计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
云手机服务器 CPH
Huawei Cloud EulerOS
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
VPC终端节点 VPCEP
云连接 CC
企业路由器 ER
企业交换机 ESW
全球加速 GA
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
边缘安全 EdgeSec
态势感知 SA
威胁检测服务 MTD
CDN与智能边缘
内容分发网络 CDN
CloudPond云服务
智能边缘云 IEC
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
云搜索服务 CSS
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
数据可视化 DLV
数据湖工厂 DLF
湖仓构建 LakeFormation
企业应用
云桌面 Workspace
应用与数据集成平台 ROMA Connect
云解析服务 DNS
专属云
专属计算集群 DCC
IoT物联网
IoT物联网
设备接入 IoTDA
智能边缘平台 IEF
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
ICP备案
我的凭证
支持计划
客户运营能力
合作伙伴支持计划
专业服务
区块链
区块链服务 BCS
Web3节点引擎服务 NES
解决方案
SAP
高性能计算 HPC
视频
视频直播 Live
视频点播 VOD
媒体处理 MPC
实时音视频 SparkRTC
数字内容生产线 MetaStudio
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
存储容灾服务 SDRS
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
专属分布式存储服务 DSS
容器
云容器引擎 CCE
容器镜像服务 SWR
应用服务网格 ASM
华为云UCS
云容器实例 CCI
管理与监管
云监控服务 CES
统一身份认证服务 IAM
资源编排服务 RFS
云审计服务 CTS
标签管理服务 TMS
云日志服务 LTS
配置审计 Config
资源访问管理 RAM
消息通知服务 SMN
应用运维管理 AOM
应用性能管理 APM
组织 Organizations
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
应用身份管理服务 OneAccess
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库 GeminiDB
云数据库 GaussDB
分布式数据库中间件 DDM
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
人脸识别服务 FRS
图引擎服务 GES
图像识别 Image
内容审核 Moderation
文字识别 OCR
AI开发平台ModelArts
图像搜索 ImageSearch
对话机器人服务 CBS
华为HiLens
视频智能分析服务 VIAS
语音交互服务 SIS
应用中间件
分布式缓存服务 DCS
API网关 APIG
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
多活高可用服务 MAS
事件网格 EG
企业协同
华为云会议 Meeting
云通信
消息&短信 MSGSMS
云生态
合作伙伴中心
云商店
开发者工具
SDK开发指南
API签名指南
Terraform
华为云命令行工具服务 KooCLI
其他
产品价格详情
系统权限
管理控制台
客户关联华为云合作伙伴须知
消息中心
公共问题
开发与运维
应用管理与运维平台 ServiceStage
软件开发生产线 CodeArts
需求管理 CodeArts Req
部署 CodeArts Deploy
性能测试 CodeArts PerfTest
编译构建 CodeArts Build
流水线 CodeArts Pipeline
制品仓库 CodeArts Artifact
测试计划 CodeArts TestPlan
代码检查 CodeArts Check
代码托管 CodeArts Repo
云应用引擎 CAE
开天aPaaS
云消息服务 KooMessage
云手机服务 KooPhone
云空间服务 KooDrive

如何进行手动DNS验证?

更新时间:2024-09-14 GMT+08:00

DNS验证,是指在域名管理平台通过解析指定的DNS记录,来验证域名所有权的一种方式。SSL证书管理中支持自动DNS验证和手动DNS验证两种DNS验证方式。

本章节将介绍如何在华为云平台进行手动DNS验证

手动DNS验证是指您需要前往域名的DNS解析服务商进行操作。

图1 手动DNS验证场景图

约束与限制

手动DNS验证的域名解析只能在您的域名管理平台上进行操作,具体的解析方法以域名服务商提供的解析方法为准。

步骤一:确认验证步骤

DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析。请根据域名管理平台类型执行验证步骤:

域名管理平台类型

验证步骤

域名管理平台是华为云

继续执行后续所有步骤。

域名管理平台不是华为云

请确认是否愿意把域名从其他服务商迁移到华为云DNS?
  • 是。请执行以下操作步骤:
    1. 请把域名从其他服务商迁移到华为云DNS。
    2. 继续执行后续所有步骤。
  • 否。请在相应的平台上进行DNS验证。例如,域名托管在阿里云,则需要到阿里云的云解析DNS控制台进行相关配置。

步骤二:获取验证信息

  1. 登录管理控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,进入云证书管理界面。
  3. 在左侧导航栏选择“SSL证书管理”,并在SSL证书页面中待进行域名验证的证书所在行的“操作”列,单击“域名验证”,系统从右面弹出域名验证详细页面。
  4. 在证书的域名验证页面,查看并记录“主机记录”“记录类型”“记录值”,如图2所示。

    如果界面未显示,则请登录邮箱(申请证书时填写的邮箱)进行查看。
    图2 查看主机记录

步骤三:在华为云云解析服务上进行DNS验证

  1. 登录管理控制台
  2. 选择网络 > 云解析服务,并在云解析页面左侧导航栏,选择“公网域名”,进入“公网域名”页面。
  3. “公网域名”页面的域名列表中,单击待添加记录集的域名,并在解析记录页面右上角单击“添加记录集”,进入“添加记录集”页面。

