由于有通配符需要需要第二个 dcv 记录

通配符证书的“双重核验”：为什么你得加两条 DNS 记录？

在 TopSSL 处理通配符证书申请时，很多站长会纳闷：我明明只申请了一个 *.example.com，为什么后台非要我加两条解析记录？甚至有人觉得是系统出错了。其实这涉及到 CA 机构（证书颁发机构）对“基础域名”和“通配符范围”的双重确权逻辑。本文将围绕通配符证书的 DCV 验证机制、DNS 记录冲突处理以及自动化实战，结合实际运维经验进行说明。

说白了，这不是故意折腾你，而是为了保证你对 example.com（不带前缀的主域名）和 *.example.com（所有子域名）同时拥有控制权。

1. 拆解“双重验证”的底层逻辑

从实际情况来看，一张标准的通配符证书通常会包含两个 SAN（使用者可选名称）：一个是 *.example.com，另一个是 example.com。

• 验证通配符空间：CA 需要确认你有权管理所有二级子域名，这时要求你解析一条 _acme-challenge.example.com 的随机值。
• 验证主域名：为了让你的证书在访问 https://example.com 时也不报红，CA 必须同时验证主域名的归属。

根据最新的安全审计要求，很多 CA（如 Sectigo、DigiCert）不再允许通过单条记录推导所有权，因此会针对这两个名称分别下发不同的随机字符串。这就是为什么你在 TopSSL 订单后台会看到两个不同的 TXT 记录值。

2. 实战操作：如何在云解析后台填这两条记录？

这是最容易翻车的地方。很多人看到两条记录的“主机记录”都是 _acme-challenge，就以为只需要填一个。

• 动作描述：在阿里云、腾讯云或 Cloudflare 的解析面板里，你需要添加两条类型为 TXT 的记录。
• 填法建议：
  1. 主机记录：_acme-challenge ➔ 记录值：第一个随机字符串
  2. 主机记录：_acme-challenge ➔ 记录值：第二个随机字符串

注意：不要删除第一条再去加第二条！DNS 协议允许同一个主机记录对应多个值。如果你覆盖了第一条，CA 在校验时发现少了一个，验证就会卡在那一直显示“Pending”。

3. 运维避坑：为什么我的第二条记录查不到？

我们在 TopSSL 的技术支持中发现，操作成本较高的地方往往在于 DNS 的生效延迟。

• TTL 缓存问题：如果你在填错后立即修改，旧的记录值可能还在各地的 DNS 服务器里缓存着。更务实的建议是将 TTL 设置为 60 秒（或者最小可选值），这样能加快 CA 爬虫的抓取速度。
• 全权域名验证：如果你使用了 通配符证书，请务必确认你的域名解析没有开启“解析负载均衡”或者其他会干扰 TXT 指令返回的逻辑。

4. 自动化才是终极解决方案

如果你觉得每三个月都要手动去加这两条记录太折腾，更务实的建议是使用 acme.sh 配合 DNS API。

在 TopSSL 申请证书时，你可以获取 API Key，脚本会自动调取你的域名接口，自动添加这两条 _acme-challenge 记录，并在验证完成后自动删除。这种方式不仅避开了手动填写的错误，还能完美处理 DV SSL证书 缩短到 90 天后的高频续期压力。

技术型总结

从证书功能层面看，通配符证书要求的双重 DCV 记录是为了同时确权“主域名”与“通配符子域空间”。在 DNS 配置实战中，必须确保两条具有相同主机记录但不同随机值的 TXT 记录同时存在并生效。这种验证机制虽然增加了初次部署的操作成本，但它是确保 商业证书 签发合规性、防止域名所有权被部分冒用的核心安全屏障。

常见问题

Q：两条记录的主机记录一样，会冲突吗？

A：不会。DNS 支持一个主机记录对应多个 TXT 值。在解析后台直接新增两条记录即可，CA 扫描时会同时读取到这两个值。

Q：我只加一条行不行？

A：不行。如果证书包含主域名和通配符两个 SAN，少加一条会导致其中一个验证项卡死，证书将永远处于“待审核”状态。

Q：加完记录多久能签发？

A：取决于 DNS 生效速度。通常在 TopSSL 提交申请后，解析生效后的 5-10 分钟内即可完成签发。

Q：一定要用 DNS 验证吗？文件验证行不行？

A：通配符证书目前强制要求使用 DNS 验证（DNS-01），这是行业标准，无法通过在网站根目录上传文件（HTTP-01）的方式完成。

Q：验证过一次，下次续费还要加两条吗？

A：是的。每次签发新证书，CA 都会生成全新的随机字符串。不过使用 acme.sh 脚本可以实现这一过程的完全自动化。