Skip to main content

支持用于验证 OV/EV TLS/SSL 证书订单上的域的 DCV 方法

证明对待处理 OV 或 EV TLS/SSL 证书订单上所列域的控制权

必须在您证明对证书订单上的域以及任何 SAN(使用者可选名称)的控制权后,DigiCert 才能颁发 SSL/TLS 证书。我们将该流程称为域控制验证 (DCV) 流程。

DigiCert 目前支持这些 DCV 方法:

  • 基于 WHOIS 的电子邮件

  • 构造的电子邮件

  • 发送电子邮件给 DNS TXT 联系人

  • DNS CNAME

  • DNS TXT

  • HTTP 实用演示(也称为文件或 FileAuth)。

重要

行业标准禁止证书颁发机构 (CA),例如 DigiCert,在完成域控制验证之前颁发 SSL/TLS 证书。

在订购证书时,选择要证明对订单上所列域的控制权的 DCV 方法。在证书的订单详细信息页面,使用在订购流程中选择的 DCV 方法完成域验证。如有需要,您可以随时更改验证方法。

注意

域预验证

CertCentral 采用域预验证流程,可用于在开始为域订购证书前对域进行验证。请参阅域预验证:域控制验证 (DCV) 方法

提前完成域验证可加快颁发证书。颁发中间证书要求进行域预验证。请参阅 OV/EV 中间证书颁发

电子邮件 DCV 方法

使用该验证方法,DigiCert 发送两组 DCV 电子邮件:基于 WHOIS 的电子邮件、构造的电子邮件和基于 DNS TXT 的电子邮件。

要证明对域的控制权,电子邮件收件人需执行为该域发送的确认邮件中的说明。确认流程包括访问所提供的链接并执行页面上的说明。

请参阅使用电子邮件验证方法验证域控制权

基于 WHOIS 的电子邮件 DCV 方法

对于基于 WHOIS 的方法,DigiCert 向域的 WHOIS 记录中显示的注册的公共域持有人发送一封授权邮件。

重要

您是否希望在您的域的 WHOIS 记录中发布的地址接收电子邮件?

请验证您的注册机构/WHOIS 提供者未遮掩或删除该信息。如果该信息被遮掩,请查实他们是否提供一种方法(例如,匿名处理的电子邮件地址、Web 表单)可用于允许证书颁发机构 (CA) 访问您的域的 WHOIS 数据。

构造的电子邮件 DCV 方法

对于构造的电子邮件方法,DigiCert 向域的五个构造的电子邮件地址:admin、administrator、webmaster、hostmaster 和 postmaster @[domain_name],发送一封授权邮件。

注意

当您注册域时,必须提供联系人信息(例如,管理和技术联系人)。

您可以不使用私有电子邮件地址,而是使用为您的域构造的其中一个电子邮件地址(例如,webmaster@yourdomain.com)。使用其中一个构造的电子邮件地址可以创建“不过期”的电子邮件地址,使您可以根据需要添加或删除人员。

如果我们找不到 [domain_name] 的 MX 记录,您必须使用其他受支持的其中一种 DCV 方法证明您对域的控制权。

MX 记录(Mail Exchanger 记录)

在我们可以向域所有者(或域控制者)成功发送身份验证电子邮件(DCV 电子邮件)之前,我们必须确认在收件人的域名的 DNS 记录中存在 MX 记录(域名系统 [DNS] 中的资源记录)。有效 MX 记录的存在使我们可以发送身份验证邮件。

例如,您想在为 example.com 构造的其中一个电子邮件地址(例如,admin@example.com)接收 DCV 电子邮件。要将 DCV 电子邮件成功发送到 admin@example.com,我们必须首先找到识别服务器的所述地址(例如,mailhost.example.com)的 MX 记录,该服务器设置为接收目的地为 admin@example.com 的电子邮件

如果找到 MX 记录,我们可以成功地将 DCV 电子邮件发送到 admin@example.com。如果找不到 MX 记录,则不会发送 DCV 电子邮件,原因是我们无法识别正确的邮件服务器。

“发送电子邮件给 DNS TXT 联系人”DCV 方法

通过“发送电子邮件给 DNS TXT 联系人”DCV 方法,DigiCert 发送电子邮件给需要验证的域的 _validation-contactemail 子域上的 DNS TXT 记录中找到的电子邮件地址。

注意

要使用发送电子邮件给 DNS TXT 联系人 DCV 方法,请确保在订购证书或更改域的 DCV 方法时,选择验证电子邮件 DCV 方法。

DNS TXT 记录电子邮件联系人

如需使用“发送电子邮件给 DNS TXT 联系人”DCV 方法,必须将 DNS TXT 记录放入需要验证的域的 _validation-contactemail 子域上。此文本记录的 RDATA 值必须是有效的电子邮件地址。

名称

TTL

消息

_validation-contactemail

默认

validatedomain@digicerttest.com

请参阅基准要求附录中的 B.2.1 DNS TXT 记录电子邮件联系人

DNS CNAME DCV 方法

将 DigiCert 生成的令牌(为您的 CertCentral 帐户中的域提供)添加到域的 DNS 中作为 CNAME 记录。然后,将 dcv.digicert.com 添加为 CNAME 目标。当 DigiCert 搜索与域相关的 DNS CNAME 记录时,我们可以找到记录,其中包括 DigiCert 验证令牌。

请参阅 使用 DNS CNAME 验证方法验证域控制权

DNS TXT DCV 方法

将 DigiCert 生成的令牌(为您的 CertCentral 帐户中的域提供)添加到域的 DNS 中作为 TXT 记录。当 DigiCert 搜索与域相关的 DNS TXT 记录时,我们可以找到记录,其中包括 DigiCert 验证令牌。

请参阅使用 DNS TXT 验证方法验证域控制权

HTTP 实用演示 DCV 方法(也称为文件或 FileAuth)

将包含 DigiCert 生成的随机值(为您的 CertCentral 帐户中的域提供)的文件托管到网站预先确定的位置:[your-domain]/.well-known/pki-validation/fileauth.txt。创建文件并放置到您的网站后,DigiCert 访问指定的 URL 以确认随机值的存在。

请参阅 使用 HTTP 实用演示验证方法验证域控制权

本节内容如下: