申请通配符SSL证书时,CA机构需要验证申请者对域名的所有权。与单域名证书不同,通配符证书的验证方式有其特殊性。本文将详细解析DNS验证和文件验证的区别。
一、为什么通配符SSL证书只能用DNS验证
通配符SSL证书保护的是 *.tongpeifu.cn 这样的通配符域名,而文件验证需要在域名根目录下放置一个验证文件来证明所有权。但通配符*代表任意子域名,无法在实际不存在的所有子域名下都放置验证文件,因此文件验证不适用于通配符证书。
DNS验证则通过在域名DNS解析中添加TXT记录来验证所有权,TXT记录可以添加在主域名上,验证通过后即可签发通配符证书,因此DNS验证是通配符SSL证书唯一支持的验证方式。
二、DNS验证操作步骤
1. 获取验证记录
提交通配符证书申请后,CA机构会提供一组TXT验证记录,包含记录名和记录值。
2. 登录DNS管理后台
登录您的域名注册商或DNS服务商(如阿里云DNS、Cloudflare、DNSPod等)的管理后台。
3. 添加TXT记录
记录类型:TXT
主机记录:_dnsauth(具体以CA机构提供为准)
记录值:CA机构提供的随机字符串
4. 等待DNS解析生效
DNS记录生效通常需要10-30分钟,部分DNS服务商可能更快。可使用nslookup或dig命令查询TXT记录是否生效:
nslookup -type=TXT _dnsauth.tongpeifu.cn
5. 完成验证
DNS生效后,CA机构会自动检测TXT记录,验证通过后签发证书。部分CA需要手动点击"完成验证"按钮。
三、文件验证(仅适用于单域名证书)
虽然通配符证书不支持文件验证,但了解文件验证有助于理解两者区别:
1. CA机构提供一个验证文件(如 .well-known/pki-validation/fileauth.txt)
2. 将该文件上传到网站根目录
3. CA机构访问 http://域名/.well-known/pki-validation/fileauth.txt 验证
4. 验证通过后签发证书
文件验证的优点是操作简单、生效快,但仅适用于具体的域名,无法验证通配符域名。
四、DNS验证常见问题
1. TXT记录已添加但验证未通过
原因:DNS解析尚未全球生效,或记录值填写错误
解决:等待更长时间(最长48小时),检查记录值是否完整正确,注意去除多余空格
2. DNS验证记录可以删除吗
证书签发后可以删除TXT记录,但建议保留。续费或重签发时可能需要复用,保留可加快后续验证速度。
3. 多个通配符证书的TXT记录冲突
同一域名申请多个通配符证书时,TXT记录的主机记录可能相同导致冲突。部分CA机构使用不同的主机记录(如 _dnsauth1、_dnsauth2)来避免冲突。
4. DNS服务商不支持TXT记录
极少数DNS服务商可能不支持TXT记录,建议更换支持TXT记录的DNS服务商,如阿里云DNS、Cloudflare等。
五、DNS验证加速技巧
1. 选择DNS解析快的服务商:Cloudflare、阿里云DNS等通常解析速度快
2. 降低TTL值:添加TXT记录时将TTL设置为较小值(如600秒),加快全球生效
3. 提前添加记录:部分服务商支持预验证,可提前添加记录减少等待时间
4. 使用CNAME验证:部分CA支持CNAME方式验证,效果与TXT类似
六、通配符证书验证的最佳实践
1. 申请前确认拥有域名的DNS管理权限
2. 添加TXT记录时仔细核对记录名和记录值
3. 验证通过后保留TXT记录便于后续续费
4. 多域名通配符证书需要为每个主域名分别添加TXT记录
5. 如DNS验证持续失败,联系CA机构或服务商技术支持协助排查
掌握DNS验证流程,能够帮助您顺利完成通配符SSL证书的申请。虽然通配符证书仅支持DNS验证,但DNS验证本身操作简单、安全性高,是验证域名所有权的可靠方式。
