域控制验证 (DCV) 方法

Supported DCV methods for validating the domains on DV SSL certificate orders

必须在您证明对订单上的域以及任何 SAN(使用者可选名称)的控制权后,DigiCert 才能颁发证书。我们将该流程称为域控制验证 (DCV) 流程。

DV 证书不支持域预验证。因此,每次您订购 DV 证书时,都必须证明对订单上的域的控制权。下单后,您需要完成域验证,DigiCert 才能颁发您的 DV 证书。

在完成域验证前,不会颁发证书。

对于 CertCentral 中的 DV 证书,DigiCert 目前支持以下 DCV 方法:基于 WHOIS 的电子邮件、构造的电子邮件、DNS TXT 和文件。

电子邮件验证

使用该验证方法,DigiCert 发送两组 DCV 电子邮件:基于 WHOIS 的电子邮件和构造的电子邮件。要证明对域的控制权,电子邮件收件人需执行为该域发送的确认邮件中的说明。确认流程包括访问电子邮件中提供的链接并执行页面上的说明。

基于 WHOIS 的电子邮件验证

对于基于 WHOIS 的方法,DigiCert 向域的 WHOIS 记录中显示的注册的公共域持有人发送一封授权邮件。

您是否希望在您的域的 WHOIS 记录中发布的地址接收电子邮件?请验证您的注册机构/WHOIS 提供者未过滤或删除该信息。否则,请查实他们是否提供一种方法(例如,匿名处理的电子邮件地址、Web 表单)可用于允许 CA 访问您的域的 WHOIS 数据。

构造的电子邮件验证

对于构造的电子邮件方法,DigiCert 向域的五个构造的电子邮件地址:admin、administrator、webmaster、hostmaster 和 postmaster @,发送一封授权邮件[domain_name]。

当您注册域时,必须提供可识别身份的联系人信息(例如,管理和技术联系人)。您可以不使用私有电子邮件地址,而是使用为您的域构造的其中一个电子邮件地址(例如,webmaster@yourdomain.com)。使用其中一个构造的电子邮件地址可以创建"不过期"的电子邮件地址,使您可以根据需要添加或删除人员。

我们找不到 MX 记录[domain_name],您必须使用其他受支持的其中一种 DCV 方法证明您对域的控制权。

MX 记录(Mail Exchanger 记录)

在我们可以向域所有者(或域控制者)成功发送授权电子邮件(DCV 电子邮件)之前,我们必须确认在收件人的域名的 DNS 记录中[存在]MX 记录(域名系统 DNS 中的资源记录)。有效 MX 记录的存在使我们可以发送授权邮件。

例如,您想在为 example.com 构造的其中一个电子邮件地址(例如,admin@example.com)接收 DCV 电子邮件。要将 DCV 电子邮件成功发送到 admin@example.com,我们必须首先找到识别服务器的所述地址(例如,mailhost.example.com)的 MX 记录,该服务器设置为接收目的地为 admin@example.com 的电子邮件。

如果找到 MX 记录,我们可以成功地将 DCV 电子邮件发送到 admin@example.com。如果找不到 MX 记录,则不会发送 DCV 电子邮件,原因是我们无法识别正确的邮件服务器。

DNS TXT 验证

通过此验证方法,您将 DigiCert 生成的随机值(为您的 CertCentral 帐户中的域提供)添加到域的 DNS 中作为 TXT 记录。当 DigiCert 搜索与域相关的 DNS TXT 记录时,我们可以找到记录,其中的值包括 DigiCert 随机值。

文件验证

通过此验证方法,您将包含 DigiCert 生成的随机值(为您的 CertCentral 帐户中的域提供)的文件托管到网站预先确定的位置:[domain]/.well-known/pki-validation/fileauth.txt。创建文件并放置到您的网站后,DigiCert 访问指定的 URL 以确认随机值的存在。

相关主题: