泛解析证书DNS验证怎么操作？通配符SSL证书DNS验证详细教程

申请泛解析（通配符）SSL证书时，DNS验证是必经步骤。因为通配符证书保护的是 *.domain.com 这样的通配符域名，无法通过文件验证方式证明所有权，只能通过DNS TXT记录来验证。

一、为什么泛解析证书只能用DNS验证？

文件验证需要在网站根目录放置验证文件，让CA机构能够通过HTTP访问到。但通配符证书的星号（*）代表任意子域名，这些子域名可能并不存在，无法在每个子域名下都放置验证文件。

而DNS验证是通过在主域名下添加TXT记录来证明控制权，只要主域名的DNS记录能被解析，就证明了申请人对该域名及其所有子域名的控制权。

因此，所有CA机构的泛解析证书都只支持DNS验证，这是行业标准做法。

二、DNS验证需要准备什么？

在进行DNS验证前，您需要：

• 域名DNS管理权限：能够登录域名注册商或DNS服务商后台添加解析记录

• 验证记录信息：由CA机构提供，包括TXT记录名和记录值

• 耐心等待：DNS解析全球生效需要一定时间

三、DNS验证操作步骤（通用流程）

步骤1：获取验证记录

提交泛解析证书申请后，CA机构会提供DNS验证信息，通常包含：

• 记录类型：TXT

• 主机记录：通常是 _dnsauth 或类似前缀（具体以CA提供为准）

• 记录值：一串随机生成的字符，格式如 caa-xxxxx-yyyyy

• TTL：默认即可，一般300或600秒

注意：不同CA的验证记录格式可能不同，请以实际提供的为准。

步骤2：登录DNS管理后台

登录您的域名DNS管理平台。常见DNS服务商包括：

• 阿里云（万网）

• 腾讯云DNSPod

• Cloudflare

• 华为云

• 百度云

• GoDaddy

• 西部数码

步骤3：添加TXT记录

找到域名的DNS解析管理页面，选择"添加记录"，填写：

• 记录类型：TXT

• 主机记录：填写CA提供的记录名（如 _dnsauth）

• 记录值：填写CA提供的验证字符串

• TTL：默认即可

• 线路：默认（或全网默认）

填写完成后点击"确认/保存"。

步骤4：验证记录是否生效

添加记录后，可以通过以下方式检查TXT记录是否已解析生效：

Windows CMD / PowerShell：

nslookup -type=TXT _dnsauth.tongpeifu.cn

Linux / macOS 终端：

dig TXT _dnsauth.tongpeifu.cn +short

在线工具：

使用站长工具、DNS查询网站等在线工具查询TXT记录

如果查询结果能显示出您添加的记录值，说明DNS解析已生效。

步骤5：等待CA机构检测

DNS记录生效后，CA机构会自动检测验证状态。检测通过后，证书将自动签发（DV证书几分钟内，OV证书需等企业审核完成）。

部分服务商支持手动点击"完成验证"按钮加速检测。

四、主流DNS服务商操作指南

阿里云（万网）DNS验证

1. 登录阿里云控制台 → 云解析DNS

2. 找到目标域名，点击"解析设置"

3. 点击"添加记录"按钮

4. 记录类型选"TXT"

5. 主机记录填"_dnsauth"（具体以CA为准）

6. 记录值填验证字符串

7. TTL默认，线路默认

8. 点击"确认"保存

腾讯云DNSPod DNS验证

1. 登录DNSPod控制台（或腾讯云DNS解析）

2. 选择域名进入解析管理

3. 点击"添加记录"

4. 记录类型：TXT

5. 主机记录：_dnsauth

6. 记录值：验证字符串

7. 保存记录

Cloudflare DNS验证

1. 登录Cloudflare → 选择域名

2. 进入"DNS"标签页

3. 点击"添加记录"

4. Type选"TXT"

5. Name填"_dnsauth"

6. Content填验证字符串

7. TTL默认Auto

8. 点击"Save"

注意：如果域名使用了Cloudflare CDN代理（橙色云朵），TXT记录通常不受影响，直接添加即可。

五、DNS验证常见问题

Q1：TXT记录添加了但查询不到？

A：可能的原因和解决方法：

• DNS缓存未更新：等待几分钟到几小时，全球DNS同步需要时间

• 记录名填写错误：确认主机记录是否正确，不要带域名后缀（如只填 _dnsauth，不是 _dnsauth.tongpeifu.cn）

• TTL设置过长：如果之前有同名解析记录，需要等旧TTL过期

• DNS服务商问题：部分DNS服务商生效较慢，建议使用知名DNS

Q2：DNS验证记录可以删除吗？

A：证书签发后可以删除TXT记录。但建议保留，因为：

• 续费或重签发时可能需要重新验证

• 保留记录可加快后续验证速度

• 不影响域名正常使用

Q3：一个域名有多张泛解析证书，TXT记录冲突怎么办？

A：TXT记录允许多个值共存，可以添加多条不同的TXT记录（同一主机记录名可以有多个值），不会冲突。

Q4：DNS验证失败怎么办？

A：请按以下步骤排查：

1. 确认TXT记录的主机记录名和记录值完全正确（注意不要有多余空格）

2. 使用nslookup或dig命令本地查询是否生效

3. 如果本地已生效但CA检测失败，可能是全球DNS尚未同步，等待更长时间

4. 联系服务商技术支持协助排查

Q5：泛解析证书的DNS验证和单域名证书的DNS验证一样吗？

A：原理相同，都是添加TXT记录。但泛解析证书的验证记录名通常是 _dnsauth.domain.com，而单域名证书可能是其他格式。请以CA实际提供的为准。

Q6：验证域名和申请域名有什么关系？

A：申请 *.tongpeifu.cn 泛解析证书，验证的是 tongpeifu.cn 这个主域名。验证通过后，所有 *.tongpeifu.cn 的子域名都受保护。

六、DNS验证加速技巧

• 使用解析速度快的DNS服务商（如Cloudflare、阿里云、DNSPod）

• 添加记录时将TTL设置为较小值（如300秒），加快生效

• 提前准备好DNS账号，申请后立即添加记录

• 本地DNS缓存可通过刷新DNS来加速（ipconfig /flushdns）

总结

DNS验证是泛解析SSL证书申请中的关键步骤，操作并不复杂。只要按照本文步骤，在域名DNS中添加正确的TXT记录，耐心等待解析生效，就能顺利完成验证。如果遇到问题，可以随时联系通配符网客服获取专业技术支持。

温馨提示：DNS验证记录添加后不会马上全球同步，通常需要10-30分钟（最长可能48小时），请耐心等待。大多数情况下15分钟内即可完成验证。