    说明:
    • 不同域名类型的证书做DNS验证时,需要添加记录集的域名如下:
      • 单域名证书,为证书绑定的域名添加记录集(域名带www时例外,域名带www时为其上一级域名添加记录集。例如证书绑定的域名为www.example.com,为域名example.com添加记录集)。
      • 多域名证书,需要为证书绑定的所有域名添加记录集。
      • 泛域名证书,为泛域名相应的上一级域名添加记录集。

        例如:证书绑定的域名为*.example.com,只需为域名example.com添加记录集。

    • 如果在“解析记录”的域名列表中,已存在带解析域名且相同记录类型的记录值,直接在目标域名的“操作”列,单击“修改”,进入“修改记录集”页面。
    图3 添加记录集
    表1 添加记录集参数说明

    参数名称

    参数说明

    主机记录

    证书的“域名验证”页面,域名服务商返回的“主机记录”

    类型

    证书的“域名验证”页面,域名服务商返回的“记录类型”

    别名

    选择“否”。

    线路类型

    选择“全网默认”。

    TTL (秒)

    一般建议设置为5分钟。TTL值越大,则DNS记录的同步和更新越慢。

    证书的“域名验证”页面,域名服务商返回的“记录值”

    说明:

    记录值必须用英文引号引用后粘贴在文本框中。

    其他的设置保持不变。

  4. 单击“确定”,记录集添加成功。

    当记录集的状态显示为“正常”时,表示记录集添加成功。
    说明:

    该记录集在证书签发后才可以删除。

步骤四:查看域名验证是否生效

  1. 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。
  2. 根据不同的记录类型,选择执行表 验证命令所示命令,查看DNS验证配置是否已经生效。

    表2 验证命令

    记录类型

    验证命令

    TXT

    nslookup -q=TXT xxx

    CNAME

    nslookup -q=CNAME xxx

    说明:

    xxx代表域名服务商返回的“主机记录”值。

    • 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图4所示,说明域名授权验证配置已经生效。
      图4 域名授权验证配置生效
    • 如果界面未回显记录值,显示为“Non-existent domain”,说明域名授权验证配置未生效。
      图5 域名授权验证配置未生效

  3. 如果DNS验证配置未生效,请根据以下可能原因进行排除修改,直至验证生效。

    表3 排查处理

    可能原因

    处理方法

    域名管理平台选择错误

    DNS验证只能在域名管理平台(即您的域名托管平台)上进行解析,请确认您进行DNS验证的平台是否为您的域名托管平台。

    旧解析记录未删除

    证书签发后添加的解析记录即可删除。

    如您上一次申请证书时添加的解析记录未删除,本次申请证书添加的解析记录将不会生效,请您确认是否未删除上一次解析记录。

    记录配置出错

    请您检查“主机记录”“类型”“记录值”是否填写正确。

    图6 配置记录

    配置的生效时间过长,生效时间还未到,因此无法查询到数据。

    请您检查生效时间(TTL)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样,如华为云的DNS(云解析服务)默认是5分钟后生效,如下图所示。

    如配置的生效时间未到,请等时间到了后再进行验证。

    图7 生效时间

步骤五:DNS验证结果审核

  • OV、EV证书

    按CA机构审核邮件要求完成验证后,请耐心等待,CA机构需要2-3个工作日对DNS验证信息进行审核,审核通过后,才会签发证书。

    如遇验证失败或其他问题,请根据CA机构审核邮件中提供的联系方式,与CA机构联系。

  • DV证书
    您可以在域名验证页面,手动验证结果。
    1. 登录管理控制台
    2. 在左侧导航栏选择“SSL证书管理”,并SSL证书页面中待域名验证的证书所在行的“操作”列,单击“域名验证”,系统从右面弹出域名验证详细页面。
    3. 单击“验证”,验证DNS解析配置。
      • 界面提示“验证成功,证书签发审核中,请等待”:证书将在1分钟内签发,请您及时刷新页面查看证书状态。
      • 验证失败,请参照DV证书DNS验证失败如何处理?排查并修改问题后,等待3-5分钟重新验证。

DV证书DNS验证失败如何处理?

失败提示信息

解决方案

提交验证频繁,请稍后再试

验证过于频繁,建议您等待3-5分钟后,执行验证操作。

DNS记录值不匹配

您配置的DNS记录值不正确,请参照步骤二:获取验证信息获取正确记录值后,重新配置。

DNS验证失败,请稍后再试。

请排查是否存在以下问题:

  • 可能问题一:DNS记录值配置未生效。

    解决方案:DNS记录值配置完后不会立即生效(具体生效时间为您域名服务器中设置的TTL缓存时间),建议您等待3-5分钟后,执行验证操作。

  • 可能问题二:DNS记录值正确配置,且一段时间后验证依然失败。

    解决方案:CA验证服务器位于国外,部分时间可能存在网络问题,导致验证DNS失败,请等待1-2小时,或尝试重新发起申请。

  • 可能问题三:域名未完成备案或实名认证。

    解决方案:请完成域名备案和实名认证后,进行域名所有权验证。

  • 可能问题四:域名存在CAA类型的解析记录。

    解决方案:CAA记录会导致验证失败,您需要在域名解析记录中删除所有CAA类型的记录。

  • 可能问题五:CA验证服务器没有检测到DNS解析记录。

    解决方案:CA验证服务器位于国外,需要您放开该域名国外的访问限制。

我们使用cookie来确保您的高速浏览体验。继续浏览本站,即表示您同意我们使用cookie。 详情

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容