申请 Domain Validation（DV）类型的 SSL 证书时，Certificate Authority（CA）机构只验证域名所有权，不会人工介入审核验证。这一特性使 DV 证书颁发十分方便快捷，但也导致在系统审核的过程中产生很多验证限制，例如安全审核，DNS 验证失败等，影响证书的正常颁发。

为了使用户能够自主定位问题，查询原因，调整配置，提高 DV 证书的颁发效率，亚洲诚信提供《DV 证书自主检测工具（》以下简称“工具”）。

2.工具介绍

通过访问 https://myssl.com/dns_check.html#ssl_verify 使用此工具。使用步骤如下图所示：

2.1 验证流程图

2.2 模块详解

2.2.1 CAA 检测

自 2017 年 10 月开始新增了 CAA 规则，DV 证书的申请域名必 须要通过 DigiCert 的 CAA 检查。CAA 检测包含 CAA 超时和 CAA 设置检测，在其检测过程中，你可能遇到如下图所示的 问题：

1.CAA 查询响应失败，时间超时

2.CAA 设置中未包含正确参数

当使用 TrustAsia 品牌证书时，CAA 设置中未包含 symantec.com 和 digicert.com 参数

当使用 Let’s Encrypt 品牌证书时，CAA 设置中未包含 letsencrypt.org 参数

2.2.2 验证结果检测

目前，此工具只针对 TrustAsia 和 Let’s Encrypt 品牌的证书 进行验证，验证方式会随 CA 的策略变化而变化。DV 的验 证方式分为 DNS 验证和 FILE 验证，任意一种验证方式都必 须通过中国、香港和美国三方匹配。如下所示：

如遇到任意一方显示“验证失败”的提示，都表明匹配不成功。须查看本文中的章节 3 解决方案，根据实际情况进行修改。

3.解决方案

根据所选 DV 证书的验证方式，选择下面对应的问题及其解决方案，自行修改设置后再进行验证匹配。

3.1 DNS 验证方式

1.美国不匹配，显示“验证失败”

原因：可能是 DNS 记录解析延迟导致

解决方案：耐心等待 48 小时后再查看。若之后还是显示“验证失败”提示，请更换申请 Organization Validation (OV) 或者 Extended Validation (EV) 类型证书。

2.显示“不匹配（验证失败，TXT 值不匹配）”

常见原因：1.订单中的验证值不正确

2.使用 了非 ANSI 编码存储文件

2.使用 ANSI 编码存储文件。

3.显示“不匹配（暂未查询到值）”

原因：没有配置 TXT

解决方案：配置 TXT 解析。

4.显示“验证失败，DNS 错误，查询 XXX 时域名错误”

原因：尚未使用该域名等

解决方案：购买或者申请该域名，并投入使用。

5.显示“验证失败，DNS 错误，查询 XXX 时 SERVFAIL”

解决方案：DNSSec 导致失败，调整 DNS 配置。

6.显示“验证失败，DNS 错误，查询 XXX 时数据错误”

原因：使用非常规 DNS 服务器，数据格式有问题

解决方案：更换 DNS 服务，如 bind，server2016，腾讯云等。

3.2 FILE 验证方式

1.美国不匹配，显示“验证失败”

解决方案: 直接更换申请 OV 或者 EV 类型证书。

2.显示“验证失败，请重试”

解决方案: 重新点击“检测”按钮。

3.显示“验证失败，验证中发生 URL 重定向”

原因：FILE 验证链接响应状态为 3xx

解决方案:重新设置，取消跳转等配置。

4.显示“验证失败，响应非 2xx 状态码”

原因：FILE 验证方式没有设置为 2xx 响应，伴随出现 404，页面不存在，50X 服务器内部错误等原因

解决方案:调整 FILE 验证配置来解决。

5.显示“验证失败，响应 Content-Type 错误”

解决方案: Content-Type 类型必须是 text/html 或者 text/plain ，需到服务器上调整响应类型。

4.附录

4.1 DNS 验证规则

提交订单后，系统将返回如下验证信息

在域名的 DNS 系统中解析验证信息: xx.domain.com –> TXT –> 201712190530450eonzx6qx lbrivldqztops3huwhqe6ghhy8ilyy07c6vjj668r l若使用主域名下的 www 子域名申请证书，需直接对主域名解析验证信息，如： n 申请域名为 www.domain.com，需用 domain.com 来做 TXT 域名验证解析。 n 申请域名为 www.domain.com.cn，需用 domain.com.cn 来做 TXT 域名验证解析。 l若做 TXT 验证解析的域名存在 CNAME 记录，需在域名前 12 加一级 _dnsauth 来做解析，避免 CNAME 冲突，如： nxx.domain.com 有 CNAME 记录存在，用 _dnsauth.xx.domain.com 来做 TXT 验证解析。

4.2 FILE 验证规则

提交订单后，系统将返回如下验证信息

l在域名的指定路径/.well-known/pki-validation/fileauth.txt 下设置指定内容： 201712190628231ynisv0fh7es467ttfsb59z0zag1ix6rfalphfa 9rlodme9dw9 l保证外网通过 HTTP 或 HTTPS 能够访问到指定内容。 l内容结尾不能有任何回车或换行符。 l内容响应状态码确保是 200 ，不支持任何形式跳转。 l内容响应类型 Content-Type 必须是 text/html 或 text/plain , 不支持其他 Content-Type。 lFILE 验证内容的访问不能加 UA 限制，保证所有 UA 均可访问(Java/1.8.0_xx)。 l若使用主域名下的 www 子域名申请证书，需直接在主域名下放置验证文件，如： n申请域名为 www.domain.com，需在 domain.com 下面的指定目录放置验证文件。 申请域名为 www.domain.com.cn，需在 domain.com.cn 下面的指定目录放置验证文件。