Lorsque vous utilisez le Protocole ACME Pour commander des certificats auprès de SSL.com, nous validons votre contrôle du ou des noms de domaine dans votre demande de certificat avec un «défi» qui vous obligera à apporter une modification vérifiable à votre site Web ou à vos enregistrements DNS. Cette FAQ couvre les avantages et les inconvénients associés aux types de défis pris en charge par SSL.com: HTTP-01 et DNS-01.
Défi HTTP-01
Le défi HTTP-01 exige que vous ou votre client ACME créez un fichier contenant un jeton aléatoire et une empreinte digitale de votre clé de compte sur votre serveur Web, prouvant ainsi le contrôle du site Web à l'autorité de certification. Le défi spécifie à la fois le contenu du fichier et l'URL où il doit être créé (qui sera toujours précédé de .well-known/acme-challenge/
, suivi de la valeur du jeton). Un exemple de défi HTTP-01 manuel pour example.com
est illustré ci-dessous:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Créez un fichier contenant uniquement ces données: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Et rendez-le disponible sur votre serveur web à cette URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Appuyez sur Entrée pour continuer
Avantages et inconvénients de HTTP-01
HTTP-01 est le type de défi ACME le plus couramment utilisé, et SSL.com le recommande à la plupart des utilisateurs. Ses principaux avantages sont la facilité d'automatisation des plates-formes de serveurs Web populaires telles que Apache et Nginx, et l'absence de tout besoin de configurer les enregistrements DNS et d'attendre qu'ils se propagent. Cependant, il y a quelques limitations que vous devez connaître avant d'utiliser HTTP-01:
- Le défi HTTP-01 ne fonctionne que sur le port
80
, il ne peut donc pas être utilisé si ce port est bloqué sur votre serveur Web. - S'il existe plusieurs serveurs pour un nom de domaine, le fichier de défi HTTP-01 doit être placé sur chacun d'eux.
Défi DNS-01
Le défi DNS-01 vous oblige à créer un enregistrement DNS TXT pour votre domaine, y compris un jeton aléatoire et une empreinte digitale de votre clé de compte, à _acme-challenge.<YOUR_DOMAIN>
. Le serveur ACME de SSL.com interrogera DNS pour cet enregistrement et émettra le certificat s'il trouve une correspondance. Ceci est un exemple de défi DNS-01 manuel pour example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Veuillez déployer un enregistrement DNS TXT sous le nom _acme -challenge.example.com avec la valeur suivante: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Avant de continuer, vérifiez que l'enregistrement est déployé. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Appuyez sur Entrée pour continuer
Avantages et inconvénients du DNS-01
Le défi DNS-01 est plus difficile à automatiser que HTTP-01, exigeant que votre fournisseur DNS fournisse une API pour gérer vos enregistrements DNS. Dans ce cas, vous devrez également faire face à la menace potentielle de sécurité liée à la conservation des informations d'identification de l'API DNS sur votre serveur Web. Avec le défi DNS-01, vous devrez également vérifier la propagation de votre enregistrement ou configurer un délai dans votre client ACME après la création de l'enregistrement. Cependant, il existe plusieurs circonstances dans lesquelles vous pouvez choisir DNS-01 sur HTTP-01:
- Si votre domaine possède plusieurs serveurs Web, vous n'aurez pas à gérer les fichiers de défi sur plusieurs serveurs.
- DNS-01 peut être utilisé même si le port
80
est bloqué sur votre serveur Web.
Notez que pour certaines demandes de certificat (comme pour une entrée générique avec le nom de domaine de base), vous devrez peut-être créer plusieurs enregistrements TXT avec le même nom. C'est correct à faire, mais vous devez nettoyer les anciens enregistrements TXT des défis précédents afin que la taille de la réponse DNS ne devienne pas trop grande pour que le serveur l'accepte.
SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.