Hvilken ACME-udfordringstype skal jeg bruge? HTTP-01 eller DNS-01?

Er du ikke sikker på, om du skal bruge HTTP-01 eller DNS-01 ACME-udfordringen? Denne FAQ beskriver fordele og ulemper ved begge DV-metoder.

Lignende indhold

Vil du blive ved med at lære?

Tilmeld dig SSL.com's nyhedsbrev, bliv informeret og sikker.

Når du bruger ACME-protokol for at bestille certifikater fra SSL.com validerer vi din kontrol med domænenavnet (e) i din certifikatanmodning med en "udfordring", der kræver, at du enten foretager en verificerbar ændring af dit websted eller DNS-poster. Denne FAQ dækker fordele og ulemper forbundet med de udfordringstyper, der understøttes af SSL.com: HTTP-01 og DNS-01.

HTTP-01 udfordring

HTTP-01-udfordringen kræver, at du eller din ACME-klient opretter en fil, der indeholder et tilfældigt token og fingeraftryk på din kontonøgle på din webserver, hvilket viser kontrol over webstedet til CA. Udfordringen specificerer både indholdet af filen og URL'en, hvor den skal oprettes (som altid vil være forud for .well-known/acme-challenge/efterfulgt af tokenværdien). Et eksempel manuel HTTP-01 udfordring til example.com vises nedenfor:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Opret en fil, der kun indeholder disse data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI og gøre den tilgængelig på din webserver på denne webadresse: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryk på Enter for at fortsætte

Fordele og ulemper ved HTTP-01

HTTP-01 er den mest anvendte ACME-udfordringstype, og SSL.com anbefaler det til de fleste brugere. Dens primære fordele er let automatisering for populære webserverplatforme som f.eks Apache og Nginxog manglen på ethvert behov for at konfigurere DNS-poster og vente på, at de udbredes. Der er dog et par begrænsninger, du bør vide om, før du bruger HTTP-01:

  • HTTP-01-udfordringen fungerer kun via port 80, så det kan ikke bruges, hvis denne port er blokeret på din webserver.
  • Hvis der er flere servere til et domænenavn, skal HTTP-01-udfordringsfilen placeres på dem alle.

DNS-01 udfordring

DNS-01-udfordringen kræver, at du opretter en DNS TXT-post til dit domæne, inklusive et tilfældigt token og fingeraftryk på din kontonøgle, ved _acme-challenge.<YOUR_DOMAIN>. SSL.coms ACME-server spørger DNS til den post og udsteder certifikatet, hvis den finder et match. Dette er et eksempel manuel DNS-01 udfordring til example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Brug en DNS TXT-post under navnet _acme -challenge.example.com med følgende værdi: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Før du fortsætter, skal du kontrollere, at posten er implementeret. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryk på Enter for at fortsætte

Fordele og ulemper ved DNS-01

DNS-01-udfordringen er sværere at automatisere end HTTP-01, hvilket kræver, at din DNS-udbyder leverer en API til styring af dine DNS-poster. I dette tilfælde skal du også håndtere den potentielle sikkerhedstrussel ved at opbevare DNS API-legitimationsoplysninger på din webserver. Med DNS-01-udfordringen bliver du også nødt til at kontrollere for udbredelse af din post eller konfigurere en forsinkelse i din ACME-klient efter oprettelse af posten. Der er dog flere omstændigheder, hvor du måske vælger DNS-01 frem for HTTP-01:

  • Hvis dit domæne har mere end én webserver, behøver du ikke administrere udfordringsfiler på flere servere.
  • DNS-01 kan bruges, selvom port 80 er blokeret på din webserver.

Bemærk, at for nogle certifikatanmodninger (f.eks. For en jokertegnindgang sammen med basisdomænenavnet) skal du muligvis oprette flere TXT-poster med det samme navn. Dette er okay at gøre, men du bør rydde op i gamle TXT-poster fra tidligere udfordringer, så DNS-responsstørrelsen ikke bliver for stor til, at serveren kan acceptere.

SSL.com tilbyder en bred vifte af SSL /TLS servercertifikater til HTTPS-websteder.

SAMMENLIG SSL /TLS CERTIFIKATER

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.