申请SSL证书教程:如何验证域名所有权
申请SSL证书时,都是需要验证域名所有权,DV SSL证书的审核比较简单,只需要验证域名所有权,OV SSL证书或者EV SSL证书审核比较严格,但是第一步也是需要完成域名所有权的验证,才会进行下面的企业验证等。
那么如何去验证域名所有权呢,由于不同的证书商验证的略有不同,下面以安信SSL证书,并以anxinssl.com 该域名申请证书为例为大家详细讲解。
域名所有权验证方法主要是三种:邮箱验证 ,文件验证,DNS验证。
一.邮箱验证
系统会自动识别该域名的管理员邮箱。向你选择的管理员邮箱 发送验证邮件,能够收到验证邮件,并点击邮件中验证链接 即可完成验证,该邮箱需要满足以下条件:
1.域名注册的管理员邮箱 (注意:由于很多域名商会设置whois隐私保护,所以目前whois管理员邮箱很多系统无法获取和识别到该邮箱)
2.默认管理员前缀的企业邮箱如下:
admin@anxinssl.com
administrator@ anxinssl.com
hostmaster@ anxinssl.com
webmaster@ anxinssl.com
postmaster@ anxinssl.com
选择其中一个邮箱可用的邮箱,完成邮箱证书验证邮件即可。
如果您没有企业邮箱,但是您有域名的管理权限的话,可以注册一个免费的腾讯的免费企业或者网易免费企业邮箱来完成验证的。这里提供下腾讯的免费企业邮箱注册方法:
1.在腾讯企业邮箱官方网站http://exmail.qq.com/免费注册一个管理员帐号;
2、然后在腾讯企业邮箱官方网站http://exmail.qq.com/登录管理员帐号,在页面中添加您的域名;
3、添加好域名后登录域名管理系统设置域名的mx记录(邮件记录,作用是收发邮件)、cname记录(别名记录,作用是实现个性化页面登录和给二次开通的用户验证域名的所有权)和txt记录(文本记录、spf,作用是提升发送外域邮件的成功率)。
4.设置MX记录,此步骤需到域名提供商的管理界面设置:
(1)打开域名管理界面,找“域名解析”处;
(2)添加2条MX记录,参数如下:
邮件服务器名:mxbiz1.qq.com.优先级:5
邮件服务器名:mxbiz2.qq.com.优先级:10
5、域名的记录设置好后需要等待2-24小时方可生效
注意:此办法不推荐,因为如果您已经能对域名做DNS解析了,就无需通过该方法完成企业邮箱注册并验证。可以直接使用DNS验证方式了。(此方法适用于文件验证不了,并且由于选择DNS验证后由于域名面板功能的原因无法实现添加-下划线或者. 等这类特殊符号的情况)
二.文件验证
目前文件验证主要分http和https的验证方式。通过在域名根目录下创建指定的文件验证域名所有权,这个一般根据证书商的要求进行设置。
验证步骤:
1.在客户后台点击下载验证文件Auth.txt(不同证书ca机构验证文件名称不同。根据证书ca机构的要求命名)
2.上传到网站目录下的.well-know/pki-validation (网站目录该目前如果没有需要手动创建)
3.上传完成后 可以访问http://anxinssl.com/.well-know/pki-validation/Auth.txt.
注意事项:
1)上述.well-know/pki-validation 中well-know 前面是有黑色.的,不要漏了。
2)如果域名设置了301重定向访问跳转到http://www.anxinssl.com/.well-know/pki-validation/Auth.txt. 验证是不成功的,需要先取消301重定向。
3)https验证方式跟http第1,2步都是一样的,第3步上传后需要使用https:// anxinssl.com/.well-know/pki-validation/Auth.txt.完成验证
4)验证的链接http://www.anxinssl.com/.well-know/pki-validation/Auth.txt 需要外网都能访问到。
5)如果申请的域名是www.anxinssl.com的话,验证的地址还是http:// anxinssl.com/.well-know/pki-validation/Auth.txt. (有的客户会出现www.anxinssl.com 能访问,但是anxinssl.com不能访问的情况)
三.DNS验证
DNS验证就是通过解析指定的DNS记录验证域名所有权。一般是根据证书ca机构要求做cname解析记录或者txt解析记录。
1.cname解析
此处证书ca机构会给您需要做的记录值 ,例如证书商要求做_C08BCD8FA7F5AAD7282D76B8BF02A337.anxinssl.com 指向到3DC9CE3B45FABBD59BD6CAF837852FDC.390F1F287B73C1E1AA1F927214EF81CA.zBm75F6At5Bv5UwC555B.comodoca.com
那您就需要登陆域名管理面板 按照证书商的要求做cname解析 (txt解析是一样的,根据证书ca机构的要求做解析)
验证:DNS解析需要一段时间生效,一般是24小时内,可以通过
https://www.whatsmydns.net/#CNAME/ 进行查询是否生效。
注意事项:1)_C08BCD8FA7F5AAD7282D76B8BF02A337.anxinssl.com 此处做解析的时候下划线是有的,不能漏填。
2)二级域名例如test.anxinssl.com 如果证书ca机构需要做cname解析如下:
_3C7DD54075308BA2EFB0AF5968B35182.test.anxinssl.com 指向到
3DC9CE3B45FABBD59BD6CAF837852FDC.390F1F287B73C1E1AA1F927214EF81CA.zBm75F6At5Bv5UwC555B.comodoca.com
注意做解析的时候 需要登陆二级域名anxinssl.com 域名面板做解析,主机名填写_3C7DD54075308BA2EFB0AF5968B35182.test,注意区分下和anxinssl.com 的区别 多了一个.test 值。其他的子域名以此为例。
三种申请SSL证书的验证方式的对比:
邮箱验证只需要登陆邮箱点击邮箱邮件完成验证即可,验证速度快,验证完成后证书十分钟左右就可以签发,是最简捷方便的验证方式。
文件验证需要有服务器的root管理权限。如果在邮箱验证无法验证的情况并且您有服务器管理权限的话,文件验证是最好的验证方式,完成文件上传后也可以快速签发证书。
DNS解析需要有域名的管理权限,并且解析在12-24小时内生效,所以此验证方式速度会慢一些,可能需要1-2天的时间完成证书签发。
三种方式都是可以完成域名所有权的验证的,具体的可以根据您的实际情况选择验证方式哦。
基于域名可以完成验证,但是一些企业网站很多都是内部测试的,解析到的是内网的IP。
那么基于内网的域名能否申请证书呢?
答案当然是可以的,不过需要满足的条件:
1.域名需要是通过域名注册平台注册的域名,而不是用于内网测试的自定义内网域名。自定义内网域名解析到内网ip的该类内网域名 是不支持申请证书的。
内网使用的域名申请证书验证方式:
1.邮箱验证(和上述邮箱验证步骤和方法一致)
2.DNS解析 (也和上述DNS解析步骤和方法一致)
注意:内网的域名不支持文件验证,主要是由于域名解析到的是内网ip ,外网无法访问,所有无法完成指定文件验证内容的验证。
以上是针对一般基于域名申请证书的域名所有权的验证方式,目前市面上还有一些基于ip申请的ssl证书如何完成验证呢?
基于ip的证书主要是验证ip的管理权,验证方式只有文件验证。
验证步骤:
1.后台点击下载验证文件Auth.txt(不同证书ca机构的证文件名不同。根据证书ca机构的要求命名)
2.到网站目录下的.well-know/pki-validation (网站目录该目前如果没有需要手动创建)
3.完成后 可以访问http://ip/.well-know/pki-validation/Auth.txt.
注意:此处ip必须是公网ip。