域名验证(DV)证书
域名验证(DV)证书提供具有仅限域名身份认证的加密,这些证书不包括企业身份的认证(不含企业名称,城市,省份等信息),但提供请求者是否具有域名使用权的验证,Symantec只接受通过验证的请求者,此类涉及产品有:
STEP.1 制作CSR文件
STEP.2 在线提交DV证书申请
提交CSR文件
申请SSL证书,必须提交一个CSR文件(证书请求文件),提交CSR文件有2种方式:
- 我手工上传CSR文件(证书请求文件)
- 系统自动生成CSR文件(证书请求文件)
“我手工上传CSR文件”,主要适合于比较熟悉CSR的制作,或者已经拥有这个文件的申请者,请将CSR文件的全部内容复制并粘贴到输入框。然后点击“下一步”;
“系统自动生成CSR文件”,比较适合不太熟悉CSR制作的申请者,请根据CSR中需要的信息,即可完成CSR文件的制作,私钥的下载。
- 城市:必须输入英文。
- 省份/直辖市:必须输入英文。
- 国家代码:请输入2位大写的英文国家代码,譬如中国,输入:CN。
- 证书绑定的完整域名:在通配符证书申请中,请输入以“*”开头的域名,如:*.domain.com或者*.sub.domain.com;在单域名证书申请中,请输入完整的域名,譬如证书需要使用www.domain.com,就请输入www.domain.com;如果要使用app.domain.com就请使用app.domain.com。(特别要注意,如果在这里填写:domain.com,那仅仅就domain.com这个名称可以被使用,所有的domain.com子域名都是无法使用的)。
然后请点击“下一步”,这是会出现一个下载密钥文件按钮:
下载这个文件,并保存完后,会出现一个确认框,勾选此确认框后,就可以点击下一步;
请选择或添加站点管理员信息
联系人信息,我们可以选择已经保存好的联系人,或者录入一个新的联系人:
选择证书验证方式
DV型证书验证,有3种方式可供选择,具体请见下一步介绍。
STEP.3 DV证书的审核
域名解析验证
DV型证书需要验证申请者对域名有管理权,其中的一个验证方式,就是根据CA给出的DNS TXT记录,增加到域名的DNS解析中去,CA会定时检查这条TXT记录是否生效,一旦查到这条TXT记录,就会完成验证。
需要通过域名解析验证方式验证,请在下单时,选择"域名型证书验证方式时,选中:
订单进入审批流程后,请到“控制台”订单的详情中,查看需要添加的TXT记录,(以下仅是参考,请根据自己订单的要求添加):
请根据以下要求,创建域名解析记录
| 主机记录 | _dnsauth |
| 记录类型 | TXT |
| 记录值 | dx8yxhpcxc2t8ynr3jtjwd8pxtdt5c6a |
该记录有效期24小时,过期后请到本页面获取最新记录。
添加完记录后,一般在10分钟左右,会自动完成验证。
文件验证
文件验证方式,是通过申请者将CA随机提供的一个文件,发布在申请域名的网站根目录下来完成域名所有权的审核。
需要通过文件验证方式验证,请在下单时,选择"域名型证书验证方式时,选中:
订单进入审批流程后,请到“控制台”订单的详情中,下载CA提供的文件,并发布到网站根目录,如:
1. 请 下载验证文件,获取验证文件 2. 将验证文件放置于网站(http://www.domain.com)的 .well-known/pki-validation 目录下 3. 确认地址 确认地址 http://www.domain.com/.well-known/pki-validation/fileauth.txt 可以通过互联网访问 可以通过互联网访问
CA会定时访问"http://www.domain.com/pizirn8e.htm",一旦访问成功,验证就可完成。
邮件验证
如果需要采用邮件验证方式验证,请在下单时,选择"域名型证书验证方式时,选中:
当进入邮件认证流程后,“审批请求”电子邮件(也称为“审批者电子邮件”)将发送至申请者选择的“管理员邮箱”,可供选择的“管理员邮箱”选项包括:
- 公共域名注册记录(“WHOIS”报告)中列示的,注册人(Registrant Email)和管理人(Admin Email)的电子邮箱。需要注意的是:如果需要使用这类邮箱,必须确保该域名没有处在隐私保护状态下。
- 以申请的域名为结尾的特定几个电子邮箱(通常是域管理员使用的),下面以申请域名为host.yourdomain.com为例,可供使用的邮箱有:
| admin@yourdomain.com | admin@host.yourdomain.com |
| administrator@yourdomain.com | administrator@host.yourdomain.com |
| hostmaster@yourdomain.com | hostmaster@host.yourdomain.com |
| webmaster@yourdomain.com | webmaster@host.yourdomain.com |
| postmaster@yourdomain.com | postmaster@host.yourdomain.com |
收到“审批者电子邮件”之后,收件人必须单击所提供的认证链接,在GeoTrust的认证页面上批准该次请求。一般情况下,完成此步骤后,审核就会完成,证书会自动签发并发送到申请人自己的邮箱。
重要事项
- 在制作DV型证书的CSR文件时,所有的资料请都用英文填写,包括单位名称,部门,城市,省份。如果使用中文,订单在完成邮件审批后,还会进入人工审核阶段(至少需要一个工作日),将延误证书的颁发时间。
- 当需要人工审核的时候,请确保申请该证书的站点已经发布并且可以通过网上访问,Symantec的审核人员会审核该网站内容以确认是否可以签发证书。
- 如果域名验证,面向大型企业、知名商标或任何金融机构,申请人必须是该公司或组织的员工,此外Symantec必须通过第三方电话号码完成申请人的身份验证。
- 如果申请域名属于政府机构(gov.cn),则Symantec必须通过第三方电话号码完成申请人的身份验证。
文档编写日期:2016年09月05日