ما نوع تحدي ACME الذي ينبغي علي استخدامه؟ HTTP-01 أو DNS-01؟

عند استخدام بروتوكول ACME لطلب الشهادات من SSL.com ، فإننا نتحقق من تحكمك في اسم (أسماء) المجال في طلب الشهادة الخاص بك من خلال "تحدي" يتطلب منك إما إجراء تغيير يمكن التحقق منه على موقع الويب الخاص بك أو سجلات DNS. تغطي هذه الأسئلة الشائعة المزايا والعيوب المرتبطة بأنواع التحدي التي يدعمها SSL.com: HTTP-01 و DNS-01.

تحدي HTTP-01

يتطلب تحدي HTTP-01 منك أنت أو عميل ACME إنشاء ملف يحتوي على رمز عشوائي وبصمة إصبع لمفتاح حسابك على خادم الويب الخاص بك ، مما يثبت التحكم في موقع الويب إلى CA. يحدّد التحدي كلاً من محتويات الملف وعنوان URL الذي يجب إنشاؤه فيه (والذي سيكون دائمًا مسبوقًا بـ .well-known/acme-challenge/، متبوعة بقيمة الرمز). مثال على تحدي HTTP-01 اليدوي لـ example.com يظهر أدناه:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - إنشاء ملف يحتوي على هذه البيانات فقط: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI واجعله متاحًا على خادم الويب الخاص بك على عنوان URL هذا: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7 --biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - إضغط مفتاح الدخول للاستمرار

مزايا وعيوب HTTP-01

HTTP-01 هو أكثر أنواع تحدي ACME شيوعًا ، ويوصي موقع SSL.com به لمعظم المستخدمين. تتمثل مزاياها الأساسية في سهولة التشغيل الآلي لمنصات خادم الويب الشهيرة مثل اباتشي و Nginx، وعدم وجود أي حاجة لتكوين سجلات DNS وانتظار نشرها. ومع ذلك ، هناك بعض القيود التي يجب أن تعرفها قبل استخدام HTTP-01:

  • لا يعمل تحدي HTTP-01 إلا عبر المنفذ 80، لذلك لا يمكن استخدامه إذا تم حظر هذا المنفذ على خادم الويب الخاص بك.
  • إذا كانت هناك عدة خوادم لاسم المجال ، فيجب وضع ملف التحدي HTTP-01 عليها جميعًا.
اذهب الى القمة

تحدي DNS-01

يتطلب منك تحدي DNS-01 إنشاء سجل DNS TXT لمجالك ، بما في ذلك رمز مميز عشوائي وبصمة إصبع لمفتاح حسابك ، على _acme-challenge.<YOUR_DOMAIN>. سيقوم خادم ACME الخاص بـ SSL.com بالاستعلام عن DNS لهذا السجل ، وسيقوم بإصدار الشهادة إذا وجد تطابقًا. هذا مثال لتحدي DNS-01 اليدوي لـ example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - الرجاء نشر سجل TXT DNS تحت اسم _acme -challenge.example.com بالقيمة التالية: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo قبل المتابعة ، تحقق من نشر السجل. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - إضغط مفتاح الدخول للاستمرار

مزايا وعيوب DNS-01

يعد تحدي DNS-01 أكثر صعوبة في التشغيل الآلي من HTTP-01 ، حيث يتطلب من مزود DNS الخاص بك توفير واجهة برمجة تطبيقات لإدارة سجلات DNS الخاصة بك. في هذه الحالة ، ستحتاج أيضًا إلى التعامل مع التهديد الأمني ​​المحتمل المتمثل في الاحتفاظ ببيانات اعتماد DNS API على خادم الويب الخاص بك. مع تحدي DNS-01 ، ستحتاج أيضًا إلى التحقق من انتشار السجل الخاص بك أو تكوين تأخير في عميل ACME بعد إنشاء السجل. ومع ذلك ، هناك عدة ظروف يمكنك فيها اختيار DNS-01 على HTTP-01:

  • إذا كان نطاقك يحتوي على أكثر من خادم ويب واحد ، فلن تضطر إلى إدارة ملفات التحدي على خوادم متعددة.
  • يمكن استخدام DNS-01 حتى لو كان المنفذ 80 محظور على خادم الويب الخاص بك.

لاحظ أنه بالنسبة لبعض طلبات الشهادات (مثل إدخال حرف بدل مع اسم المجال الأساسي) ، قد تحتاج إلى إنشاء سجلات TXT متعددة بنفس الاسم. هذا أمر جيد ، ولكن يجب عليك تنظيف سجلات TXT القديمة من التحديات السابقة حتى لا يزيد حجم استجابة DNS بشكل كبير جدًا بحيث لا يقبله الخادم.

يوفر SSL.com مجموعة متنوعة من SSL /TLS شهادات الخادم لمواقع HTTPS.

قارن SSL /TLS شهادات

فريق دعم SSL.com

المؤلف - مسؤول المحتوى
جميع المشاركات

الأسئلة الشائعة ذات الصلة

عرض جميع الأسئلة الشائعة

تابعنا

فيسبوك تويتر يوتيوب جيثب

ما هو SSL /TLS?

البدء

اشترك في النشرة الإخبارية لـ SSL.com

لا تفوت المقالات والتحديثات الجديدة من SSL.com

ابق على اطلاع وآمن

SSL.com هي شركة عالمية رائدة في مجال الأمن السيبراني، PKI والشهادات الرقمية. قم بالتسجيل لتلقي آخر أخبار الصناعة والنصائح وإعلانات المنتجات من SSL.com.

نحن نحب ملاحظاتك

شارك في استبياننا وأخبرنا بأفكارك حول عملية الشراء الأخيرة.

خذ المسح