支持用于域预验证的域控制验证 (DCV) 方法
域预验证:DCV 方法
必须在您证明对订单上的域以及任何 SAN(使用者可选名称)的控制权后,DigiCert 才能颁发 SSL/TLS 证书。我们将该流程称为域控制验证 (DCV) 流程。
DigiCert 目前支持这些 DCV 方法:
基于 WHOIS 的电子邮件
构造的电子邮件
发送电子邮件给 DNS TXT 联系人
DNS CNAME
DNS TXT
HTTP 实用演示(也称为文件或 FileAuth)
重要
行业标准禁止证书颁发机构 (CA),例如 DigiCert,在完成域控制验证之前颁发 SSL/TLS 证书。
CertCentral 采用域预验证流程,可用于在开始为域订购证书前对域进行验证。提前完成域验证可加快颁发证书。颁发中间证书需要进行域预验证。请参阅 OV/EV 中间证书颁发。
注意
证明对 OV/EV TSL 证书订单上所列域的控制权
在订购证书时,选择要证明对订单上所列域的控制权的 DCV 方法。在证书的订单详细信息页面,使用在订购流程中选择的 DCV 方法完成域验证。如有需要,您可以随时更改验证方法。请参阅证明对待处理证书订单上所列域的控制权。
电子邮件 DCV 方法
使用该验证方法,DigiCert 发送两组 DCV 电子邮件:基于 WHOIS 的电子邮件、构造的电子邮件和基于 DNS TXT 的电子邮件。
要证明对域的控制权,电子邮件收件人需执行为该域发送的确认邮件中的说明。确认流程包括访问所提供的链接并执行页面上的说明。
基于 WHOIS 的电子邮件 DCV 方法
对于基于 WHOIS 的方法,DigiCert 向域的 WHOIS 记录中显示的注册的公共域持有人发送一封授权邮件。
重要
您是否希望在您的域的 WHOIS 记录中发布的地址接收电子邮件?请验证您的注册机构/WHOIS 提供者未过滤或删除该信息。如果被遮掩,请查实他们是否提供一种方法(例如,匿名处理的电子邮件地址、Web 表单)可用于允许证书颁发机构 (CA) 访问您的域的 WHOIS 数据。
构造的电子邮件 DCV 方法
对于构造的电子邮件方法,DigiCert 向域的五个构造的电子邮件地址:admin、administrator、webmaster、hostmaster 和 postmaster @[domain_name],发送一封授权邮件。
注意
当您注册域时,必须提供联系人信息(例如,管理和技术联系人)。
您可以不使用私有电子邮件地址,而是使用为您的域构造的其中一个电子邮件地址(例如,webmaster@yourdomain.com)。使用其中一个构造的电子邮件地址可以创建“不过期”的电子邮件地址,使您可以根据需要添加或删除人员。
如果我们找不到 [domain_name] 的 MX 记录,您必须使用其他受支持的其中一种 DCV 方法证明您对域的控制权。
MX 记录(Mail Exchanger 记录)
在我们可以向域所有者(或域控制者)成功发送身份验证电子邮件(DCV 电子邮件)之前,我们必须确认在收件人的域名的 DNS 记录中存在 MX 记录(域名系统 [DNS] 中的资源记录)。有效 MX 记录的存在使我们可以发送身份验证邮件。
例如,您想在为 example.com 构造的其中一个电子邮件地址(例如,admin@example.com)接收 DCV 电子邮件。要将 DCV 电子邮件成功发送到 admin@example.com,我们必须首先找到识别服务器的所述地址(例如,mailhost.example.com)的 MX 记录,该服务器设置为接收目的地为 admin@example.com 的电子邮件。
如果找到 MX 记录,我们可以成功地将 DCV 电子邮件发送到 admin@example.com。如果找不到 MX 记录,则不会发送 DCV 电子邮件,原因是我们无法识别正确的邮件服务器。
“发送电子邮件给 DNS TXT 联系人”DCV 方法
通过“发送电子邮件给 DNS TXT 联系人”DCV 方法,DigiCert 发送电子邮件给需要验证的域的 _validation-contactemail
子域上的 DNS TXT 记录中找到的电子邮件地址。
注意
要使用发送电子邮件给 DNS TXT 联系人 DCV 方法,请确保选择验证电子邮件 DCV 方法,对您的域进行预验证。
DNS TXT 记录电子邮件联系人
如需使用“发送电子邮件给 DNS TXT 联系人”DCV 方法,必须将 DNS TXT 记录放入需要验证的域的 _
validation-contactemail
子域上。此文本记录的 RDATA 值必须是有效的电子邮件地址。
名称 | TTL | 消息 |
---|---|---|
| 默认 | validatedomain@digicerttest.com |
请参阅
DNS CNAME DCV 方法
将 DigiCert 生成的令牌(为您的 CertCentral 帐户中的域提供)添加到域的 DNS 中作为 CNAME 记录。然后,将 dcv.digicert.com 添加为 CNAME 目标。当 DigiCert 搜索与域相关的 DNS CNAME 记录时,我们可以找到记录,其中包括 DigiCert 验证令牌。
DNS TXT DCV 方法
将 DigiCert 生成的令牌(为您的 CertCentral 帐户中的域提供)添加到域的 DNS 中作为 TXT 记录。当 DigiCert 搜索与域相关的 DNS TXT 记录时,我们可以找到记录,其中包括 DigiCert 验证令牌。
HTTP 实用演示 DCV 方法(也称为文件或 FileAuth)
将包含 DigiCert 生成的随机值(为您的 CertCentral 帐户中的域提供)的文件托管到网站预先确定的位置:[your-domain]/.well-known/pki-validation/fileauth.txt。
创建文件并放置到您的网站后,DigiCert 访问指定的 URL 以确认随机值的存在。