域名验证 (DV) 是获取 SSL/TLS 的关键步骤。TLS 为您的网站颁发证书。此过程的一个关键组成部分是用于验证域名所有权的“唯一值”。本文将解释这个唯一值是什么、如何使用它以及它对保护您的网站的重要性。
快速回答
域名验证中的“唯一值”是随机生成的字符串,用于证明域名所有权。它通常放在您的网络服务器上的特定文件或 DNS 记录中。证书颁发机构 (CA) 会在颁发 SSL/TLS 证书。
详细说明
域名验证是 SSL 最基本的验证级别/TLS 证书。它验证请求证书的人是否对相关域名具有控制权。此过程是自动化的,并且通常比其他验证类型更快、更便宜。
唯一值的作用
唯一值可作为域控制权的临时、一次性证明。其工作原理如下:
- 当您请求 DV 证书时,CA 会生成一个随机的唯一值。
- 系统会指示您将该值放置在与您的域关联的特定位置。
- CA 检查该值是否存在以确认您对域的控制。
- 验证后,CA 将颁发您的 SSL/TLS 证书。
使用唯一值的常见方法
有多种方法可以使用唯一值进行域验证:
- HTTP 文件上传:将包含唯一值的文件放置在您的 Web 服务器上。
- DNS TXT 记录:在您域的 DNS 设置中将唯一值添加为 TXT 记录。
- 电子邮件验证:在您域名的标准管理地址接收具有唯一值的电子邮件。
让我们更详细地探讨每种方法:
1.HTTP文件上传
此方法涉及创建一个包含唯一值的特定名称的文件,并将其上传到 Web 服务器上的预定位置。
步骤:
- 从 CA 接收唯一值和文件名。
- 创建一个具有给定名称的文件(例如“example.txt”)。
- 将唯一值放入此文件中。
- 将文件上传到指定目录(通常为“/.well-known/pki-validation/”)。
- CA 将尝试访问此文件来验证域控制。
示例:
文件:/.well-known/pki-validation/example.txt Content: f3k9d8s7h2l1m4n6p0q5r
2.DNS TXT 记录
此方法需要在您域的 DNS 设置中添加 TXT 记录。
步骤:
- 从 CA 接收唯一值。
- 访问您域的 DNS 设置。
- 添加具有唯一值的新 TXT 记录。
- 等待 DNS 传播(最多可能需要 48 小时)。
- CA 将查询您的 DNS 以验证唯一值的存在。
示例:
类型:TXT 主办方:_acme-challenge Value: f3k9d8s7h2l1m4n6p0q5r
3.电子邮件验证
此方法涉及在您域的标准管理电子邮件地址上接收包含唯一值的电子邮件。
步骤:
- CA 会向 admin@、administrator@、hostmaster@、postmaster@ 或 webmaster@ 等地址(您的域名)发送电子邮件。
- 您会收到包含唯一值和验证链接的电子邮件。
- 单击链接或在 CA 的验证页面上输入唯一值。
电子邮件示例:
来自:noreply@certificateauthority.com 收件人:admin@yourdomain.com 主题:SSL 的域名验证/TLS 认证证书 ? 请点击下面的链接或在我们的验证页面上输入以下唯一值来验证您的域名所有权: ? Unique Value: f3k9d8s7h2l1m4n6p0q5r 验证链接:https://ca.com/verify?token=abc123
域验证(DV)中使用的“唯一值”是什么?
SSL.com的域验证(DV)中所指的“唯一值”(或“唯一令牌”) 文件 用于遵守CA / Browser论坛的第3.2.2.4节(域授权或控制的验证) 基准要求。 这些要求规定,“请求令牌或随机值”出现在要存储在网站特定目录中的文件中,该目录应受SSL /TLS 证书(通常为 /.well-known/pki-validation/),或者作为要验证的域名的 DNS 记录的一部分,用于确保请求的唯一性。 在SSL.com的在线门户网站中执行域验证时,将为此目的向用户提供一个随机值,以及一个预格式化的文本文件和DNS记录,供与 HTTP / HTTPS文件查找 和 DNS CNAME查找 方法。 请参考SSL.com的 DV要求文档 有关可用DV方法的完整详细信息。 如果您使用的是SSL.com 软件接口 要执行域验证,您可以通过请求中的可选 unique_value 参数指定唯一值。 如果您不通过 API 提供唯一值,则会自动为您生成一个随机值。 有关完整信息,请参阅我们的 API文档.
哪些域验证(DV)方法需要唯一值?
这款 HTTP / HTTPS文件查找 和 DNS CNAME查找 DV方法都需要一个唯一值,该值可以由SSL.com随机生成,也可以由用户通过 软件接口。 该 电子邮件质询响应 方法还需要一个随机值进行验证,该值由SSL.com在验证电子邮件中提供。
重新处理证书或为预先验证的域名订购证书时是否需要使用新的唯一值?
验证域控制时需要唯一值。 因此,如果您在添加新域名时 重新处理多域证书 并希望使用 DNS CNAME查找 or HTTP / HTTPS文件查找 验证方法,则需要使用新的唯一值创建一个新的CNAME或验证文件。 如果您已通过CNAME或文件查找方法预先验证了域名,则具有新的唯一值的新DNS记录或文件为 而不去 订购证书时需要。
为什么唯一值很重要?
唯一值在 SSL/TLS 的安全性中起着至关重要的作用TLS 生态系统:
- 控制证明:它表明您当前对该域具有访问权和控制权。
- 防止未经授权的颁发:它阻止恶意行为者获取他们不拥有的域名的证书。
- 自动化:无需人工干预即可进行快速、自动验证。
- 标准化:为CA提供跨不同平台和技术验证域控制的一致方法。
- 处理唯一值的最佳实践
为确保验证过程顺利进行:
- 快速行动:及时使用唯一值,因为它可能会在一定时期后过期。
- 仔细检查:在启动 CA 检查之前,请验证您是否已正确输入值。
- 临时使用:验证成功后删除唯一值以维护干净的 DNS 记录或 Web 目录。
- 安全访问:确保只有授权人员可以修改 DNS 记录或将文件上传到您的 Web 服务器。
解决常见问题
如果您在域验证期间遇到问题:
- 未找到文件:确保文件位于正确的位置并可通过 HTTP/HTTPS 访问。
- DNS 传播:留出足够的时间让 DNS 更改在全球范围内传播,通常为 24-48 小时。
- 电子邮件问题:检查垃圾邮件文件夹并确保您的电子邮件系统接受来自 CA 的消息。
- 防火墙阻止:验证您的防火墙没有阻止 CA 的验证尝试。
总结
对于任何管理 SSL/TLS 证书。通过遵循本文概述的方法,您可以轻松证明您的域名所有权并使用 HTTPS 保护您的网站。请记住,证书颁发机构之间的具体步骤可能略有不同,因此请务必仔细遵循提供的说明。
有关 SSL 的更多信息/TLS 证书和网络安全,请访问 SSL.com 的资源中心或联系我们的支持团队获取个性化帮助。