Cuando se utiliza el Protocolo ACME Para solicitar certificados de SSL.com, validamos su control de los nombres de dominio en su solicitud de certificado con un "desafío" que requerirá que realice un cambio verificable en su sitio web o registros DNS. Estas preguntas frecuentes cubren las ventajas y desventajas asociadas con los tipos de desafío admitidos por SSL.com: HTTP-01 y DNS-01.
Desafío HTTP-01
El desafío HTTP-01 requiere que usted o su cliente ACME creen un archivo que contenga un token aleatorio y una huella digital de su clave de cuenta en su servidor web, demostrando el control del sitio web a la CA. El desafío especifica tanto el contenido del archivo como la URL donde se debe crear (que siempre tendrá el prefijo .well-known/acme-challenge/
, seguido del valor del token). Un ejemplo de desafío HTTP-01 manual para example.com
se muestra a continuación:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Cree un archivo que contenga solo estos datos: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Y hágalo disponible en su servidor web en esta URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Presione Enter para continuar
Ventajas y desventajas de HTTP-01
HTTP-01 es el tipo de desafío ACME más utilizado y SSL.com lo recomienda para la mayoría de los usuarios. Sus principales ventajas son la facilidad de automatización para plataformas de servidor web populares como Apache y Nginxy la falta de necesidad de configurar registros DNS y esperar a que se propaguen. Sin embargo, existen algunas limitaciones que debe conocer antes de usar HTTP-01:
- El desafío HTTP-01 solo funciona en el puerto
80
, por lo que no se puede utilizar si este puerto está bloqueado en su servidor web. - Si hay varios servidores para un nombre de dominio, el archivo de desafío HTTP-01 debe colocarse en todos ellos.
Desafío DNS-01
El desafío DNS-01 requiere que cree un registro TXT de DNS para su dominio, incluido un token aleatorio y una huella digital de la clave de su cuenta, en _acme-challenge.<YOUR_DOMAIN>
. El servidor ACME de SSL.com consultará al DNS para ese registro y emitirá el certificado si encuentra una coincidencia. Este es un ejemplo de desafío DNS-01 manual para example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Implemente un registro TXT de DNS con el nombre _acme -challenge.example.com con el siguiente valor: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Antes de continuar, verifique que el registro esté implementado. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Presione Enter para continuar
Ventajas y desventajas de DNS-01
El desafío DNS-01 es más difícil de automatizar que HTTP-01, y requiere que su proveedor de DNS proporcione una API para administrar sus registros DNS. En este caso, también deberá lidiar con la posible amenaza de seguridad de mantener las credenciales de la API de DNS en su servidor web. Con el desafío DNS-01, también necesitará verificar la propagación de su registro o configurar un retraso en su cliente ACME después de crear el registro. Sin embargo, existen varias circunstancias en las que puede elegir DNS-01 sobre HTTP-01:
- Si su dominio tiene más de un servidor web, no tendrá que administrar archivos de desafío en varios servidores.
- DNS-01 se puede utilizar incluso si el puerto
80
está bloqueado en su servidor web.
Tenga en cuenta que para algunas solicitudes de certificado (como una entrada comodín junto con el nombre de dominio base), es posible que deba crear varios registros TXT con el mismo nombre. Esto está bien, pero debe limpiar los registros TXT antiguos de desafíos anteriores para que el tamaño de la respuesta de DNS no crezca demasiado para que el servidor lo acepte.
SSL.com proporciona una amplia variedad de SSL /TLS certificados de servidor para sitios web HTTPS.