上一篇
https验证域名
HTTPS验证域名需通过DNS添加TXT记录或上传验证文件,由CA
HTTPS验证域名的核心方式
HTTPS证书申请时需验证域名所有权,主流验证方式包括以下三类:
| 验证类型 | 原理 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|---|
| DNS验证 | 添加指定TXT记录到域名解析 | 拥有DNS管理权限 | 无需修改网站代码 | 依赖DNS生效时间(通常10-60分钟) |
| 文件验证 | 上传特定文件至网站根目录 | 无DNS管理权限但可操作服务器 | 即时验证 | 需服务器写入权限 |
| 邮件验证 | 接收验证邮件并点击链接 | 所有场景(较少用) | 操作简单 | 可能被邮箱拦截,安全性较低 |
具体验证步骤(以DNS验证为例)
获取验证信息
- 证书颁发机构(CA)生成待验证的TXT记录值(如:
_dnsauth.yourdomain.com)。
- 证书颁发机构(CA)生成待验证的TXT记录值(如:
登录DNS控制台
进入域名注册商或DNS服务商的管理后台(如阿里云、DNSPod)。
添加TXT记录
| 主机记录 | 记录类型 | 值 | TTL |
|———-|———-|—————————–|——|
|_dnsauth|TXT|"example-validation-token"| 10分钟 |等待DNS生效
- 使用工具(如
dig yourdomain.com)检查TXT记录是否全局生效。
- 使用工具(如
返回CA完成验证
返回证书申请页面点击“验证”,CA自动检测DNS记录。
常见问题与解决方案
DNS验证一直失败
| 原因 | 解决方案 |
|---|---|
| DNS记录未生效 | 等待更长时间(最长可能24小时),或更换DNS节点 |
| 主机记录填写错误 | 检查是否包含_dnsauth前缀,避免拼写错误 |
| TXT值被截断 | 确保完整复制CA提供的验证值(含双引号) |
文件验证提示“文件不可访问”
- 原因:文件未上传至网站根目录,或权限不足。
- 解决方案:
- 确认文件路径为
http://yourdomain.com/.well-known/acme-challenge/。 - 检查文件权限(如Linux服务器需
chmod 644)。
- 确认文件路径为
注意事项
- 域名所有权证明:验证前需确保域名已解析到目标服务器。
- 网站可访问性:文件验证要求网站能正常访问,否则无法下载验证文件。
- 证书有效期:验证通过后,需定期更新证书(通常90天-1年)。
相关问题与解答
问题1:DNS验证和文件验证哪个更安全?
解答:
DNS验证更安全,因TXT记录仅用于验证,无敏感信息,文件验证需在服务器创建可公开访问的文件,存在被反面利用的风险(如文件被改动或植入反面代码)。
问题2:验证通过后网站仍显示“不安全”,怎么办?
解答:
可能原因及解决步骤:
- 证书未安装:需将CA颁发的证书文件部署到服务器。
- HTTPS配置错误:检查Nginx/Apache的SSL配置(如监听443端口)。
- :确保网页资源(图片、JS等)均通过HTTP
