域名验证的目的是确保SSL证书仅颁发给合法的域名持有者或管理者,以防止中间人攻击或假冒网站。这个验证过程能保证SSL证书的可信度和可靠性,为用户提供安全的通信环境。域名验证的方法包括三种:邮箱验证、DNS验证和网站控制权验证。
一、邮箱验证
验证只能通过以下五个邮箱及Whois邮箱进行(例如:hnca.com.cn)。
webmaster@hnca.com.cn
postmaster@hnca.com.cn
hostmaster@hnca.com.cn
admin@hnca.com.cn
administrator@hnca.com.cn
选择以上任一邮箱来接收CA的邮件,CA会将验证邮件发送到选定的邮箱。打开邮件并点击其中的验证链接,即可完成域名验证。
二、DNS验证
设置特定CNAME记录值来验证域名有效性。
1. 登录到申请证书的域名解析管理后台(如阿里云、新网等),进入产品管理,选择管理控制台,找到域名选项。在列表中选定需要解析的域名后,点击解析链接,按照系统提示完成域名解析。
2. 进入“域名解析”页面后,点击“添加解析”选项。
记录类型选择:CNAME
主机记录:验证界面DNS解析方式所提供的CNAME主机记录
记录值:验证界面DNS解析方式所提供的CNAME记录值
其他值默认。
添加解析后,解析生效可能需要一些时间,请耐心等待。
通过:nslookup -qat=cname 主机记录.domain.com 查询
CNAME的值和设置的CNAME值一致。
三、网站控制权验证
如果您选择的是网站控制权验证,按域名验证界面网站验证方式中的内容,创建指定的.txt文件,并编辑为指定值,放在网站根目录的.well-known\pki-validation\目录下,访问路径: http://domain/.well-known/pki-validation/xxx.txt
如何在根网站目录创建.well-known/pki-validation/目录文件
linux操作系统:
创建.well-known/pki-validation目录(如网站根目录在/usr/local/root)
mkdir -p /usr/local/root/.well-known/pki-validation
然后通过vi编辑器创建指定的xxx.txt文件名,并赋予指定的值XXX。
windows操作系统:
windows环境无法直接以桌面方式创建带点的文件目录,需要在dos下创建(如网站根目录在D:\root):
mkdir d:\root\.well-known\pki-validation
然后在桌面进入d:\root\.well-known\pki-validation目录,创建指定的xxx.txt文件名,并赋予指定的值XXX。
完成验证文件放置,在浏览器中输入以下地址:http://域名/.well-known/pki-validation/xxx.txt 能正常访问就可以。