本文转载自【天海博客】,原文链接:SSL证书验证全攻略:DNS/HTTP/手动解析怎么选?
在网络安全的世界里,SSL证书就像是一把保护数据传输安全的金钥匙。而1Panel面板为我们提供了三种获取这把钥匙的方式:DNS验证、HTTP验证和手动解析。本文将带您深入了解这三种验证方式的奥秘。
一、初识SSL证书验证
申请SSL证书,验证身份时有三种方式:
- DNS验证
- HTTP验证
- 手动解析
二、DNS验证:最便捷的云端验证
特点解析
DNS验证如同在云端留下您的数字指纹,让证书颁发机构(CA)通过查询DNS记录来确认您对域名的控制权。
优势:
- 无需服务器在线
- 适合CDN加速的网站
- 可验证多个子域名
局限性:
- 需要域名解析权限
- DNS传播需要时间
小贴士:DNS验证就像寄信,需要等待邮差(DNS传播)完成投递。
三、HTTP验证:最直接的服务器验证
特点解析
HTTP验证要求您在网站根目录放置特定的验证文件,CA机构会通过访问这个文件来确认您对服务器的控制权。
优势:
- 验证速度快
- 不需要DNS权限
- 操作直观
局限性:
- 需要服务器在线
- 网站必须能通过80端口访问
四、手动解析:最灵活的验证方式
特点解析
手动解析就像搭积木,您需要按照说明自己完成验证过程。
优势:
- 适用于特殊网络环境
- 不依赖自动化工具
- 可离线操作
局限性:
- 操作步骤繁琐
- 容易出错
"欲速则不达" —— 手动解析虽然灵活,但需要更多耐心等待DNS传播。
五、Cloudflare DNS验证步骤
1.准备阶段
(1)获取Cloudflare的API密钥
为方便使用DNS验证,您需要先在Cloudflare注册账户开启代理后才能获取到API密钥。
点击右上角的头像,进入"Profile"
点击"API Tokens" → "Create Token"
创建具有Zone:DNS:Edit权限的Token,选择自己的域名,设置生效时间与到期时间,一般设置为3个月。
下一步操作可能会弹出警告,要求校验邮箱,去个人资料里校验一次邮箱,再重新执行以上步骤
复制"API Token",妥善保存到自己本地
(2)创建DNS账户
登录1Panel,进入"证书" → 点击"DNS账户" → 选择"创建"
选择类型为"Cloudflare",输入cloudflare的邮箱和API Token,完成DNS账户的创建
2.申请证书
点击"申请证书",设置好主域名、子域名,选择验证方式为"DNS账号",选择自己刚创建的账号
申请成功后,等待5分钟左右生效。
六、HTTP验证步骤
1.准备阶段
- 确保网站80端口可访问
- 确认网站根目录可写
2.申请证书
- 点击"申请证书",设置好主域名、子域名,选择验证方式为"HTTP"
- 申请成功后,等待5分钟左右生效
七、手动解析验证步骤
1.申请证书
点击"申请证书",设置好主域名、子域名,选择验证方式为"手动解析"
2.添加DNS记录
根据系统提供的TXT记录,登录您的域名控制台,手动添加指定的TXT记录
3.完成验证
- 返回1Panel点击"验证"
- 等待CA检查(最长可能需要24小时)
八、如何选择验证方式?
1. 选择DNS验证:
- 您使用CDN服务
- 不方便开放服务器80端口
- 需要验证多个子域名
2. 选择HTTP验证:
- 服务器直接暴露在公网
- 80端口可自由访问
- 需要快速获得证书
3. 选择手动解析:
- 自动化工具不支持您的DNS服务商
- 有特殊网络限制
- 需要完全控制验证过程
"因地制宜" —— 根据您的实际环境和需求选择最合适的验证方式。
九、常见问题解答
Q:验证失败怎么办?
- DNS验证:检查API Token是否添加正确
- HTTP验证:确认.well-known目录可访问
- 手动解析:等待更长时间(DNS传播可能需要24小时)
Q:证书到期后如何续期?
1Panel默认会自动续期,您可以在"证书管理"中查看续期状态。
Q:可以同时使用多种验证方式吗?
不可以,每次申请只能选择一种验证方式。
十、实践建议
- 定期检查:每月检查一次证书状态
- 设置提醒:在证书到期前30天设置提醒
- 备份证书:下载证书备份到本地
- 文档记录:记录每次证书申请使用的验证方式
# 检查证书到期日的快捷命令 openssl x509 -in /证书地址 -noout -enddate
