域控制验证 (DCV) 方法
支持用于验证 DV TLS/SSL 证书订单上的域的 DCV 方法
必须在您证明对订单上的域以及任何 SAN(使用者可选名称)的控制权后,DigiCert 才能颁发证书。我们将该流程称为域控制验证 (DCV) 流程。
DV 证书不支持域预验证。因此,每次您订购 DV 证书时,都必须证明对订单上的域的控制权。下单后,您需要完成域验证,DigiCert 才能颁发您的 DV 证书。
注意
在完成域验证之前,不会颁发证书。
对于 CertCentral 中的 DV 证书,DigiCert 目前支持以下 DCV 方法:
-
基于 WHOIS 的电子邮件
-
构造的电子邮件
-
发送电子邮件给 DNS TXT 联系人
-
DNS TXT
-
文件
电子邮件验证
使用该验证方法,DigiCert 发送两组 DCV 电子邮件:基于 WHOIS 的电子邮件、构造的电子邮件和基于 DNS TXT 的电子邮件。
要证明对域的控制权,电子邮件收件人需执行为该域发送的确认邮件中的说明。确认流程包括访问电子邮件中提供的链接并按照页面上的说明进行操作。
基于 WHOIS 的电子邮件验证
对于基于 WHOIS 的方法,DigiCert 向域的 WHOIS 记录中显示的注册的公共域持有人发送一封授权邮件。
注意
您是否希望在您的域的 WHOIS 记录中发布的地址接收电子邮件?请验证您的注册机构/WHOIS 提供者未遮掩或删除该信息。否则,请查实他们是否提供一种方法(例如,匿名处理的电子邮件地址、Web 表单)可用于允许 CA 访问您的域的 WHOIS 数据。
构造的电子邮件验证
对于构造的电子邮件方法,DigiCert 向域的五个构造的电子邮件地址:admin、administrator、webmaster、hostmaster 和 postmaster @[domain_name],发送一封授权邮件。
注意
当您注册域时,必须提供您的身份信息和联系人信息(例如,管理和技术联系人)。您可以不使用私有电子邮件地址,而是使用为您的域构造的其中一个电子邮件地址(例如,[email protected])。使用其中一个构造的电子邮件地址可以创建“不过期”的电子邮件地址,使您可以根据需要添加或删除人员。
如果我们找不到 [domain_name] 的 MX 记录,您必须使用其他受支持的其中一种 DCV 方法证明您对域的控制权。
MX 记录(Mail Exchanger 记录)
在我们可以向域所有者(或域控制者)成功发送身份验证电子邮件(DCV 电子邮件)之前,我们必须确认在收件人的域名的 DNS 记录中存在 MX 记录(域名系统 [DNS] 中的资源记录)。有效 MX 记录的存在使我们可以发送身份验证邮件。
例如,您想在为 example.com 构造的其中一个电子邮件地址(例如,[email protected])接收 DCV 电子邮件。要将 DCV 电子邮件成功发送到 [email protected],我们必须首先找到识别服务器的所述地址(例如,mailhost.example.com)的 MX 记录,该服务器设置为接收 [email protected] 的电子邮件
如果找到 MX 记录,我们可以成功地将 DCV 电子邮件发送到 [email protected]。如果找不到 MX 记录,则不会发送 DCV 电子邮件,原因是我们无法识别正确的邮件服务器。
“发送电子邮件给 DNS TXT 联系人”DCV 方法
通过“发送电子邮件给 DNS TXT 联系人”DCV 方法,DigiCert 发送电子邮件给需要验证的域的
_validation-contactemail
子域上的 DNS TXT 记录中找到的电子邮件地址。
注意
要使用 发送电子邮件给 DNS TXT 联系人 DCV 方法,请确保在订购证书或更改域的 DCV 方法时,选择 验证电子邮件 DCV 方法。
DNS TXT 记录电子邮件联系人
如需使用“发送电子邮件给 DNS TXT 联系人”DCV 方法,必须将 DNS TXT 记录放入需要验证的域的
_validation-contactemail
子域上。此文本记录的 RDATA 值必须是有效的电子邮件地址。
|
名称 |
TTL |
消息 |
|---|---|---|
|
|
默认 |
DNS TXT 验证
通过此验证方法,您将 DigiCert 生成的随机值(为您的 CertCentral 帐户中的域提供)添加到域的 DNS 中作为 TXT 记录。当 DigiCert 搜索与域相关的 DNS TXT 记录时,我们可以找到记录,其中的值包括 DigiCert 随机值。
DNS CNAME DCV 方法
通过此验证方法,您将 DigiCert 生成的随机值(为您的 CertCentral 帐户中的域提供)添加到域的 DNS 中作为 CNAME 记录。然后,将 dcv.digicert.com 添加为 CNAME 目标。当 DigiCert 搜索与域相关的 DNS CNAME 记录时,我们可以找到记录,其中包括 DigiCert 随机值。
HTTP 实用演示 DCV 方法(也称为文件和 FileAuth)
通过此验证方法,您将包含 DigiCert 生成的随机值(为您的 CertCentral 帐户中的域提供)的文件托管到网站预先确定的位置: [domain]/.well-known/pki-validation/fileauth.txt 。创建文件并放置到您的网站后,DigiCert 访问指定的 URL 以确认随机值的存在。