Übersicht über die Domänenkontrollvalidierung (auch bekannt als DV- oder Domänenvalidierung)
Um das Eigentum oder die Berechtigung zum Erwerb eines SSL-Zertifikats für eine bestimmte Domain festzustellen, muss ein Nachweis über die Kontrolle über die Domain erbracht werden.
Die Domänenkontrollvalidierung (DCV) kann mit den folgenden Methoden eingerichtet werden:
Alle SSL /TLS Zertifikate, einschließlich DV (Domain Validated), OV (Organization Validated) und EV (Extended Validation) Zertifikate erfordern, dass eine dieser Validierungsmethoden vor der Ausstellung erfolgreich durchgeführt wird.
Für UCC (auch als SAN oder Subject Alternative Name bekannt) SSL /TLS Zertifikate, Domain-Validierung muss durchgeführt werden jede Domain enthaltenunter Verwendung einer der oben aufgeführten Methoden (oder einer Kombination dieser Methoden).
Bei einer UCC-Bestellung muss für alle aufgelisteten Domänen eine Validierungsmethode ausgewählt sein und auf die Schaltfläche „Validieren“ geklickt werden, um den Domänenvalidierungsprozess zu starten.
Wenn Sie versuchen, eine Domain zu validieren, die nicht öffentlich antwortet, leiten Sie vorübergehend zu einer Domain um, die http/http-Datei-Upload unterstützt, oder verwenden Sie die cname-Validierung.
Sie können mehr darüber lesen Validierungsanforderungen von SSL.com hier.
E-Mail-Challenge-Antwort
Bei der Bestellung wird eine E-Mail an eine autorisierte E-Mail-Adresse gesendet, die während des Bestellvorgangs ausgewählt wurde. In dieser E-Mail ist ein Link enthalten, dem der Empfänger der E-Mail folgen und einen in der E-Mail enthaltenen Validierungscode eingeben kann. Nach Abschluss dieses Vorgangs wurde die Domänensteuerung eingerichtet.
Die akzeptierte Liste der E-Mail-Adressen für eine Domain, an die SSL.com die DCV-E-Mail senden darf, lautet wie folgt:
- webmaster @
- Hostmaster @
- Postmeister@
- admin @
- Administrator@
- Domänenkontakte (Registrant für Domänennamen, technischer Kontakt oder administrativer Kontakt) sind im WHOIS-Datensatz der Basisdomäne aufgeführt.
Dateisuche über HTTP / HTTPS
Diese Methode erfordert das Platzieren einer Datei auf der Website, die geschützt werden soll.
Die Datei wird aus zwei Hashes der Zertifikatsignierungsanforderung erstellt (CSR) und Hochladen einer Textdatei mit diesen Informationen an einen bestimmten Speicherort auf dem Server. Die Datei enthält den MD5-Hash für einen Namen mit dem SHA-256-Hash als erster Zeile des Inhalts der Datei. Die nächste Zeile der Datei enthält den Begriff "ssl.com", während die letzte Zeile der Datei ein eindeutiges Token enthält. Alle tatsächlichen Hash- und Zufallswerte werden Ihnen über das Benutzerportal angezeigt.
Zum Beispiel für einen neuen CSR wird für den Domainnamen erstellt www.yoursite.tld
, wo der MD5-Hash des CSR ist:
8593532A8FA01E6CEBB0B7E85E510D0F
der SHA-256-Hash für die CSR ist:
c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f
und das eindeutige Token für die Bestellung lautet:
10TmfZdb9tj
Dann würde die DCV-Datei benannt 8593532A8FA01E6CEBB0B7E85E510D0F.txt
und hätte den Inhalt:
c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f ssl.com 10TmfZdb9tj
Auf die Datei muss über HTTP am Port zugegriffen werden können 80
oder über HTTPS am Port 443
. SSL.com prüft, ob diese Datei vorhanden ist, um die Validierung der Domänensteuerung zu erfüllen. Die Datei kann in keiner Weise geändert oder über Umleitung oder andere erreicht werden .htaccess
Richtlinien. Die Datei muss in der .well-known/pki-validation/
Ordner auf Ihrer Domain. Sie müssen diesen Ordner erstellen.
In diesem Beispiel sollte die DCV-Datei hier platziert werden:
http://www.yoursite.tld/.well-known/pki-validation/8593532A8FA01E6CEBB0B7E85E510D0F.txt
Nachdem eine Bestellung erfolgreich aufgegeben wurde, sucht der automatisierte Server von SSL.com am oben genannten Speicherort nach dieser Datei. Wenn die Datei angezeigt werden kann, ist die Überprüfung der Domänensteuerung erfüllt.
Um die DCV-Datei herunterzuladen, klicken Sie zuerst auf Validierung durchführen Link, befindet sich in der Action Spalte der Bestellungen Tab zum Öffnen der Domain Gültigkeit
Die Datei kann unter heruntergeladen werden Validierungs-Hashes.
DNS-CNAME-Suche nach Domain
Bei dieser Methode müssen Sie einen CNAME-Eintrag im DNS-Eintrag Ihrer Domain erstellen, der auf ssl.com verweist (und in einigen Fällen auf comodoca für verkettete Comodo-Zertifikate). Ein MD5-Hash sowie ein SHA-256-Hash des CSR sind für diesen CNAME-Eintrag sowie ein eindeutiges Token erforderlich.
Alle diese Werte sind bei der erhältlich Domain Gültigkeit Seite in Ihrem Benutzerportal. Klicken Sie zuerst auf Validierung durchführen Link, befindet sich in der Action Spalte der Bestellungen Tab zum Öffnen der Domain Gültigkeit
Alle zum Erstellen des CNAME-Eintrags erforderlichen Informationen finden Sie unter Validierungs-Hashes.
Der CNAME-Eintrag sollte folgender Formel folgen:
_ . IN CNAME . .ssl.com
Bitte beachten Sie den erforderlichen Unterstrich am Anfang des Eintrags. Da der SHA-256-Hash 64 Zeichen lang ist, muss er außerdem in zwei 32-Zeichen-Subdomänen aufgeteilt werden. Daher sieht der fertige DNS-Eintrag folgendermaßen aus:
_517835F790CD5BFD248CBD1A9CD54579.yoursite.tld. 14400 IN CNAME 911b64b097e8e42d4179eb2b27452b4.abaaeb0073f872979666894dbce871cb.f08916997c.ssl.com
Alle tatsächlichen Hash- und Zufallswerte werden Ihnen über das Benutzerportal angezeigt.