Kun käytät ACME-protokolla jotta voimme tilata varmenteita SSL.com: lta, vahvistamme varmennepyyntösi verkkotunnusten hallinnan "haasteen" avulla, joka vaatii sinua tekemään todennettavissa olevat muutokset verkkosivustoosi tai DNS-tietueisiin. Tämä UKK kattaa edut ja haitat, jotka liittyvät SSL.com: n tukemiin haastetyyppeihin: HTTP-01 ja DNS-01.
HTTP-01-haaste
HTTP-01-haaste vaatii sinua tai ACME-asiakastasi luomaan tiedoston, joka sisältää satunnaisen tunnuksen ja tiliavain sormenjäljen Web-palvelimellasi, mikä todistaa verkkosivuston hallinnan CA: lle. Haaste määrittää sekä tiedoston sisällön että URL-osoitteen, johon se tulisi luoda (joka aina lisätään etuliitteellä .well-known/acme-challenge/, jota seuraa tunnuksen arvo). Esimerkki manuaalisesta HTTP-01-haasteesta example.com näkyy alla:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Luo tiedosto, joka sisältää vain nämä tiedot: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Ja tee se saataville Web-palvelimellesi tällä URL-osoitteella: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Paina Enter jatkaaksesi
HTTP-01: n edut ja haitat
HTTP-01 on yleisimmin käytetty ACME-haastetyyppi, ja SSL.com suosittelee sitä useimmille käyttäjille. Sen tärkeimmät edut ovat automatisoinnin helppous suosituille verkkopalvelinympäristöille, kuten Apache ja Nginxja tarvetta määrittää DNS-tietueita ja odottaa niiden etenemistä. On kuitenkin olemassa muutamia rajoituksia, joista sinun tulisi tietää ennen HTTP-01: n käyttöä:
- HTTP-01-haaste toimii vain portin yli
80, joten sitä ei voida käyttää, jos tämä portti on estetty verkkopalvelimellasi. - Jos verkkotunnukselle on useita palvelimia, HTTP-01-haastetiedosto on asetettava niihin kaikkiin.
DNS-01-haaste
DNS-01-haaste edellyttää, että luot verkkotunnuksellesi DNS TXT -tietueen, mukaan lukien satunnaisen tunnuksen ja tiliavain sormenjäljen, osoitteessa _acme-challenge.<YOUR_DOMAIN>. SSL.com: n ACME-palvelin kysyy DNS: ltä tietueen ja antaa varmenteen, jos se löytää vastaavuuden. Tämä on esimerkki manuaalisesta DNS-01-haasteesta example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Ota käyttöön DNS TXT -tietue nimellä _acme -challenge.example.com, jolla on seuraava arvo: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Varmista ennen jatkamista, että tietue on otettu käyttöön. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Jatka painamalla Enter
DNS-01: n edut ja haitat
DNS-01-haastetta on vaikeampaa automatisoida kuin HTTP-01, mikä edellyttää, että DNS-palveluntarjoajasi toimittaa API-tietueiden hallintaa varten. Tässä tapauksessa sinun on myös käsiteltävä mahdollinen tietoturvauhka, joka aiheutuu DNS-sovellusliittymän kirjautumistietojen pitämisestä verkkopalvelimellasi. DNS-01-haasteen avulla sinun on myös tarkistettava tietueesi eteneminen tai määritettävä viive ACME-asiakkaaseen tietueen luomisen jälkeen. On kuitenkin olemassa useita olosuhteita, joissa voit valita DNS-01: n HTTP-01: n sijaan:
- Jos verkkotunnuksessasi on enemmän kuin yksi verkkopalvelin, sinun ei tarvitse hallita haastetiedostoja useilla palvelimilla.
- DNS-01 voidaan käyttää, vaikka portti
80on estetty verkkopalvelimellasi.
Huomaa, että joillekin varmentepyynnöille (kuten jokerimerkinnälle yhdessä perusverkkotunnuksen kanssa) on ehkä luotava useita TXT-tietueita samalla nimellä. Tämä on hyvä tehdä, mutta sinun tulisi puhdistaa vanhat TXT-tietueet aiemmista haasteista, jotta DNS-vastauksen koko ei kasva liian suureksi palvelimen hyväksymiseksi.
SSL.com tarjoaa laajan valikoiman SSL /TLS palvelinvarmenteet HTTPS-verkkosivustoille.
