SSL证书域名验证

域名验证的目的是确保SSL证书仅颁发给合法的域名持有者或管理者，以防止中间人攻击或假冒网站。这个验证过程能保证SSL证书的可信度和可靠性，为用户提供安全的通信环境。域名验证的方法包括三种：邮箱验证、DNS验证和网站控制权验证。

一、邮箱验证 

验证只能通过以下五个邮箱及Whois邮箱进行（例如：hnca.com.cn）。

webmaster@hnca.com.cn

postmaster@hnca.com.cn

hostmaster@hnca.com.cn  

admin@hnca.com.cn

administrator@hnca.com.cn

选择以上任一邮箱来接收CA的邮件，CA会将验证邮件发送到选定的邮箱。打开邮件并点击其中的验证链接，即可完成域名验证。

二、DNS验证

设置特定CNAME记录值来验证域名有效性。

1. 登录到申请证书的域名解析管理后台（如阿里云、新网等），进入产品管理，选择管理控制台，找到域名选项。在列表中选定需要解析的域名后，点击解析链接，按照系统提示完成域名解析。

2. 进入“域名解析”页面后，点击“添加解析”选项。

记录类型选择：CNAME

主机记录：验证界面DNS解析方式所提供的CNAME主机记录      

记录值：验证界面DNS解析方式所提供的CNAME记录值

其他值默认。

添加解析后，解析生效可能需要一些时间，请耐心等待。

通过：nslookup -qat=cname 主机记录.domain.com 查询

CNAME的值和设置的CNAME值一致。

三、网站控制权验证

如果您选择的是网站控制权验证，按域名验证界面网站验证方式中的内容，创建指定的.txt文件，并编辑为指定值，放在网站根目录的.well-known\pki-validation\目录下，访问路径： http://domain/.well-known/pki-validation/xxx.txt

如何在根网站目录创建.well-known/pki-validation/目录文件

linux操作系统：

创建.well-known/pki-validation目录（如网站根目录在/usr/local/root）

mkdir -p /usr/local/root/.well-known/pki-validation

然后通过vi编辑器创建指定的xxx.txt文件名，并赋予指定的值XXX。

windows操作系统：

windows环境无法直接以桌面方式创建带点的文件目录，需要在dos下创建（如网站根目录在D:\root）:

mkdir d:\root\.well-known\pki-validation

然后在桌面进入d:\root\.well-known\pki-validation目录，创建指定的xxx.txt文件名，并赋予指定的值XXX。

完成验证文件放置，在浏览器中输入以下地址：http://域名/.well-known/pki-validation/xxx.txt 能正常访问就可以。