根据验证级别,SSL证书分为域名型SSL证书(DV)、企业型SSL证书(OV)和增强型SSL证书(EV)。申请不同类型的SSL证书需要准备不同的材料。
域名型SSL证书
域名型SSL证书(DV)只需要验证域名管理权限。这是一种基础型的SSL证书,可以在10-30分钟内颁发。您只需登陆注册域名时填写的管理员邮箱或登陆前缀为admin、administrator、postmaster、webmaster的邮箱点击链接完成验证即可。
如果不方便登录邮箱,域名所有权验证也可以通过DNS验证或文件验证来完成。
企业型SSL证书
除了验证域名管理权限外,企业型SSL证书(OV)还需要验证企业的真实身份。在验证企业身份时,需要能够在政府网站上找到有关公司的相关信息。审核部会拨打公司电话号码并进行人工审核,需要贵公司能够接听该电话。
如果找不到电话,就需要出具律师证明来证明公司确实存在。
增强型SSL证书
增强型SSL证书(EV)具有最严格的审核。除了严格核实域名管理权限和企业的真实身份外,还要求提供营业执照或组织机构代码证,以及公司座机电话。如果公司注册时间不足两年,还需要提供银行开户许可证。
为了防止域名被冒用,对于申请SSL证书的域名,需要首先验证域名的所有权。目前,有三种方法可用于域名验证SSL证书:域名解析验证(DNS验证)、管理员邮箱验证和网站控制权验证(文件验证)。只需要满足其中一个验证就可以通过验证。
一、域名解析验证
添加特定的txt或cname记录值来验证域名的有效性。
SSL证书商会给出解析类型和记录值。用户需要在域名控制面板中添加符合CA机构验证要求的记录。不同的CA机构会给出不同的解析记录。
二、管理员邮箱验证
验证仅限于在企业邮箱中创建的管理员邮箱,包括以下几种:
webmaster@申请邮箱的域名
postmaster@申请邮箱的域名
hostmaster@申请邮箱的域名
admin@申请邮箱的域名
administrator@申请邮箱的域名
CA机构将向用户选择的验证邮箱发送带有验证链接或验证按钮的邮件,用户只需点击即可完成域名验证SSL证书。
三、网站控制权验证
用户将CA机构提供的验证文件上传到申请域名的网站根目录,完成域名所有权的验证。
验证路径为:http://域名/.well-known/pki-validation/fileauth.txt或者为:http://域名/.well-known/pki-validation/随机名称.txt
用户需要在网站所在的根目录创建验证文件夹.well-known和pki-validation后上传验证文件。
这里需要特别注意的是,验证只支持端口80 (http)和443 (https),如果一级域名申请证书,需要验证的是一级域名,而不是带www的二级域名。
以上是域名验证SSL证书的三种方法。当您申请SSL证书时,您只需选择其中一种方法就可以了。
