凡申请SSL证书的服务器，所有CA机构都需要对该域名所有权进行验证，审核无误后，才能进行下一步的工作。目前，CA机构验证域名所有权的方式有两种：DNS验证、文件验证和邮箱验证。

DNS验证

DNS验证方式需要域名管理人员根据证书订单中的提示，登陆到该域名的域名解析服务商（如国内的万网、新网、国外的godaddy等等）的域名管理系统中进行指定的操作配置。而根据ca机构的规则不同，域名管理员在添加DNS记录时会出现CNAME或TXT类型中的一种，而管理员只需按照MPKI中系统提示的信息添加即可。

操作步骤：

1、在申请证书订单，点击域名验 –> 选择DNS方式验证 –> 等待接收验证邮箱中的txt值 –> 添加TXT记录（以阿里云DNS为例）。

2、登陆阿里云域名管理后台，进入：产品管理-管理控制台-域名与网站（万网） – 云解析DNS 。

3、选择需要配置的域名，点击“解析设置”。

4、选择“添加解析”，记录类型选“TXT”：

5、根据上面的示例，在主机记录中输入：@（如果是二级域名验证，请填二级域名前缀，例：www. domain.com.cn，则填www）

6、在记录值中输入：dx9abcefgh3i9jkl6jtjwd7pxddt5c7a（此处只是例子演示，请根据CA实际提供的TXT值设定）

7、TL设置最小值为10分钟～1小时，然后点击【确认】按钮保存。

8、DNS记录设置完成

邮箱验证

邮箱验证是针对以申请域名结尾的指定域名邮箱做邮箱验证。通过邮箱来确认证书申请的域名是否已经注册，以及申请者是否对此域名具有控制权。

1、WHOIS注册中列示的，注册人(Registrant Email)和管理人（Admin Email）的电子邮箱（即whois邮箱）。需要注意的是：如果需要使用这类邮箱，必须确保该域名没有处在隐私保护状态下，如是whois注册信息处于隐私状态，则无法选择whois邮箱验证；

2、以申请的域名为主的电子邮箱（一般是域管理员使用的管理员邮箱），下面以申请域名为host. domain.com为例，可供使用的邮箱有admin5个邮箱：

3、申请者会收到“域名验证邮件”，收件人单击邮件里所提供的认证链接进去，按要求点击确认即可。

webmaster@domain.com

postmaster@domain.com

hostmaster@domain.com

admin@domain.com

administrator@domain.com

打开对应的邮箱，点击验证。

文件验证

文件验证方式也是需要域名管理人员进行操作。根据证书订单中的进度提示，按收到的验证邮箱，创建指定的certum.txt文件，并编辑为指定值，放在网站根目录的.well-known\pki-validation\目录下，访问路径： http://domain/.well-known/pki-validation/certum.txt

根网站目录创建.well-known/pki-validation/目录文件的操作方法如下：

linux操作系统：

创建.well-known/pki-validation目录（如网站根目录在/usr/local/root）

mkdir -p /usr/local/root/.well-known/pki-validation

然后通过vi编辑器创建指定的certum.txt文件名，并赋予指定的值XXX（XXX为邮件中给定的长字符串）。

windows操作系统：

windows环境无法直接以桌面方式创建带点的文件目录，需要在dos下创建（如网站根目录在D:\root）:

mkdir d:\root\.well-known\pki-validation

哪SSL证书是如何做域名验证的呢？

在桌面进入d:\root.well-known\pki-validation目录，创建指定的certum.txt文件名，并赋予指定的值XXX（XXX为邮件中给定的长字符串）。

1、 Nginx

Nginx分代理和非代理模式。

（1）Nginx代理模式

代理服务器（nginx.conf）配置如下：（certum.txt放到nginx服务器 html/.well-known/pki-validation 目录下）

location ~* ^/.well-known/pki-validation/certum.txt{

root html;

}

检查nginx配置是否有问题

nginx –t

重启nginx服务器

nginx –s reload

输入一下地址验证：

http://域名/.well-known/pki-validation/certum.txt

（2）Nginx非代理模式

根据Nginx.conf找到主域名http的server配置文件，查看root定义的路径，如 ：

location/ {

root html;

index index.html index.htm;

}

将文件certum.txt放到nginx服务器html/.well-known/pki-validation目录下

输入以下地址验证：

http://域名/.well-known/pki-validation/certum.txt

2、 Apache

根据Apache服务器/conf/httpd.conf，找到对应域名的http配置，如：

DocumentRoot “conf/htdocs”

ServerName domain.com

将certum.txt放到apache服务器 conf/htdocs/.well-known/pki-validation目录下。

输入以下地址验证：

http://域名/.well-known/pki-validation/certum.txt

3、Tomcat

Tomcat服务器，默认根目录在tomcat服务器/webapps/ROOT，将certum.txt文件放在/webapps/ROOT/.well-known/pki-validation/目录下。

如果有调整过根路径，可查看conf/server.xml文件，如。

<Host name=”localhost” appBase=”webapps”unpackWARs=”true” autoDeploy=”true”

xmlValidation=”false” xmlNamespaceAware=”false”>

……

通过docBase指定根目录，将certum.txt复制到/usr/local/tomcat/site/.well-known/pki-validation/目录下：

输入以下地址验证：

http://域名/.well-known/pki-validation/certum.txt

4、IIS

IIS服务器，找到对域名站点，右键–>浏览，可弹出网站根目录，然后根据上面提到的方法创建.well-known/pki-validation目录，将certum.txt复制在此目录即可。