每次申請SSL證書時都需要配合CA機構驗證域名所有權,因此通常會因為驗證不及時而導致證書簽發不成功或簽發時間過長。為了解決該問題,阿里云提供了域名免驗證授權解決方案,您可以在域名所在的DNS解析服務商添加阿里云生成的CNAME類型的解析記錄,添加完成并在數字證書管理服務控制臺驗證通過后,該域名在后續申請SSL證書時將不再重復DNS驗證。本文為您介紹如何授權域名申請證書免驗證。
限制條件
目前僅DigiCert、GeoTrust、Rapid和CFCA品牌的SSL證書支持域名免驗證。
如果您的域名使用西部數碼的DNS解析服務,目前暫不支持域名免驗證。
步驟一:添加免DNS驗證的域名
登錄數字證書管理服務控制臺。
在左側導航欄,選擇。
在域名免驗證授權管理頁面,單擊添加域名。
在添加域名面板,填寫域名并選擇SSL證書品牌和提醒聯系人,單擊確定。
支持輸入多個域名,需用半角逗號(,)分隔。不支持輸入公網IP。
如果阿里云檢測到CNAME記錄失效,則會發送消息提醒給所選聯系人。
步驟二:授權域名免驗證
在域名免驗證授權管理頁面的域名列表中,定位到目標域名,復制主機記錄和記錄值。
在DNS域名解析服務商添加CNAME類型的解析記錄。
下面以阿里云云解析DNS為例,為您演示為域名添加DNS解析記錄的過程,供您參考。如果您域名對應的DNS域名解析服務不在阿里云,請您前往域名對應的DNS域名解析商添加解析記錄。
使用域名持有者所在的阿里云賬號,登錄云解析DNS控制臺。
在域名解析頁面,定位到證書綁定的域名,單擊域名名稱。
在解析設置頁面,單擊添加記錄。
在添加記錄面板,選擇記錄類型為CNAME,并添加復制的主機記錄及記錄值,單擊確認。
重要為確保在申請SSL證書時域名免驗證的能力,務必不要刪除已經添加到DNS服務內的CNAME記錄。
返回域名免驗證授權管理頁面,在操作列,單擊驗證,驗證CNAME記錄是否生效。
生效后將會提示當前域名授權成功,在后續申請對應域名的SSL證書時,可以直接選擇域名授權自動化驗證,無需再進行域名所有權驗證。SSL證書申請操作,請參見提交證書申請。
相關操作
修改提醒聯系人:在操作列,單擊編輯。在編輯域名面板,修改提醒聯系人。
刪除域名:在操作列,單擊編輯。在彈出的對話框,單擊確定。