文档首页 > > 常见问题> 验证域名所有权> 什么是DNS验证,以及如何进行DNS验证?

什么是DNS验证,以及如何进行DNS验证?

分享
更新时间: 2019/10/12 GMT+08:00

DNS验证,是指在域名管理平台通过解析指定的DNS记录,验证域名所有权。

在您成功申请证书后,需要按照证书列表页面的提示完成域名授权验证配置,否则证书将一直处于“待完成域名验证”状态,且您的证书将无法通过审核。

当您申请证书时,“域名验证方式”选择的是“DNS验证”,则可参照本章节内容进行操作。

您需要在您的域名管理平台修改DNS解析,DNS解析才能生效。
  • 如果您是在华为云平台管理您的域名,请在华为云的云解析服务上修改DNS解析。详细操作,请参见如何在华为云的云解析服务上进行DNS验证?
  • 如果您是在其他域名管理平台(如万网、新网、DNSPod等)管理您的域名,请在相应的平台上进行修改。

操作指引如下:

如何在华为云的云解析服务上进行DNS验证?

DNS验证一般需要由您的域名管理人员进行相关操作。

如果您是在华为云平台管理您的域名,并且您的域名在您的华为云账号中,请参见本部分操作在华为云的云解析服务上进行DNS验证。

前提条件

  • 已获取登录管理控制台的账号和密码。
  • 已获取域名验证所需的配置信息(“主域名”“主机记录”“记录值”)。

    本章节操作步骤以申请证书的域名“domain.com”添加一条DNS记录“2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb”(记录类型为TXT)为例说明。

操作步骤

  1. 登录管理控制台。
  2. 单击页面上方的“服务列表”,选择网络 > 云解析服务,在左侧导航树中选择域名解析 > 公网解析,进入公网域名列表界面,如图1所示。

    图1 公网域名列表界面

  3. 在页面的右上角,单击“创建公网域名”,进入“创建公网域名”页面,如图2所示。

    图2 创建公网域名

  4. “域名”的配置框中,输入您要解析域名的域名domain.com,并单击“确定”
  5. 在域名列表中,单击添加的主域名名称,进入该域名的记录集页面,如图3所示。

    图3 记录集列表

  6. 在页面右上角,单击“添加记录集”,进入“添加记录集”页面,如图4所示,参数说明如表1所示。

    图4 添加记录集
    表1 添加记录集参数说明

    参数名称

    参数说明

    取值样例

    主机记录

    该域名对应的主机记录(后缀无需用户手动填写)。

    _dnsauth

    类型

    记录集的类型,此处选择“TXT – 设置文本记录 ”

    TXT – 设置文本记录

    线路类型

    用于DNS服务器在解析域名时,根据访问者的来源,返回对应的服务器IP地址。

    添加解析线路类型时,切记先添加默认线路类型,以保证网站可访问。

    默认选择“全网默认”

    全网默认

    TTL (秒)

    记录集的有效缓存时间,以秒为单位。

    默认选择“5分钟”

    5分钟

    该域名对应的TXT主机记录值。输入时,必须用双引号(英文状态下)引用该记录值。

    "2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb"

    权重

    可选参数。

    解析记录的权重,默认值为1。取值范围:0~100。

    当域名有多条某一类型的解析记录时,根据权重数值选择解析记录,权重数值越高,优先级越高。

    1

    标签

    可选参数。

    “其他配置”开关打开时显示。记录集的标示,包括键和值,每个记录集可以创建10个标签。

    -

    描述

    可选参数。

    对域名的描述,当“其他配置”开关打开时显示。

    -

  7. 单击“确定”,记录集添加成功。

    当记录集的状态显示为 “正常”时,表示记录集添加成功。
    说明:

    该DNS配置记录在证书颁发或吊销后才可以删除。

如何查看域名验证是否生效

本部分内容介绍如何查询域名验证是否生效。

前提条件

已完成DNS验证配置。

操作步骤

  1. 登录管理控制台
  2. 单击页面上方的“服务列表”,选择安全 > SSL证书管理,进入SSL证书管理界面。
  3. 在待完成域名验证的证书所在行的“操作”列,单击“域名验证”,系统从右面弹出域名验证详细页面。
  4. 在证书的域名验证页面,查看并记录“主机记录”“记录类型”“记录值”,如图5所示。

    如果界面未显示,则请登录邮箱(申请证书时填写的邮箱)进行查看。
    图5 查看主机记录

  5. 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。
  6. 在cmd中输入以下命令,查看域名授权验证配置是否已经生效。

    nslookup -qt=TXT _dnsauth.xxxx

    请将nslookup -qt=TXT _dnsauth.xxxx命令中的_dnsauth.xxxx替换为步骤 4中的主机记录。

    说明:

    请您务必检查是否正确配置了DNS记录,DNS没有配置正确是无法签发证书的。

    • 如果界面回显的记录值(text的值)与步骤 4中的记录值一致,如图6所示,说明域名授权验证配置已经生效。
      图6 域名授权验证配置生效
    • 如果界面回显信息不存在TXT记录,显示为“Non-existent domain”,说明域名授权验证配置未生效。
      图7 域名授权验证配置未生效
      可能有以下两种原因:
      • 配置的生效时间过长,生效时间还未到,因此无法查询到数据。

        请您检查生效时间(TTL)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样,如华为云的DNS(云解析服务)默认是5分钟后生效。

      • 记录配置出错。
        请您检查 “主机记录”“类型”是否填写正确。以华为云的云解析服务为例,查看 “主机记录”“类型”,如 图8所示。

        请您确认您的域名管理平台提供的主机记录是否支持全域名,如果您的域名管理系统不支持全域名的主机记录,请去掉根域名的后缀部分。

        图8 添加记录集

  7. 验证完成后,CA机构可能还需要一段时间审核域名信息。在此期间,证书状态为“待完成域名验证”

    CA机构审核通过后,证书审核才可以进入“待完成组织验证”状态。

分享:

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区