Når du bruger ACME-protokol for at bestille certifikater fra SSL.com validerer vi din kontrol med domænenavnet (e) i din certifikatanmodning med en "udfordring", der kræver, at du enten foretager en verificerbar ændring af dit websted eller DNS-poster. Denne FAQ dækker fordele og ulemper forbundet med de udfordringstyper, der understøttes af SSL.com: HTTP-01 og DNS-01.
HTTP-01 udfordring
HTTP-01-udfordringen kræver, at du eller din ACME-klient opretter en fil, der indeholder et tilfældigt token og fingeraftryk på din kontonøgle på din webserver, hvilket viser kontrol over webstedet til CA. Udfordringen specificerer både indholdet af filen og URL'en, hvor den skal oprettes (som altid vil være forud for .well-known/acme-challenge/
efterfulgt af tokenværdien). Et eksempel manuel HTTP-01 udfordring til example.com
vises nedenfor:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Opret en fil, der kun indeholder disse data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI og gøre den tilgængelig på din webserver på denne webadresse: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryk på Enter for at fortsætte
Fordele og ulemper ved HTTP-01
HTTP-01 er den mest anvendte ACME-udfordringstype, og SSL.com anbefaler det til de fleste brugere. Dens primære fordele er let automatisering for populære webserverplatforme som f.eks Apache og Nginxog manglen på ethvert behov for at konfigurere DNS-poster og vente på, at de udbredes. Der er dog et par begrænsninger, du bør vide om, før du bruger HTTP-01:
- HTTP-01-udfordringen fungerer kun via port
80
, så det kan ikke bruges, hvis denne port er blokeret på din webserver. - Hvis der er flere servere til et domænenavn, skal HTTP-01-udfordringsfilen placeres på dem alle.
DNS-01 udfordring
DNS-01-udfordringen kræver, at du opretter en DNS TXT-post til dit domæne, inklusive et tilfældigt token og fingeraftryk på din kontonøgle, ved _acme-challenge.<YOUR_DOMAIN>
. SSL.coms ACME-server spørger DNS til den post og udsteder certifikatet, hvis den finder et match. Dette er et eksempel manuel DNS-01 udfordring til example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Brug en DNS TXT-post under navnet _acme -challenge.example.com med følgende værdi: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Før du fortsætter, skal du kontrollere, at posten er implementeret. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryk på Enter for at fortsætte
Fordele og ulemper ved DNS-01
DNS-01-udfordringen er sværere at automatisere end HTTP-01, hvilket kræver, at din DNS-udbyder leverer en API til styring af dine DNS-poster. I dette tilfælde skal du også håndtere den potentielle sikkerhedstrussel ved at opbevare DNS API-legitimationsoplysninger på din webserver. Med DNS-01-udfordringen bliver du også nødt til at kontrollere for udbredelse af din post eller konfigurere en forsinkelse i din ACME-klient efter oprettelse af posten. Der er dog flere omstændigheder, hvor du måske vælger DNS-01 frem for HTTP-01:
- Hvis dit domæne har mere end én webserver, behøver du ikke administrere udfordringsfiler på flere servere.
- DNS-01 kan bruges, selvom port
80
er blokeret på din webserver.
Bemærk, at for nogle certifikatanmodninger (f.eks. For en jokertegnindgang sammen med basisdomænenavnet) skal du muligvis oprette flere TXT-poster med det samme navn. Dette er okay at gøre, men du bør rydde op i gamle TXT-poster fra tidligere udfordringer, så DNS-responsstørrelsen ikke bliver for stor til, at serveren kan acceptere.
SSL.com tilbyder en bred vifte af SSL /TLS servercertifikater til HTTPS-websteder.