域名控制权的验证方式介绍,DNS、文件验证、Email

为什么要验证域名控制权?


CA必须得确认申请者对域名拥有控制权,否则任何一个人都可以把不属于自己的域名拿去申请SSL证书。

有哪几种域名控制权的验证方式?


三种 ,分别是邮箱验证,文件验证和DNS验证   

  • DNS验证
  • 文件验证
  • EMAIL验证

1. DNS验证


按要求添加一条指定的DNS记录 ,记录类型是 CNAME 

举例,申请证书的域名是 dijiassl.com

登录用户中心-SSL证书管理,找到该证书订单,看到要添加的DNS记录是  :

 

 

以阿里云注册的域名为例,您需要登录域名解析控制面板,添加如下的记录 




CA会定时检测该记录,添加记录完成后,通常在1个小时内会完成验证。

2. 文件验证


按要求上传指定的验证文件到网站指定的目录下。

如果您选择的是文件验证,请登录用户中心-SSL证书管理,找到该证书订单,复制验证内容,上传到服务器上 ,

举例 : 

验证网址 https://aabb.com/.well-known/pki-validation/201F4EFF6DFFA6F7CC22775AC0163C7C.txt
文件名:201F4EFF6DFFA6F7CC22775AC0163C7C.txt

请上传该文件到域名的网站目录下的 .well-known 目录下的 pki-validation 目录下

如果网站上没有这样的目录,你需要建立这样的目录结构,让后放入验证文件,确认通过上面的验证网址能够打开这个文件。

提示:.well-known 是以点号开头的目录名称,windows 操作系统可以通过命令   mkdir .well-known 建立该目录 

3. 邮箱验证


有下面几个邮箱可以作为域名验证邮箱:

Whois邮箱
admin@abc.com
administrator@abc.com
hostmaster@abc.com
webmaster@abc.com
postmaster@abc.com

WHOIS邮箱 即域名联系人邮箱,通常是注册域名时候填写的域名联系人邮箱,如果注册商或者域名所有人隐藏了该邮箱,那么会导致CA查询不到该域名的联系人邮箱,

其他的几个邮箱能够使用的前提是该域名开通了企业邮箱,

除了上面几个邮箱,其他邮箱不能用于验证域名控制权

如果以上邮箱均无法使用,可以采用其他验证方式,