全部文档

SSL证书管理 SCMSSL证书管理 SCM

      文档首页> SSL证书管理 SCM> 常见问题> 验证域名所有权> 如何进行手动DNS验证?
      更新时间:2021/08/03 GMT+08:00
      查看PDF
      分享

      如何进行手动DNS验证?

      DNS验证,是指在域名管理平台通过解析指定的DNS记录,来验证域名所有权的一种方式。SSL证书管理中支持自动DNS验证和手动DNS验证两种DNS验证方式。

      本章节将介绍如何在华为云平台中进行手动DNS验证

      手动DNS验证是指您需要前往域名的DNS解析服务商进行操作。

      图1 手动DNS验证场景图
      • 在您成功申请证书后,如果未按照证书列表页面的提示完成域名授权验证配置,证书状态将一直处于“待完成域名验证”,导致您的证书无法通过审核而迟迟不能签发。
      • 为了更顺畅的完成DNS验证,早日签发证书,建议由您的专业域名管理人员进行相关操作。

      约束与限制

      DNS验证即解析DNS记录,只能在域名管理平台即您的域名托管平台上进行解析。

      故如果您的域名托管在华为云以外的域名管理平台,有以下两种方式完成DNS验证:

      为了顺利的完成DNS验证,早日签发证书,建议您采用第二种方式。

      (可选)步骤一:域名托管至华为云云解析服务

      如果您的域名不在华为云平台中管理,在进行DNS验证时,请确认是否愿意把域名从其他服务商迁移到华为云DNS?

      如果已在华为云平台中管理您的域名,即证书绑定的域名已使用华为云云解析服务,则请跳过该步骤。

      步骤二:获取证书的主机记录和记录值

      1. 登录管理控制台
      2. 进入域名验证页面,如图2所示。

        图2 进入域名验证页面

      3. 在证书的域名验证页面,查看并记录“主机记录”“记录类型”“记录值”,如图3所示。

        如果界面未显示,则请登录邮箱(申请证书时填写的邮箱)进行查看。
        图3 查看主机记录

      步骤三:在华为云的云解析服务上进行DNS验证

      以下操作步骤是以申请证书的域名“domain3.com”添加一条DNS记录“2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb”(记录类型为TXT)为例说明,在华为云的云解析服务上进行DNS验证的操作步骤。

      1. 登录管理控制台
      2. 选择网络 > 云解析服务,进入“云解析”页面。
      3. 在左侧树状导航栏,选择域名解析 > 公网解析,进入“公网域名”页面。
      4. “公网域名”页面的域名列表中,单击需要解析的域名“domain3.com”,进入“解析记录”页面。
      5. “解析记录”页面的右上角,单击“添加记录集”,进入“添加记录集”页面。

        如果在“解析记录”的域名列表中,已存在域名“domain3.com”的TXT记录值,直接在目标域名的“操作”列,单击“修改”,进入“修改记录集”页面。

        • “主机记录”“域名验证”页面,域名服务商返回的“主机记录”的前缀。

          根据域名服务商不同,返回的“主机记录”不同,以下仅为两个样例。

          举例:
          • 如果域名服务商返回的“主机记录”“_dnsauth.domain3.com”,则主机记录填写“_dnsauth”
          • 如果域名服务商返回的“主机记录”“domain3.com”,则“主机记录”为空,不需要填写。
        • “类型”:选择“TXT – 设置文本记录”。
        • “线路类型”:全网默认。
        • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
        • “值”“域名验证”页面,域名服务商返回的“记录值”

          记录值必须用英文引号引用后粘贴在文本框中。

        • 其他的设置保持不变。
        图4 添加记录集

      6. 单击“确定”,记录集添加成功。

        当记录集的状态显示为“正常”时,表示记录集添加成功。
        • 该DNS配置记录在证书颁发或吊销后才可以删除。
        • 请您务必检查是否正确配置了DNS记录,DNS没有配置正确是无法签发证书的。

      7. 验证完成后,CA机构可能还需要一段时间审核域名信息。在此期间,证书状态为“待完成域名验证”

        CA机构审核通过后,证书审核才可以进入“待完成组织验证”状态。

      步骤四:查看域名验证是否生效

      1. 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。
      2. 在cmd中输入以下命令,查看域名授权验证配置是否已经生效。

        nslookup -q=TXT xxx

        xxx代表域名服务商返回的“主机记录”值。

        • 如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,如图5所示,说明域名授权验证配置已经生效。
          图5 域名授权验证配置生效
        • 如果界面回显信息不存在TXT记录,显示为“Non-existent domain”,说明域名授权验证配置未生效。
          图6 域名授权验证配置未生效
          如果域名验证配置未生效,请根据以下两种可能的原因进行排除修改,直至验证生效:
          • 记录配置出错。

            请您检查“主机记录”“类型”是否填写正确。

            解决方法:若记录配置出错,请修改相关配置。

            如下,以华为云的云解析服务中的配置为例进行说明:

            图7 配置检查

            根据域名服务商不同,返回的“主机记录”不同,以下仅为两个样例。

            举例:
            • 如果域名服务商返回的“主机记录”“_dnsauth.www.huawei.com”,则主机记录填写“_dnsauth”
            • 如果域名服务商返回的“主机记录”“www.huawei.com”,则“主机记录”不需要填写

            请您确认您的域名管理平台提供的主机记录是否支持全域名,如果您的域名管理系统不支持全域名的主机记录,请去掉根域名的后缀部分。

          • 配置的生效时间过长,生效时间还未到,因此无法查询到数据。

            请您检查生效时间(TTL)是否设置过长,建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样,如华为云的DNS(云解析服务)默认是5分钟后生效,如图8所示。

            解决方法:若配置的生效时间未到,请等时间到了后再进行验证。

            图8 配置时间

      父主题: 验证域名所有权
      分享:

      验证域名所有权 所有常见问题

      more