约束与限制

DNS验证即解析DNS记录，只能在域名管理平台即您的域名托管平台上进行解析。

为了顺利的完成DNS验证，早日签发证书，建议您采用第二种方式。

域名托管至华为云云解析服务

在华为云的云解析服务上进行DNS验证

以下操作步骤是以申请证书的域名“domain3.com”添加一条DNS记录“2019030700000022ams1xbyevdn4jvahact9xzpicb565k9443mryw2qe99mbzpb”（记录类型为TXT）为例说明，在华为云的云解析服务上进行DNS验证的操作步骤。

1. 登录管理控制台。
2. 选择“网络 > 云解析服务”，进入“云解析”页面。
3. 在左侧树状导航栏，选择“域名解析 > 公网解析”，进入“公网域名”页面。
4. 在“公网域名”页面的域名列表中，单击需要解析的域名“domain3.com”，进入“解析记录”页面。
5. 在“解析记录”页面的右上角，单击“添加记录集”，进入“添加记录集”页面。
   

   如果在“解析记录”的域名列表中，已存在域名“domain3.com”的TXT记录值，直接在目标域名的“操作”列，单击“修改”，进入“修改记录集”页面。

   • “主机记录”：“域名验证”页面，域名服务商返回的“主机记录”的前缀。

     根据域名服务商不同，返回的“主机记录”不同，以下仅为两个样例。

     举例：

     • 如果域名服务商返回的“主机记录”为“_dnsauth.domain3.com”，则主机记录填写“_dnsauth”。
     • 如果域名服务商返回的“主机记录”为“domain3.com”，则“主机记录”为空，不需要填写。
   • “类型”：选择“TXT – 设置文本记录”。
   • “线路类型”：全网默认。
   • “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。
   • “值”：“域名验证”页面，域名服务商返回的“记录值”。
     

     记录值必须用英文引号引用后粘贴在文本框中。

   • 其他的设置保持不变。
   图1 添加记录集
   

6. 单击“确定”，记录集添加成功。
   当记录集的状态显示为“正常”时，表示记录集添加成功。

   

   • 该DNS配置记录在证书颁发或吊销后才可以删除。
   • 请您务必检查是否正确配置了DNS记录，DNS没有配置正确是无法签发证书的。
   • 验证完成后，CA机构可能还需要2-3个工作日审核域名信息，请耐心等待，在此期间，证书状态为“待完成域名验证”。CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

查看域名验证是否生效

1. 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。
2. 在cmd中输入以下命令，查看域名授权验证配置是否已经生效。

   nslookup -q=TXT xxx

   xxx代表域名服务商返回的“主机记录”值。

   • 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图2所示，说明域名授权验证配置已经生效。
     图2 域名授权验证配置生效
     
   • 如果界面回显信息不存在TXT记录，显示为“Non-existent domain”，说明域名授权验证配置未生效。
     图3 域名授权验证配置未生效
     
     如果域名验证配置未生效，请根据以下两种可能的原因进行排除修改，直至验证生效：

     • 配置的生效时间过长，生效时间还未到，因此无法查询到数据。

       请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效。

     • 记录配置出错。
       请您检查“主机记录”或“类型”是否填写正确。

       

       请您确认您的域名管理平台提供的主机记录是否支持全域名，如果您的域名管理系统不支持全域名的主机记录，请去掉根域名的后缀部分。