常见错误:HTTP 实用演示 DCV 方法
要使用 HTTP 实用演示 DCV 方法验证域,您需要具备以下两项:
DigiCert 提供的随机值。
A DigiCert-generated unique filename (for HTTP Practical Demonstration with unique filename only).
您需要将含有随机值的 fileauth.txt 文件放置到您的以下网站上的 URL 或位置:[your-domain]/.well-known/pki-validation/fileauth.txt。
http://[domain-name]/.well-known/pki-validation/fileauth.txt.
http://{domain-name}/.well-known/pki-validation/{unique-filename}.txt
URL 执行两个任务:
它包含您要我们验证的域的 FQDN(完全限定的域名)。
它告诉我们在哪里可以找到您在其中添加了生成的随机值的 fileauth.txt。
下面是我们在排查 HTTP 实用演示检查失败的原因时遇到的一些较常见的问题。HTTP 实用演示 DCV 流程旨在阻止未经授权人员使用他们控制的域验证不归他们控制的域(例如,您的域)及获得证书。
不要修改提供的 URL
如果您对 URL 进行任何修改(更改 FQDN、将小写字母大写、忘记添加句点等),我们将无法找到包含我们生成的随机值的 fileauth.txt 文件。
例如,如果我们为您提供此 URL:[http://your-domain]/.well-known/pki-validation/fileauth.txt, 不要添加 www ([http://www.your-domain]/.well-known/pki-validation/fileauth.txt),也不要将原 URL 中未大写的字母大写 ([http://your-domain]/.well-known/PKI-validation/fileauth.txt)。
不要将 fileauth.txt 放置在不同的域或子域中
要为 [your-domain] 完成域控制验证,请将 fileauth.txt 放置在您要验证的准确域中,即我们为之生成 URL 的域。我们不会搜索其他域或子域来查找我们的随机令牌。我们只会搜索您要验证的域(例如,您的证书订单上的域)。
例如,如果您需要验证 [your-domain],我们将为此域生成一个 URL - [http://yourdomain]/.well-known/pki-validation/fileauth.txt。
不要将 fileauth.txt 文件放置在 [sub.your-domain],也不要修改 URL 并将其放置在 [your-other-domain] - 这将无法使用。我们在这些域上找不到 fileaut.txt 文件。我们将在 [your-domain]、证书订单中的域或您提交预验证的域上查找它。
[your-domain] 和 www.[your-domain]
要验证 www.[your-domain] 和 [your-domain],您必须在 www.[your-domain] 上放置一个唯一的 fileauth.txt 文件,并在 [your-domain] 上放置另一个文件。自 2021 年 11 月 16 日起,您只能使用基于文件的 DCV 方法来证明对完全限定域名 (FQDN) 的控制权,且域名要完全相同。有关该变更的更多信息,请参阅知识库文章 2021 年域验证政策变更。
自由基域 SAN
如果您收到 SSL 证书上的自由基域 SAN,请务必将 fileauth.txt 文件放置在基域上。我们需要验证 SSL/TLS 证书订单上的域。
不要在 fileauth.txt 文件上包括任何附加内容
当您创建 fileauth.txt 文件时,请复制 DigiCert 提供的令牌值并将其粘贴到文件中。不要添加“令牌”一词或任何其他文本。
我们只读取 fileauth.txt 文件前 2kb 的内容。任何多余文本将会阻止我们验证您对域的控制权。
不要将 fileauth.txt 文件放置在具有多个重定向链接的页面上
使用 HTTP 实用演示方法进行域验证时,fileauth.txt 文件可以放置在包含最多一个重定向链接的页面上。通过单一重定向,我们仍然可以找到 fileauth.txt 文件并验证您对域的控制权。
例如,您需要获取 http://example.com 的证书,但页面重定向到 https://www.example.com。这没关系。将 fileauth.txt 文件放置在 http://example.com 页面上。我们仍然可以按照单一重定向链接验证您对 http://example.com 的控制权。
但是,如果您将 fileauth.txt 文件放置在具有多个重定向链接的页面上,我们将无法找到该文件。多个重定向链接将导致我们无法找到 fileauth.txt 文件并验证您对域的控制权。
例如,您需要获取 http://multiple-redirect.com 的证书,但页面重定向到 https://www.multiple-redirect.com,然后再次重定向到 https://www.single-redirect.com。在这种情况下,您必须仍然将 fileauth.txt 文件放置在 http://multiple-redirect.com 页面上。但是,您需禁用第二个重定向链接 (https://www.single-redirect.com),直至我们找到 fileauth.txt 文件并验证您对 http://multiple-redirect.com 的控制权。