申请域名SSL证书和IP SSL证书时,CA机构需通过以下方式验证域名或IP的管理权,确保只有合法被授权的域名或IP的管理者才能获取到这些域名或IP的SSL证书,这是确保SSL证书安全性的重要一环。
方式一:管理员邮箱验证 (IP不支持)
系统会向您选择的管理员邮箱发送验证邮件。在收到验证邮件后,打开并点击邮件中验证链接 即可完成验证。
域名管理员邮箱须符合以下任意规则:
1. 域名 whois 管理联系人邮箱;
2. 默认管理员前缀的邮箱有:
admin@domain.com administrator@domain.com hostmaster@domain.com webmaster@domain.com postmaster@domain.com
方式二:域名DNS验证(IP不支持)
通过解析指定的DNS记录验证域名所有权,根据CA的规则不同,添加DNS记录时会出现CNAME或TXT类型中的一种,您只需按照对应信息添加即可->添加TXT记录(以阿里云DNS为例)。
进入域名解析 界面,单击 添加解析 选项。 选择需要配置的域名,点击“解析设置”。 选择“添加解析”,记录类型选“TXT”: 根据上面的示例,在主机记录中输入:@(如果是二级域名验证,请填二级域名前缀,例:www. domain.com.cn,则填www) 在记录值中输入:xs1aa2feffwt1aafe17afa(此处只是例子演示,请根据CA实际提供的TXT值设定) TL设置最小值为10分钟~1小时,然后点击【确认】按钮保存。 DNS记录设置完成
方式三:网站控制权验证(域名、IP通用)
文件验证方式需要网站管理人员进行操作,在收到的文件验证邮箱后,创建指定的.txt文件,并把邮件中的值复制粘贴到创建的.txt文件中,放在网站根目录的.well-known\pki-validation\目录下,访问路径: http://domain.com/.well-known/pki-validation/创建的.txt文件(如果是ip把domain.com换成对应的ip);
根网站目录创建.well-known/pki-validation/目录文件的操作方法如下:
点击直接下载.well-known.zip
linux操作系统:
创建.well-known/pki-validation目录(如网站根目录在/usr/local/wwwroot)
mkdir -p /usr/local/wwwroot/.well-known/pki-validation
然后通过vi编辑器创建指定的.txt文件名,并赋予指定的值XXX(XXX为邮件中给定的长字符串)。
windows操作系统:
windows环境无法直接以桌面方式创建带点的文件目录,需要在dos下创建(如网站根目录在D:\wwwroot):
mkdir d:\wwwroot\.well-known\pki-validation
在各个web服务器上的操作教程如下:
1, Nginx
Nginx分代理和非代理模式。
(1)Nginx代理模式
代理服务器(nginx.conf)配置如下:(创建的.txt文件放到nginx服务器 html/.well-known/pki-validation 目录下)
location ~* ^/.well-known/pki-validation/创建的.txt文件{ root html; }
检查nginx配置是否有问题
nginx –t
重启nginx服务器
nginx –s reload
输入一下地址验证:
http://域名/.well-known/pki-validation/创建的.txt文件
(2)Nginx非代理模式
根据Nginx.conf找到主域名http的server配置文件,查看root定义的路径,如 :
location/ { root html; index index.html index.htm; }
将文件创建的.txt文件放到nginx服务器html/.well-known/pki-validation目录下
输入以下地址验证:
http://域名或IP/.well-known/pki-validation/创建的.txt文件
2、 Apache
根据Apache服务器/conf/httpd.conf,找到对应域名的http配置,如:
DocumentRoot “conf/htdocs”
ServerName domain.com
将创建的.txt文件放到apache服务器 conf/htdocs/.well-known/pki-validation目录下。
输入以下地址验证:
http://域名或IP/.well-known/pki-validation/创建的.txt文件
3、Tomcat
Tomcat服务器,默认根目录在tomcat服务器/webapps/ROOT,将创建的.txt文件放在/webapps/ROOT/.well-known/pki-validation/目录下。
如果有调整过根路径,可查看conf/server.xml文件,如。
<Host name=”localhost” appBase=”webapps”unpackWARs=”true” autoDeploy=”true”
xmlValidation=”false” xmlNamespaceAware=”false”>
……
<Context path=”” docBase=”/usr/local/tomcat/site”></Context>
</Host>
通过docBase指定根目录,将创建的.txt文件复制到/usr/local/tomcat/site/.well-known/pki-validation/目录下:
输入以下地址验证:
http://域名或IP/.well-known/pki-validation/创建的.txt文件
4、IIS
IIS服务器,找到对域名站点,右键–>浏览,可弹出网站根目录,然后根据上面提到的方法创建.well-known/pki-validation目录,将创建的.txt文件复制在此目录即可。
输入以下地址验证:
http://域名或IP/.well-known/pki-validation/创建的.txt文件