Когато използвате Протокол ACME за да поръчате сертификати от SSL.com, ние потвърждаваме контрола ви върху имената на домейна в заявката ви за сертификат с „предизвикателство“, което ще изисква от вас да извършите проверима промяна на вашия уебсайт или DNS записи. Този често задаван въпрос обхваща предимствата и недостатъците, свързани с типовете предизвикателства, поддържани от SSL.com: HTTP-01 и DNS-01.
Предизвикателство HTTP-01
Предизвикателството HTTP-01 изисква от вас или от вашия ACME клиент да създадете файл, съдържащ произволен маркер и пръстов отпечатък на вашия ключ на акаунта на вашия уеб сървър, доказващ контрола върху уебсайта на CA. Предизвикателството определя както съдържанието на файла, така и URL адреса, където трябва да бъде създаден (който винаги ще има префикс с .well-known/acme-challenge/, последвано от стойността на символа). Примерен ръчен HTTP-01 предизвикателство за example.com е показано по-долу:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Създайте файл, съдържащ само тези данни: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI И го направете достъпно на вашия уеб сървър на този URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Натиснете Enter, за да продължите
Предимства и недостатъци на HTTP-01
HTTP-01 е най-често използваният тип предизвикателство ACME и SSL.com го препоръчва за повечето потребители. Неговите основни предимства са лекотата на автоматизация за популярни уеб сървърни платформи като Apache и Nginxи липсата на необходимост от конфигуриране на DNS записи и изчакване на разпространението им. Има обаче няколко ограничения, за които трябва да знаете, преди да използвате HTTP-01:
- Предизвикателството HTTP-01 работи само през порт
80, така че не може да се използва, ако този порт е блокиран на вашия уеб сървър. - Ако има няколко сървъра за име на домейн, файлът за предизвикателство HTTP-01 трябва да бъде поставен на всички тях.
DNS-01 Предизвикателство
Предизвикателството DNS-01 изисква да създадете DNS TXT запис за вашия домейн, включително произволен маркер и пръстов отпечатък на ключа на вашия акаунт, на _acme-challenge.<YOUR_DOMAIN>. Сървърът на ACLE на SSL.com ще поиска DNS за този запис и ще издаде сертификата, ако намери съвпадение. Това е примерно ръчно предизвикателство за DNS-01 example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Моля, внедрете DNS TXT запис под името _acme -challenge.example.com със следната стойност: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Преди да продължите, проверете дали записът е разположен. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Натиснете Enter, за да продължите
Предимства и недостатъци на DNS-01
Предизвикателството DNS-01 е по-трудно да се автоматизира от HTTP-01, което изисква вашият DNS доставчик да предостави API за управление на вашите DNS записи. В този случай ще трябва да се справите и с потенциалната заплаха за сигурността от запазването на идентификационните данни на DNS API на вашия уеб сървър. С предизвикателството DNS-01 също ще трябва да проверите за разпространение на вашия запис или да конфигурирате забавяне във вашия ACME клиент след създаването на записа. Има обаче няколко обстоятелства, при които можете да изберете DNS-01 пред HTTP-01:
- Ако вашият домейн има повече от един уеб сървър, няма да се налага да управлявате предизвикателни файлове на множество сървъри.
- DNS-01 може да се използва, дори ако порт
80е блокиран на вашия уеб сървър.
Имайте предвид, че за някои заявки за сертификати (например за заместващ запис заедно с името на основния домейн), може да се наложи да създадете множество TXT записи с едно и също име. Това е добре да се направи, но трябва да почистите старите TXT записи от предишни предизвикателства, така че размерът на DNS отговора да не нараства твърде голям, за да може сървърът да приеме.
SSL.com предоставя голямо разнообразие от SSL /TLS сървърни сертификати за HTTPS уебсайтове.
