Když používáte Protokol ACME Chcete-li objednat certifikáty z SSL.com, ověříme vaši kontrolu nad názvy domén v žádosti o certifikát pomocí „výzvy“, která bude vyžadovat provedení ověřitelné změny na vašem webu nebo v záznamech DNS. Tato FAQ pokrývá výhody a nevýhody spojené s typy výzev podporovaných SSL.com: HTTP-01 a DNS-01.
Výzva HTTP-01
Výzva HTTP-01 vyžaduje, abyste vy nebo váš klient ACME vytvořili soubor obsahující náhodný token a otisk klíče vašeho účtu na vašem webovém serveru, což prokáže kontrolu nad webem CA. Výzva určuje jak obsah souboru, tak adresu URL, na které by měl být vytvořen (před kterou bude vždy uvedena předpona) .well-known/acme-challenge/
, následovaná hodnotou tokenu). Příklad manuální výzvy HTTP-01 pro example.com
je zobrazeno níže:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vytvořte soubor obsahující pouze tato data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI A zpřístupnit jej na svém webovém serveru na této adrese URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHkkbibi - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Pokračujte stisknutím klávesy Enter
Výhody a nevýhody protokolu HTTP-01
HTTP-01 je nejčastěji používaný typ výzvy ACME a SSL.com jej doporučuje pro většinu uživatelů. Jeho primární výhodou je snadnost automatizace pro populární platformy webových serverů, jako je Apache a Nginxa nedostatek potřeby konfigurovat záznamy DNS a čekat na jejich šíření. Před použitím protokolu HTTP-01 byste však měli vědět o několika omezeních:
- Výzva HTTP-01 funguje pouze přes port
80
, takže jej nelze použít, pokud je tento port na vašem webovém serveru blokován. - Pokud pro název domény existuje více serverů, musí být soubor výzvy HTTP-01 umístěn na všechny z nich.
Výzva DNS-01
Výzva DNS-01 vyžaduje, abyste pro svou doménu vytvořili záznam DNS TXT, včetně náhodného tokenu a otisku klíče vašeho účtu, na _acme-challenge.<YOUR_DOMAIN>
. Server ACME SSL.com se dotazuje DNS na tento záznam a vydá certifikát, pokud najde shodu. Toto je příklad manuální výzvy DNS-01 pro example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Prosím nasaďte DNS TXT záznam pod jménem _acme -challenge.example.com s následující hodnotou: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Než budete pokračovat, ověřte, zda je záznam nasazen. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Stisknutím klávesy Enter pokračujte
Výhody a nevýhody DNS-01
Výzva DNS-01 je obtížnější automatizovat než HTTP-01, což vyžaduje, aby váš poskytovatel DNS poskytl API pro správu vašich záznamů DNS. V tomto případě budete také muset vypořádat s potenciální bezpečnostní hrozbou udržení pověření DNS API na vašem webovém serveru. S výzvou DNS-01 budete také muset po vytvoření záznamu zkontrolovat šíření vašeho záznamu nebo nakonfigurovat zpoždění v klientovi ACME. Existuje však několik okolností, kdy můžete zvolit DNS-01 přes HTTP-01:
- Pokud má vaše doména více než jeden webový server, nebudete muset spravovat soubory výzev na více serverech.
- DNS-01 lze použít, i když je port
80
je na vašem webovém serveru blokován.
Upozorňujeme, že pro některé žádosti o certifikát (například pro položku se zástupnými znaky spolu se základním názvem domény) bude pravděpodobně nutné vytvořit více záznamů TXT se stejným názvem. To je v pořádku, ale měli byste vyčistit staré záznamy TXT z předchozích výzev, aby velikost odpovědi DNS nerostla příliš velká na to, aby ji server mohl přijmout.
SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro webové stránky HTTPS.