IP地址白名单有哪些?
IP地址白名单是CA机构(证书颁发机构)在域名验证阶段主动探测您服务器的必要出口IP集合。当您申请SSL证书并选择DNS或文件验证方式时,CA系统需从特定IP发起HTTP/HTTPS请求或DNS查询,若您的防火墙、WAF或云安全组拦截了这些IP,将导致验证失败、证书无法签发——这不是证书本身问题,而是网络策略阻断了信任链建立的第一步。
该机制直接关系到SSL证书部署成功率,尤其在金融、政务及高安全等级企业环境中极为关键。
常见CA机构IP白名单列表(2026年实测有效)
以下为TopSSL平台高频合作CA的验证源IP,已通过实际部署验证。注意:部分CA使用动态CDN节点,主IP段稳定,但个别边缘节点可能临时变化,建议同步放行对应域名:
| CA品牌 | 验证IP地址段 / 域名 | 用途说明 |
|---|---|---|
| Sectigo | 91.199.212.132 91.199.212.133 91.199.212.148 91.199.212.151 91.199.212.176 sectigo.com | 用于文件验证(.well-known路径探测)及DNS记录回查;2026年起新增IPv6探测节点,建议同步开放2a02:1205::/32 |
| Digicert | 192.230.222.0/24 192.230.223.0/24 digicert.com | 主要执行HTTP 301跳转验证与CAA记录核查;其验证服务不走Cloudflare代理,需直连 |
| 锐安信(sslTrus) | 114.115.154.100 114.115.154.101 ssltrus.com | 国产CA,验证流量经北京、上海双节点入网;支持SM2国密验证通道,需额外放行443/8443端口 |
| Let’s Encrypt | 104.154.127.0/24 104.154.128.0/24 acme-v02.api.letsencrypt.org | ACME协议验证专用;若使用acme.sh或Certbot自动续期,必须确保该域名可解析且443端口可达 |
为什么必须配置IP白名单?真实运维案例
某省级政务云平台在部署华测DV SSL证书时,因安全策略默认屏蔽全部境外IP,导致连续3次DNS验证超时。排查发现:CA验证服务器位于新加坡机房(IP 182.72.128.106),虽属亚太区域,但仍被误判为“非可信源”。临时放行后,5分钟内完成签发。这印证了一条工程铁律:SSL证书不是“买完即用”,而是“配通才生效”。
值得注意的是,阿里云、腾讯云等国内云厂商的WAF产品默认启用“境外IP拦截”策略,且不提供CA IP自动识别功能——必须人工导入。这也是中小企业部署免费SSL证书失败率高于预期的核心原因之一。
配置建议与避坑指南
- 生产环境务必采用DNS验证+IP白名单组合,避免文件验证路径被CDN缓存或WAF规则误杀
- 锐安信、华测等国产CA支持“境内验证通道”,优先选用可规避跨境网络抖动风险
- 若使用Nginx反向代理,需在server块中显式添加
proxy_set_header Host $host;,否则Let’s Encrypt验证会因Host头缺失而失败 - 证书签发后,请立即通过SSL证书检查工具验证证书链完整性,避免因中间证书未部署导致浏览器信任中断
常见问题
Q:只放行IP不够,还需要放行域名吗? A:是的。部分CA(如Digicert)采用SNI探测机制,会携带特定Host头访问您的443端口,此时仅放IP无效,必须同时放行其验证域名。
Q:云服务商说“不提供CA IP清单”,怎么办? A:可联系TopSSL技术支持获取最新验证IP快照,或启用“DNS验证+CAA记录授权”,完全绕过IP限制。
Q:白名单配置后仍验证失败,如何快速定位? A:使用DNS解析记录查询确认TXT记录已全球生效;再用curl -v https://yourdomain.com/.well-known/pki-validation/file.txt 模拟CA探测。
京公网安备11010502031690号
网站经营企业工商营业执照
