主题
自动化验证
SSL 证书签发前,CA(证书颁发机构)需要验证你对域名的控制权。自动部署工具统一了验证方式,支持两种:
| 验证方式 | 适用域名类型 | 工具行为 |
|---|---|---|
| 文件验证 | 普通域名、IP | 工具自动在站点根目录放置验证文件,签发后清理 |
| 域名委托 | 普通域名、通配符域名 | 通过 DNS CNAME 委托到平台,平台自动写入 TXT |
约束:
- IP 域名:只能选文件验证(无 DNS 记录,无法委托)
- 通配符域名:只能选域名委托(无法指向具体站点放置文件)
- 普通域名:两者均可
提示
只有「本机提交」模式需要选择验证方式;「服务端重签」模式由服务端处理验证,客户端仅负责部署证书。
域名委托
原理
CA 在做 DNS 验证时,会查询特定前缀的 DNS 记录。不同 CA 使用的前缀不同:
| CA | 主机记录前缀 |
|---|---|
| DigiCert | _dnsauth |
| Sectigo | _pki-validation |
| Certum | _certum |
域名委托利用了 DNS 的 CNAME 机制:当你将 _certum.example.com 通过 CNAME 指向平台的托管域名时,CA 查询该记录会被自动跳转到平台域名下。平台收到签发请求后,会在托管域名下自动写入正确的 TXT 验证值,CA 就能顺利完成验证。
text
CA 查询 → _certum.example.com (CNAME)
→ delegation.proxy.com (TXT)
→ 平台自动写入的验证值 ✓适用场景
- 通配符证书(
*.example.com)——只能使用 DNS 验证 - 不方便在服务器上放置文件的域名
- 希望 DNS 验证全自动的场景
配置步骤
在你的域名 DNS 管理中,添加一条 CNAME 记录:
| 项目 | 值 |
|---|---|
| 主机记录 | _certum(根据订单提示的前缀,参见上方表格) |
| 记录类型 | CNAME |
| 记录值 | 订单详情中提供的委托域名 |
提示
CNAME 记录只需配置一次。后续所有使用该域名申请的证书,都会自动通过委托完成 DNS 验证。
阿里云配置示例
- 登录阿里云域名解析控制台
- 找到目标域名,点击「解析设置」
- 点击「添加记录」
- 记录类型选择 CNAME
- 主机记录填写
_certum(根据订单提示的前缀) - 记录值填写订单详情中的委托域名
- 点击确认
检查是否生效
配置完成后,返回平台检测是否生效。
文件验证
文件验证的自动化由 自动部署工具 完成。工具部署到服务器后,会根据签发/续签请求在对应站点的根目录下自动生成 CA 所需的验证文件,CA 通过 http://example.com/.well-known/pki-validation/{filename} 即可完成验证。
文件验证适用场景
- 标准域名和 IP 证书(非通配符)
- 服务器上已部署自动部署工具的站点
- 不方便修改 DNS 记录的域名
注意
通配符域名(*.example.com)不支持文件验证,请使用域名委托。
文件验证配置步骤
按服务器环境选择对应的自动部署工具并完成安装:
工具安装并完成一键部署后,后续的签发与续签会自动写入验证文件,无需人工干预。
如何选择
| 条件 | 推荐方案 |
|---|---|
| 通配符证书 | 域名委托(唯一选择) |
| 服务器已部署自动部署工具 | 文件验证(由工具生成验证文件) |
| 无法在服务器上运行工具 | 域名委托 |
| 无法修改 DNS 记录 | 文件验证 |
| 两者都可以 | 域名委托(更通用) |
常见问题
域名委托配置后多久生效?
现代 DNS 系统添加新记录大部分都是即时生效的,部分较老的系统需要几分钟到几小时不等,取决于 DNS 服务商和 TTL 设置。
文件验证需要 HTTPS 吗?
不是必须的,HTTP 和 HTTPS 都可以验证。
网站证书已经过期了可以验证吗?
可以,CA 会忽略证书错误。
配置了委托或安装自动部署工具后,还需要手动验证吗?
不需要。配置完成后,平台会自动处理所有验证流程,包括后续的证书续签。
可以同时使用两种方式吗?
可以,但同一个证书订单只能选择一种验证方式。不同订单可以使用不同的验证方式。