浏览器中打开确认页面,填入 validation code 或者点击 "Accept" 或类似批准的字样即可完成验证步骤。
请不要轻信来自不可信地址的邮件,也不要点击非 CA 机构发送的确认地址。
# DNS CNAME 验证
一些 CA 机构提供了通过 DNS CNAME 记录验证域名所有权的方式。这里以 COMODO 为例。
您提交 CSR 后,CSR 的完整内容将使用两种算法得出哈希值。例如:
MD5(CSR) = 20825EFC430A06EFD7752F35637EFC78
SHA1(CSR) = FE15FE92B69C5761F4BA60B03050E8CEAF739C95
则您需要新建 DNS 记录 20825EFC430A06EFD7752F35637EFC78.example.com
CNAME 到 FE15FE92B69C5761F4BA60B03050E8CEAF739C95.comodoca.com
:
20825EFC430A06EFD7752F35637EFC78.example.com. IN CNAME FE15FE92B69C5761F4BA60B03050E8CEAF739C95.comodoca.com.
DNS CNAME 记录忽略大小写
您需要稍等片刻以使 DNS 解析记录生效。
# HTTP/HTTPS 验证
同样,您的 CSR 将使用 MD5 和 SHA1 两种算法得出哈希值,您需要在根域名下新建以 MD5 值命名的 .txt
文件,例如 http://example.com/20825EFC430A06EFD7752F35637EFC78.txt
,此文件的内容为 SHA1 值和 CA 名称。
FE15FE92B69C5761F4BA60B03050E8CEAF739C95
COMODOCA.COM
如果您的站点使用 HTTPS,请在验证时选择 HTTPS 协议而不是 HTTP。
其他 CA 机构的算法可能不一样,请根据页面提示进行操作。如果有任何问题,请提交技术支持工单或邮件至:saki@ssl.do
。
Last Update: 2016-10-14 23:13:34 Source File