文档首页/ 云证书管理服务 CCM/ SSL证书用户指南/ 申请SSL证书/ 域名验证/ 方式三:文件验证(IP证书&DV证书)
更新时间:2024-09-14 GMT+08:00
分享

方式三:文件验证(IP证书&DV证书)

按照CA中心的规范,如果您申请了SSL证书,则必须完成域名验证(又称验证域名所有权)来证明待申请证书要绑定的域名属于您。

文件验证,是指您手动从SCM控制台获取证书验证文件,然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问,则表示验证通过。

如果您购买的IP证书或DV证书,您需要完成文件验证,请参照本章节进行处理。

前提条件

服务器开放了80或443端口。

目前CA机构仅支持向80或443端口发起认证请求。

约束与限制

  • 仅IP证书和DV证书支持文件验证。
  • 泛域名证书不支持文件验证。

步骤一:获取验证信息

  1. 登录管理控制台
  2. 单击页面左上方的,选择安全与合规 > 云证书管理服务,进入云证书管理界面。
  3. 在左侧导航栏选择“SSL证书管理”,并SSL证书页面中待域名验证的证书所在行的“操作”列,单击“域名验证”,系统从右面弹出域名验证详细页面。
  4. 在域名验证页面中,查看此处的“记录值”

    如果界面未显示,则请按照页面中的提示,登录邮箱(申请证书时填写的邮箱)查看“记录值”

    图1 文件验证

步骤二:创建指定文件

  1. 登录您的服务器,并且确保域名已指向该服务器并且对应的网站已正常启用。
  2. 在网站根目录下,创建指定的文件。该文件包括文件目录、文件名、文件内容。

    网站根目录是指您在服务器上存放网站程序的文件夹,大致有这几种表示名称:wwwroot、htdocs、public_html、webroot等。请您根据实际情况进行操作。

    如下以服务器操作系统为“Windows”,网站根目录为“/www/htdocs”,为例进行说明:

    1. 在Windows系统中,单击“开始”,输入“cmd”,进入命令提示符对话框。
    2. 执行以下命令,进入网站根目录所在磁盘,此处以网站根目录所在磁盘为D盘为例。

      d:

    3. 执行以下命令,在网站根目录下,创建“.well-known/pki-validation”子目录。

      此处则在“/www/htdocs”目录下进行创建,请您根据实际情况进行操作。

      cd /www/htdocs
      mkdir .well-known
      cd .well-known
      mkdir pki-validation
      cd pki-validation
    4. 执行以下命令,在“.well-known/pki-validation”子目录下,创建一个名称为“fileauth.txt”的文件。

      此处以GeoTrust证书颁发机构返回“fileauth.txt”为例进行说明,请以您CA机构实际返回的文件名为准。

      echo off>fileauth.txt

    5. 执行以下命令,打开“fileauth.txt”文件。

      start fileauth.txt

    6. 4中的记录值放在“fileauth.txt”文件内,左上角选择“文件>保存”

步骤三:查看验证配置是否生效

  1. 打开浏览器,访问URL地址“https://yourdomain/.well-known/pki-validation/fileauth.txt”“http://yourdomain/.well-known/pki-validation/fileauth.txt”

    请将URL地址中的yourdomain替换成您申请证书时绑定的域名。

    • 如果您的域名是普通域名,则请参照以下方法进行操作:

      例如,如果您的域名为example.com,则访问的URL地址为:https://example.com/.well-known/pki-validation/fileauth.txt或http://example.com/.well-known/pki-validation/fileauth.txt

    • 如果您的域名为泛域名,则请参照以下方法进行操作:

      例如,如果您的域名为*.domain.com,则访问的URL地址为:https://domain.com/.well-known/pki-validation/fileauth.txt或http://domain.com/.well-known/pki-validation/fileauth.txt

  2. 确认验证URL地址在浏览器中是否可正常访问,且页面中显示的内容和订单进度页面中的记录值是否内容一致。

    • 如果界面回显的记录值与SSL证书管理控制台的域名验证页面中显示记录值中显示的记录值一致,则说明域名授权验证已生效。
    • 如果界面回显信息不一致,则说明域名授权验证未生效。

  3. 如果配置未生效,请从以下几方面进行排查和处理:

    • 检查该验证URL地址是否在HTTPS可访问的地址中存在。如果存在,请在浏览器中使用HTTPS重新访问,如果浏览器提示“证书不可信”或者显示的内容不正确,请您暂时关闭该域名的HTTPS服务。
    • 确保该验证URL地址在任何一个地方都能正确访问。由于有些品牌的检测服务器均在国外,请确认您的站点是否有国外镜像,或者是否使用了智能DNS服务。
    • 检查该验证URL地址是否存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。

      您可使用wget -S URL地址命令检测该验证URL地址是否存在跳转。

相关文档