Όταν χρησιμοποιείτε το Πρωτόκολλο ACME Για να παραγγείλετε πιστοποιητικά από το SSL.com, επικυρώνουμε τον έλεγχο των ονομάτων τομέα στο αίτημα πιστοποιητικού σας με μια «πρόκληση» που θα απαιτεί από εσάς να κάνετε μια επαληθεύσιμη αλλαγή στον ιστότοπό σας ή στις εγγραφές DNS. Αυτό το FAQ καλύπτει τα πλεονεκτήματα και τα μειονεκτήματα που σχετίζονται με τους τύπους πρόκλησης που υποστηρίζονται από το SSL.com: HTTP-01 και DNS-01.
Πρόκληση HTTP-01
Η πρόκληση HTTP-01 απαιτεί από εσάς ή τον πελάτη σας ACME να δημιουργήσετε ένα αρχείο που περιέχει ένα τυχαίο διακριτικό και δακτυλικό αποτύπωμα του κλειδιού του λογαριασμού σας στον διακομιστή ιστού σας, αποδεικνύοντας τον έλεγχο του ιστότοπου στην ΑΠ. Η πρόκληση καθορίζει τόσο τα περιεχόμενα του αρχείου, όσο και τη διεύθυνση URL όπου θα πρέπει να δημιουργηθεί (με το οποίο θα υπάρχει πάντα πρόθεμα .well-known/acme-challenge/
, ακολουθούμενη από την τιμή του διακριτικού). Ένα παράδειγμα χειροκίνητης πρόκλησης HTTP-01 για example.com
φαίνεται παρακάτω:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Δημιουργήστε ένα αρχείο που περιέχει μόνο αυτά τα δεδομένα: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Και να είναι διαθέσιμο στο web server σας σε αυτό το URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Πατήστε Enter για να συνεχίσετε
Πλεονεκτήματα και μειονεκτήματα του HTTP-01
Το HTTP-01 είναι ο τύπος πρόκλησης ACME που χρησιμοποιείται πιο συχνά και το SSL.com το προτείνει για τους περισσότερους χρήστες. Τα κύρια πλεονεκτήματά του είναι η ευκολία αυτοματισμού για δημοφιλείς πλατφόρμες διακομιστών ιστού όπως Apache και Nginx, και την έλλειψη οποιασδήποτε ανάγκης διαμόρφωσης εγγραφών DNS και περιμένετε να εξαπλωθούν. Ωστόσο, υπάρχουν μερικοί περιορισμοί που πρέπει να γνωρίζετε πριν χρησιμοποιήσετε το HTTP-01:
- Η πρόκληση HTTP-01 λειτουργεί μόνο μέσω θύρας
80
, οπότε δεν μπορεί να χρησιμοποιηθεί εάν αυτή η θύρα είναι αποκλεισμένη στον διακομιστή ιστού σας. - Εάν υπάρχουν πολλοί διακομιστές για ένα όνομα τομέα, το αρχείο πρόκλησης HTTP-01 πρέπει να τοποθετηθεί σε όλους.
Πρόκληση DNS-01
Η πρόκληση DNS-01 απαιτεί από εσάς να δημιουργήσετε μια εγγραφή DNS TXT για τον τομέα σας, συμπεριλαμβανομένου ενός τυχαίου διακριτικού και δακτυλικού αποτυπώματος του κλειδιού του λογαριασμού σας, στη διεύθυνση _acme-challenge.<YOUR_DOMAIN>
. Ο διακομιστής ACME του SSL.com θα υποβάλει ερώτημα για DNS για αυτήν την εγγραφή και θα εκδώσει το πιστοποιητικό εάν εντοπίσει αντιστοιχία. Αυτό είναι ένα παράδειγμα μη αυτόματης πρόκλησης DNS-01 για example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Παρακαλούμε αναπτύξτε μια εγγραφή DNS TXT με το όνομα _acme -challenge.example.com με την ακόλουθη τιμή: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Πριν συνεχίσετε, επαληθεύστε ότι η εγγραφή έχει αναπτυχθεί. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Πατήστε Enter για να συνεχίσετε
Πλεονεκτήματα και μειονεκτήματα του DNS-01
Η πρόκληση DNS-01 είναι πιο δύσκολο να αυτοματοποιηθεί από το HTTP-01, απαιτώντας από τον πάροχο DNS σας να παρέχει ένα API για τη διαχείριση των εγγραφών DNS. Σε αυτήν την περίπτωση, θα πρέπει επίσης να αντιμετωπίσετε τη δυνητική απειλή ασφάλειας της διατήρησης διαπιστευτηρίων API DNS στον διακομιστή ιστού σας. Με την πρόκληση DNS-01, θα χρειαστεί επίσης να ελέγξετε για διάδοση της εγγραφής σας ή να ρυθμίσετε μια καθυστέρηση στον πελάτη ACME μετά τη δημιουργία της εγγραφής. Ωστόσο, υπάρχουν αρκετές περιπτώσεις όπου μπορείτε να επιλέξετε DNS-01 έναντι HTTP-01:
- Εάν ο τομέας σας διαθέτει περισσότερους από έναν διακομιστές ιστού, δεν θα χρειαστεί να διαχειριστείτε αρχεία πρόκλησης σε πολλούς διακομιστές.
- Το DNS-01 μπορεί να χρησιμοποιηθεί ακόμη και αν η θύρα
80
αποκλείεται στον διακομιστή ιστού σας.
Λάβετε υπόψη ότι για ορισμένα αιτήματα πιστοποιητικών (όπως για μια καταχώριση μπαλαντέρ μαζί με το βασικό όνομα τομέα), ενδέχεται να χρειαστεί να δημιουργήσετε πολλές εγγραφές TXT με το ίδιο όνομα. Αυτό είναι εντάξει, αλλά θα πρέπει να καθαρίσετε παλιές εγγραφές TXT από προηγούμενες προκλήσεις, έτσι ώστε το μέγεθος απόκρισης DNS να μην μεγαλώσει πολύ για να αποδεχθεί ο διακομιστής.
Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS.