Wenn Sie die ACME-Protokoll Um Zertifikate bei SSL.com zu bestellen, überprüfen wir Ihre Kontrolle über die Domainnamen in Ihrer Zertifikatsanforderung mit einer „Herausforderung“, bei der Sie entweder eine überprüfbare Änderung an Ihrer Website oder an DNS-Einträgen vornehmen müssen. Diese FAQ behandelt die Vor- und Nachteile der von SSL.com unterstützten Herausforderungstypen: HTTP-01 und DNS-01.
HTTP-01 Herausforderung
Für die HTTP-01-Herausforderung müssen Sie oder Ihr ACME-Client eine Datei erstellen, die ein zufälliges Token und einen Fingerabdruck Ihres Kontoschlüssels auf Ihrem Webserver enthält, um der Zertifizierungsstelle die Kontrolle über die Website zu beweisen. Die Herausforderung gibt sowohl den Inhalt der Datei als auch die URL an, unter der sie erstellt werden soll (der immer ein Präfix vorangestellt wird) .well-known/acme-challenge/, gefolgt vom Token-Wert). Ein Beispiel für eine manuelle HTTP-01-Herausforderung für example.com wird unten gezeigt:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Erstellen Sie eine Datei, die nur diese Daten enthält: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Und stellen Sie es auf Ihrem Webserver unter folgender URL zur Verfügung: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7 - HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Drücken Sie die Eingabetaste, um fortzufahren
Vor- und Nachteile von HTTP-01
HTTP-01 ist der am häufigsten verwendete ACME-Herausforderungstyp, und SSL.com empfiehlt ihn für die meisten Benutzer. Die Hauptvorteile sind die einfache Automatisierung für gängige Webserverplattformen wie Apache und Nginxund das Fehlen jeglicher Notwendigkeit, DNS-Einträge zu konfigurieren und darauf zu warten, dass sie sich verbreiten. Es gibt jedoch einige Einschränkungen, die Sie kennen sollten, bevor Sie HTTP-01 verwenden:
- Die HTTP-01-Challenge funktioniert nur über den Port
80Daher kann es nicht verwendet werden, wenn dieser Port auf Ihrem Webserver blockiert ist. - Wenn für einen Domänennamen mehrere Server vorhanden sind, muss die HTTP-01-Herausforderungsdatei auf allen Servern abgelegt werden.
DNS-01-Herausforderung
Für die DNS-01-Herausforderung müssen Sie einen DNS-TXT-Eintrag für Ihre Domain erstellen, einschließlich eines zufälligen Tokens und eines Fingerabdrucks Ihres Kontoschlüssels unter _acme-challenge.<YOUR_DOMAIN>. Der ACME-Server von SSL.com fragt DNS nach diesem Eintrag ab und stellt das Zertifikat aus, wenn eine Übereinstimmung gefunden wird. Dies ist ein Beispiel für eine manuelle DNS-01-Herausforderung für example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Bitte stellen Sie einen DNS-TXT-Eintrag unter dem Namen _acme bereit -challenge.example.com mit dem folgenden Wert: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Bevor Sie fortfahren, überprüfen Sie, ob der Datensatz bereitgestellt wurde. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Drücken Sie die Eingabetaste, um fortzufahren
Vor- und Nachteile von DNS-01
Die DNS-01-Herausforderung ist schwieriger zu automatisieren als HTTP-01. Daher muss Ihr DNS-Anbieter eine API zur Verwaltung Ihrer DNS-Einträge bereitstellen. In diesem Fall müssen Sie sich auch mit der potenziellen Sicherheitsbedrohung befassen, DNS-API-Anmeldeinformationen auf Ihrem Webserver zu behalten. Bei der DNS-01-Herausforderung müssen Sie außerdem nach dem Erstellen des Datensatzes überprüfen, ob sich Ihr Datensatz verbreitet oder eine Verzögerung in Ihrem ACME-Client konfiguriert hat. Es gibt jedoch verschiedene Umstände, unter denen Sie DNS-01 anstelle von HTTP-01 auswählen können:
- Wenn Ihre Domain mehr als einen Webserver hat, müssen Sie Challenge-Dateien nicht auf mehreren Servern verwalten.
- DNS-01 kann auch bei Port verwendet werden
80ist auf Ihrem Webserver blockiert.
Beachten Sie, dass Sie für einige Zertifikatanforderungen (z. B. für einen Platzhaltereintrag zusammen mit dem Basisdomänennamen) möglicherweise mehrere TXT-Einträge mit demselben Namen erstellen müssen. Dies ist in Ordnung, aber Sie sollten alte TXT-Einträge von früheren Herausforderungen bereinigen, damit die DNS-Antwortgröße nicht zu groß wird, als dass der Server sie akzeptieren könnte.
SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.
