快速开始
添加云账户
配置 DNS 云账户,让青桔ssl 能自动创建证书验证记录。
适用场景
你希望青桔ssl 自动完成 DNS-01 验证记录写入,减少手动添加 TXT 记录的操作。
云账户有两类常见用途:
- DNS 解析:用于域名管理、证书预检查和 DNS-01 验证记录写入。
- 证书部署:用于把已签发证书上传或绑定到 CDN、对象存储、负载均衡、面板站点等目标资源。
申请第一张证书时,最重要的是先配置一个可用的 DNS 云账户。自动部署账户可以后续再补。
前置条件
- 已有云服务商账号。
- 已创建访问密钥或 API Token。
- 访问凭据具备 DNS 解析记录读取、创建、更新和删除权限。
- 明确域名 DNS 当前托管在哪个云服务商。
- 准备使用子账号或最小权限 Token,不建议直接使用主账号长期凭据。
常见凭据格式如下:
- 阿里云:
AccessKeyId和AccessKeySecret。 - 腾讯云:
SecretId和SecretKey。 - Cloudflare:推荐使用 API Token,并授予 Zone Read、DNS Read、DNS Write 权限。
- 华为云、火山引擎、百度智能云:通常需要访问密钥,部分场景可保留默认区域或 Endpoint。
- 宝塔面板、1Panel、AcePanel:主要用于面板站点证书部署,不用于普通 DNS-01 域名验证。
操作步骤
-
打开 云账户。
-
点击 新增云账户。
-
填写账户名称。
名称建议能表达“厂商 + 用途 + 环境”,例如:
阿里云 DNS - 生产腾讯云 CDN - 官网Cloudflare DNS - 海外
-
选择厂商分类和云厂商。
如果要做 DNS 验证,选择“云服务商”分类下支持 DNS 的厂商。如果只是接入面板部署,选择“面板”分类。
-
填写凭据字段。
按页面显示的字段填写即可。密码类字段会隐藏显示;编辑时如果没有更换密钥,不要随意覆盖为无效值。
-
确认用途标识。
- 需要申请证书:开启 DNS 解析。
- 需要部署到云产品:开启 证书部署。
- Cloudflare、华为云、火山引擎等厂商可能只开放部分用途,页面会提示禁用原因。
-
设置账户状态为 启用,填写备注后保存。
备注可以记录密钥来源、权限范围、负责人或过期时间,方便后续轮换。
验证结果
保存成功后,云账户会出现在列表中。你可以用下面方式确认它是否能继续用于证书申请:
- 云账户状态显示为启用。
- 用途中包含 DNS 解析。
- 打开 域名管理 新增域名时,能在“云账户 DNS 能力”里选择这个账户。
- 选择该账户后,系统能查询到厂商域名列表,或至少允许你手动输入域名。
如果域名管理页面提示“当前没有可用 DNS 能力”,通常说明云账户没有开启 DNS 解析用途,或者该厂商本身不支持 DNS 能力。
常见失败
- AccessKey 或 Secret 填反,接口会返回认证失败。
- 访问凭据只读,无法创建 TXT 验证记录。
- 选择了错误服务商,系统找不到目标 DNS 区域。
- 子账号缺少部分 DNS 权限,列表能读取但写入失败。
- Cloudflare 使用 Global API Key 时邮箱未填写;使用 API Token 时 Token 权限不足。
- 区域或 Endpoint 被错误覆盖,导致接口请求打到错误地址。
- 账户被停用后,域名和证书预检查仍会找不到可用 DNS 能力。
排查顺序建议从权限开始:先确认凭据能读取 DNS 区域,再确认能创建、更新和删除 _acme-challenge TXT 记录。
下一步
继续 添加域名,把需要签发证书的域名纳入管理。
最后编辑于