企业级SSL证书、代码签名、文档签名、WHQL 认证服务提供商

SSL证书如何做域名管理权验证?
环度小编:xadmin 发布时间:2021-03-03 阅读数:280

申请域名SSL证书和IP SSL证书时,CA机构需通过以下方式验证域名或IP的管理权,确保只有合法被授权的域名或IP的管理者才能获取到这些域名或IP的SSL证书,这是确保SSL证书安全性的重要一环。

方式一:管理员邮箱验证 (IP不支持)

系统会向你选择的管理员邮箱发送验证邮件。在收到验证邮件后,打开并点击邮件中验证链接 即可完成验证。 

域名管理员邮箱须符合以下任意规则:

1. 域名 whois 管理联系人邮箱;

2. 默认管理员前缀的邮箱有:

admin@domain.com
administrator@domain.com
hostmaster@domain.com
webmaster@domain.com
postmaster@domain.com

方式二:域名DNS验证(IP不支持)

通过解析指定的DNS记录验证域名所有权,根据CA的规则不同,添加DNS记录时会出现CNAME或TXT类型中的一种,您只需按照对应信息添加即可->添加TXT记录(以阿里云DNS为例)。

进入域名解析 界面,单击 添加解析 选项。
选择需要配置的域名,点击“解析设置”。
选择“添加解析”,记录类型选“TXT”:
根据上面的示例,在主机记录中输入:@(如果是二级域名验证,请填二级域名前缀,例:www. domain.com.cn,则填www)
在记录值中输入:xs1aa2feffwt1aafe17afa(此处只是例子演示,请根据CA实际提供的TXT值设定)
TL设置最小值为10分钟~1小时,然后点击【确认】按钮保存。
DNS记录设置完成

三:网站控制权验证(域名、IP通用)

文件验证方式需要网站管理人员进行操作,在收到的文件验证邮箱后,创建指定的.txt文件,并把邮件中的值复制粘贴到创建的.txt文件中,放在网站根目录的.well-known\pki-validation\目录下,访问路径: http://domain.com/.well-known/pki-validation/创建的.txt文件(如果是ip把domain.com或者对应的ip);

根网站目录创建.well-known/pki-validation/目录文件的操作方法如下:

点击直接下载.well-known.zip

linux操作系统:
创建.well-known/pki-validation目录(如网站根目录在/usr/local/wwwroot)

mkdir -p /usr/local/wwwroot/.well-known/pki-validation

然后通过vi编辑器创建指定的.txt文件名,并赋予指定的值XXX(XXX为邮件中给定的长字符串)。

windows操作系统:
windows环境无法直接以桌面方式创建带点的文件目录,需要在dos下创建(如网站根目录在D:\wwwroot):

mkdir d:\wwwroot\.well-known\pki-validation

在各个web服务器上的操作教程如下:

1, Nginx

Nginx分代理和非代理模式。

(1)Nginx代理模式

代理服务器(nginx.conf)配置如下:(创建的.txt文件放到nginx服务器 html/.well-known/pki-validation 目录下)

location ~* ^/.well-known/pki-validation/创建的.txt文件{
root html;
}

检查nginx配置是否有问题

nginx –t

重启nginx服务器

nginx –s reload

输入一下地址验证:

http://域名/.well-known/pki-validation/创建的.txt文件

(2)Nginx非代理模式

根据Nginx.conf找到主域名http的server配置文件,查看root定义的路径,如 :

location/ {
root html;
index index.html index.htm;
}

将文件创建的.txt文件放到nginx服务器html/.well-known/pki-validation目录下
输入以下地址验证:

http://域名或IP/.well-known/pki-validation/创建的.txt文件
 
2、 Apache
根据Apache服务器/conf/httpd.conf,找到对应域名的http配置,如:
DocumentRoot “conf/htdocs”
ServerName domain.com
将创建的.txt文件放到apache服务器 conf/htdocs/.well-known/pki-validation目录下。
输入以下地址验证:

http://域名或IP/.well-known/pki-validation/创建的.txt文件 

3、Tomcat
Tomcat服务器,默认根目录在tomcat服务器/webapps/ROOT,将创建的.txt文件放在/webapps/ROOT/.well-known/pki-validation/目录下。
如果有调整过根路径,可查看conf/server.xml文件,如。
<Host name=”localhost” appBase=”webapps”unpackWARs=”true” autoDeploy=”true”
xmlValidation=”false” xmlNamespaceAware=”false”>
……
<Context path=”” docBase=”/usr/local/tomcat/site”></Context>
</Host>
通过docBase指定根目录,将创建的.txt文件复制到/usr/local/tomcat/site/.well-known/pki-validation/目录下:
输入以下地址验证:

http://域名或IP/.well-known/pki-validation/创建的.txt文件

4、IIS
IIS服务器,找到对域名站点,右键–>浏览,可弹出网站根目录,然后根据上面提到的方法创建.well-known/pki-validation目录,将创建的.txt文件复制在此目录即可。
输入以下地址验证:

http://域名或IP/.well-known/pki-validation/创建的.txt文件