前提條件

已經提交證書申請，具體操作，請參見提交證書申請。

域名驗證方式

下表為您介紹不同類型證書的域名驗證方式以及操作指導。

DNS域名解析服務與證書申請者屬于同一阿里云賬號

如果DNS域名解析服務與證書申請者屬于同一阿里云賬號，申請DV證書時，阿里云會自動識別該域名，并默認選擇自動DNS驗證方式，且不支持修改。提交審核后，阿里云會自動在云解析DNS控制臺對應的域名中添加一條解析記錄，用于驗證域名所有權。

如果您的域名解析已經生效，但是在控制臺單擊驗證時仍提示未檢測到DNS記錄值，是因為控制臺驗證域名解析結果存在一定的延遲，所以控制臺顯示的驗證結果僅供參考，實際驗證和簽發結果請以CA中心檢測為準。一般情況下，證書的審核和簽發需要1~2個工作日，請您耐心等待。

DNS域名解析服務與證書申請者不屬于同一阿里云賬號

申請DV證書時，如果DNS域名解析服務與證書申請者不屬于同一阿里云賬號，您可以選擇以下方式進行域名所有權驗證。

手動DNS驗證流程

DV證書綁定的域名需為單域名或通配符域名，且您有權限修改域名的DNS解析設置（即擁有域名管理權限）時，您可以選擇手動DNS驗證，即您需要在對應的DNS域名解析服務商，手動添加一條CNAME或TXT類型的解析記錄用于驗證域名所有權。

• CNAME記錄：在DNS中為域名添加一條別名，該別名由阿里云生成。選擇CNAME記錄，后續為該域名申請同品牌同類型的SSL證書時，將不再重復進行域名所有權驗證，可有效避免因為域名所有權驗證不及時而導致證書簽發不成功或簽發時間過長。目前僅DigiCert、GeoTrust、Rapid、Wosign和CFCA品牌的SSL證書支持通過CNAME記錄驗證域名所有權。

• TXT記錄： 在DNS中為域名添加一條用于驗證域名所有權的文本信息，該文本由阿里云生成。選擇TXT記錄，在每次申請證書時都需要在DNS中添加記錄進行域名所權驗證。

下文以添加TXT解析記錄為例，向您介紹域名驗證流程：

1. 提交證書申請審核后，您需要在證書申請面板的驗證信息引導頁，獲取驗證信息。

   

2. 在您的DNS解析服務商上，為域名添加DNS解析記錄。

   下面以阿里云云解析DNS為例，為您演示為域名添加DNS解析記錄的過程，供您參考。如果您域名對應的DNS域名解析服務不在阿里云，請您前往域名對應的DNS域名解析商添加解析記錄。

   1. 使用域名持有者所在的阿里云賬號，登錄云解析DNS控制臺。

   2. 在域名解析頁面，定位到證書綁定的域名，單擊域名名稱。

   3. 在解析設置頁面，單擊添加記錄。

   4. 在添加記錄面板，添加步驟1獲取到的驗證信息（記錄類型、主機記錄及記錄值），然后單擊確認。

      TXT記錄類型的添加示意圖如下：數字證書管理服務控制臺（左圖）、云解析DNS控制臺（右圖）。

      

      添加完成后，您可以在記錄列表中查看已添加的記錄。

      • 新增的解析記錄實時生效。

      • 刪除或修改解析記錄取決于本地DNS緩存的解析記錄的TTL到期時間，一般默認為10分鐘。

      • 修改DNS服務器解析默認生效時間為48小時。例如您將域名DNS解析服務遷移至阿里云DNS解析，在配置解析記錄后，會在48小時后生效。

      重要

      在證書簽發之前，請勿刪除已添加的域名解析記錄，否則會導致證書簽發失敗。建議您在證書簽發后刪除TXT解析記錄，以避免后續添加解析記錄時發生沖突。

3. 成功配置解析記錄后，返回數字證書管理服務控制臺證書申請時的驗證信息引導頁，單擊驗證。

   如果您的域名解析已經生效，但是在控制臺單擊驗證時仍提示未檢測到DNS記錄值，是因為控制臺驗證域名解析結果存在一定的延遲，且控制臺顯示的驗證結果僅供參考，實際驗證和簽發結果請以CA中心檢測為準。一般情況下，證書的審核和簽發需要1~2個工作日，請您耐心等待。

   重要

   如果域名解析記錄中包含CAA記錄，請您確認是否與當前證書品牌一致。如果非當前證書品牌的CAA記錄，您需要刪除該CAA記錄，否則證書將不會簽發。更多關于DNS驗證問題，請參見域名所有權驗證相關問題。

文件驗證流程

DV證書綁定的域名為單域名（aliyundoc.com）時，支持文件驗證方式。您在提交證書申請審核后，需要下載驗證文件，然后將解壓后的文件上傳到站點服務器的指定驗證目錄（.well-known/pki-validation/）。CA中心將會依次嘗試訪問HTTPS地址和HTTP地址（443端口和80端口），驗證是否可以訪問到驗證文件內容，驗證通過后，將為您簽發證書。

上傳驗證文件示例流程如下：

1. 提交證書申請審核后，在下載驗證文件區域，單擊驗證文件，下載專有驗證文件壓縮包到本地計算機并解壓縮。

   

   下載的文件是一個ZIP壓縮包，將其解壓縮后可以獲得fileauth.txt專有驗證文件。該文件僅在下載后的3天內有效，如果您逾期未完成文件驗證，則需要重新下載專有驗證文件。

   重要

   下載并解壓縮獲得專有驗證文件后，請勿對文件執行任何操作，例如，打開、編輯、重命名等。

2. 下面以安裝在阿里云云服務器ECS上的Nginx（Linux版本）為例，為您介紹如何進行文件驗證配置。

   說明

   建議由服務器管理員進行操作。

   1. 連接云服務器ECS。具體操作，請參見連接實例。

   2. 依次執行以下命令，在服務器的Web根目錄（Nginx服務默認為/var/www/html/）下創建文件驗證目錄（.well-known/pki-validation/）。

      cd /var/www/html
      mkdir -p .well-known/pki-validation

   3. 將驗證文件fileauth.txt上傳到驗證目錄（/var/www/html/.well-known/pki-validation/）。

      您可以使用遠程登錄工具附帶的本地文件上傳功能，上傳文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服務器 ECS，上傳文件具體操作，請參見上傳或下載文件（Windows）或上傳文件到Linux云服務器。

      重要

      在證書簽發前，請勿刪除服務器中的專有驗證文件，否則會導致證書簽發失敗。

3. 成功上傳fileauth.txt驗證文件后，返回數字證書管理服務控制臺證書申請面板，訪問URL地址（HTTPS地址和HTTP地址），確保能夠訪問到驗證文件內容。

   數字證書管理服務控制臺驗證文件會有延遲，單擊驗證會出現未檢測到文件的情況，請您耐心等待。如果1個工作日后仍然未驗證成功，請您檢查文件是否上傳正確。控制臺驗證結果僅供參考，實際驗證和簽發結果請以CA中心檢測為準。一般情況下，證書的審核和簽發需要1~2個工作日，請您耐心等待。

相關問題

• 未檢測到DNS記錄值

• DNS記錄值不匹配

• DNS驗證超時

• 文件驗證超時

• 未檢測到文件

• 文件內容不正確

• 申請SSL證書出現審核失敗的原因及處理方法