本文档将指导您在证书管理控制台申请证书或新增域名资料时，如何选择域名验证方式。

自动添加 DNS

申请 SSL 证书时，需要进行域名所有权验证的情况下，可选择自动添加 DNS。

本文档将指导您在证书管理控制台申请证书或新增域名资料时，并且域名验证方式为自动添加 DNS，如何进行域名验证操作。

注意：

首次使用需要您先完成服务授权才可自动添加 DNS。

操作步骤

**1. **如您满足以下场景以及限制条件，则可显示并使用自动添加 DNS 快速帮助您添加解析记录。

使用场景[新增域名资料]。申请部分品牌证书。使用限制：须使用腾讯云云解析 DNS 的域名。

**2. **系统将为该域名自动添加指定的 DNS 解析记录，并自动完成域名所有权验证。

**3. **证书颁发完成或域名信息审核通过后，解析记录可手动清除。

DNS 验证

本文档将指导您在 SSL 证书控制台申请证书或新增域名资料时，并且域名验证方式为 DNS 验证，如何进行域名验证操作。

步骤1：查看验证信息

1. 登录 [SSL 证书控制台]单击目标证书操作栏中的查看验证。





2. 在验证域名页面，获取主机记录和记录值。如下图所示：

说明:

保存主机记录以及记录值后，请按照步骤2添加解析记录。





步骤2：添加解析记录

注意:

以下操作仅针对域名对应的域名解析商在腾讯云的情况下，若不在腾讯云，请您到域名对应的域名解析商处进行解析。域名解析商查询可通过 DNS.TECH 域名检测。

1. 请您先找到验证域名（步骤1图例）页面，获取主机记录以及记录值。

2. 登录 [云解析 DNS 控制台] ，查看已申请证书的域名，并单击操作栏的解析，进入记录管理页面。如下图所示：



3. 单击添加记录，并根据不同证书类型添加 DNS 记录。

说明:

DNS 记录仅支持 CNAME 及 TXT 记录类型，且不同记录类型适用不同的品牌证书，请结合实际情形进行选择。

支持 CNAME 的品牌

支持 TXT 的品牌

TrustAsia 、Wotrus 品牌证书需填写记录类型为 CNAME 的解析记录。如下图所示：

主机记录：请按照 [步骤1}执行并获取主机记录值。

记录类型：选择 “CNAME”。

线路类型：选择 “默认” 类型，否则会导致 CA 机构无法进行扫描认证。

记录值：请按照 [步骤1] 执行并获取记录值。

MX 优先级：不需要填写。

TTL：为缓存时间，数值越小，修改记录各地生效时间越快，默认为600秒。

4. 单击保存，完成添加。

5. 添加成功后，证书对应域名添加记录值的系统会定时检查，若 CA 机构能检测到并且与指定的值匹配，即可完成域名所有权验证，请耐心等待 CA 机构扫描审核。

说明:

解析生效时间一般为10分钟 - 24小时，但各地解析的最终生效取决于各运营商刷新时间，请您耐心等待。

证书颁发完成或域名信息审核通过后，解析记录可手动清除。

文件验证

本文档将指导您在证书管理控制台申请证书或新增域名资料时，并且域名验证方式为文件验证，如何进行域名验证操作。

验证规则

域名验证规则

进行文件验证时，请注意以下几种情况：

注意

因 SSL 证书域名验证策略变更，腾讯云已于2021年11月21日停止泛域名证书的文件验证方式，详情参见：[SSL 证书域名验证策略变更通知]

申请域名为主域时需要额外验证 www。例如，申请域名为 <span data-slate-string="true">tencent.com</span>，则还需验证 <span data-slate-string="true">www.tencent.com</span>。

申请 www 的域名需要额外验证 www 后面的域名，无论是几级域名。例如，申请域名为 <span data-slate-string="true">www.a.tencent.com</span>，则还需验证 <span data-slate-string="true">a.tencent.com</span>。

申请不带 www 的非主域只需要验证当前域名。例如，申请域名为 <span data-slate-string="true">cloud.tencent.com</span>，则只需验证 <span data-slate-string="true">cloud.tencent.com</span>。

CA 验证规则

DNS 查询时必须从权威根服务器递归查询每级域名的权威 NS 服务器，再从 NS 服务器查询对应的 A、AAAA 或 CNAME。

若 DNS 服务支持 DNSSEC，必须校验响应数据的签名信息。

若被查询域名是 IP，直接通过 IP 访问验证内容。

必须通过标准的 HTTP / HTTPS 的默认端口进行访问。

可以支持 301/302 跳转，跳转次数不超过2次，跳转目的地址跟被检测域名需在同一主域。

最终检测结果需要响应200状态码。

HTTPS 访问时可以忽略证书错误。

操作步骤

步骤1：查看验证信息

**1. **登录 [SSL 证书控制台]

2. 选择验证中的证书，进入验证域名页面，并在规定时间内完成验证操作。如下图所示：

步骤2：添加文件记录

**1. **请您登录服务器，并且确保域名已指向该服务器并且对应的网站已正常启用。

说明

若您的域名对应的域名解析商在腾讯云，将域名指向您的服务器请参见 [A 记录]

**2. **在网站根目录下，创建指定的文件。该文件包括文件目录、文件名、文件内容。

说明

网站根目录是指您在服务器上存放网站程序的文件夹，大致这几种表示名称：wwwroot、htdocs、public_html、webroot 等。

请确保 Web 网站端口号设置为80或443。

示例 您的网站根目录为 <span data-slate-string="true">C:/inetpub/wwwroot</span>，您可以在 <span data-slate-string="true">wwwroot</span> 文件夹下创建一个如下表所示的文件：

注意事项

以上内容仅做示例，文件名与文件内容均为随机值。具体值以验证页为准。

Windows 系统下，需通过执行命令行的方式创建以点开头的文件和文件夹。 例如，创建 <span data-slate-string="true">.well-known</span> 文件夹，请打开命令提示符，执行命令 <span data-slate-string="true">mkdir .well-known</span> 进行创建。

如下图所示：

3. 在验证域名页面，您可以单击查看域名验证状态检查配置是否成功。

说明

支持 HTTP 和 HTTPS，任意一个均可访问。

文件验证需要直接响应200状态码和文件内容，不支持任何形式的跳转。

对于 www 开头的域名，例如 <span data-slate-string="true">www.a.tencent.com</span>，除了对该域名进行文件验证，还需对 <span data-slate-string="true">a.tencent.com</span> 添加文件验证。

**4. **请耐心等待 CA 机构扫描审核。证书颁发完成或域名信息审核通过后，文件和目录即可清除。

注意

请确保域名未做国外限制，国外 IP 可以解析至域名的 A 记录并进行访问，否则将导致 CA 机构无法进行扫描审核。

原文地址：https://cloud.tencent.com/document/product/400/4142