Amikor a ACME protokoll az SSL.com tanúsítványainak megrendeléséhez egy „kihívással” érvényesítjük a tanúsítványkérelemben szereplő domain név (ek) vezérlését egy „kihívással”, amely megköveteli, hogy ellenőrizhető változtatásokat hajtson végre a webhelyén vagy a DNS rekordokban. Ez a GYIK az SSL.com által támogatott kihívástípusokkal kapcsolatos előnyökkel és hátrányokkal foglalkozik: HTTP-01 és DNS-01.
HTTP-01 kihívás
A HTTP-01 kihívás megkívánja, hogy Ön vagy az ACME-ügyfele hozzon létre egy fájlt, amely véletlenszerű tokent és a fiókkulcs ujjlenyomatát tartalmazza a webkiszolgálón, ezzel bizonyítva a webhely felett az irányítást a CA-nál. A kihívás megadja a fájl tartalmát és az URL-t, ahova létre kell hozni (amely mindig előtaggal lesz ellátva .well-known/acme-challenge/
, amelyet a token érték követ). Példa manuális HTTP-01 kihívásra example.com
az alább látható:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Hozzon létre egy fájlt, amely csak ezeket az adatokat tartalmazza: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI És tegye elérhetővé webkiszolgálóján ezen az URL-címen: - - - - - - - - - - - - - - - - - - - - - A folytatáshoz nyomja meg az Enter billentyűt
A HTTP-01 előnyei és hátrányai
A HTTP-01 a leggyakrabban használt ACME kihívástípus, és az SSL.com ajánlja a legtöbb felhasználó számára. Elsődleges előnyei a könnyű webszerver-platformok automatizálásának egyszerűsége Apache és Nginx, valamint a DNS-rekordok konfigurálásának és a terjedésükre való várakozás hiányának. Van néhány korlátozás, amelyről tudnia kell a HTTP-01 használata előtt:
- A HTTP-01 kihívás csak porton keresztül működik
80
, ezért nem használható, ha a port le van tiltva a webkiszolgálón. - Ha egy domainnévhez több kiszolgáló tartozik, akkor a HTTP-01 kihívás fájlt mindegyikre fel kell helyezni.
DNS-01 kihívás
A DNS-01 kihívás megköveteli, hogy hozzon létre egy DNS TXT rekordot a domainjéhez, beleértve egy véletlen tokent és a fiókkulcs ujjlenyomatát a következő címen: _acme-challenge.<YOUR_DOMAIN>
. Az SSL.com ACME szervere lekérdezi a DNS-t az adott rekord iránt, és kiadja a tanúsítványt, ha talál egyezést. Ez egy példa a DNS-01 manuális kihívására example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Kérjük, telepítsen egy DNS TXT rekordot _acme néven -challenge.example.com a következő értékkel: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo A folytatás előtt ellenőrizze a rekord telepítését. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - A folytatáshoz nyomja meg az Enter billentyűt
A DNS-01 előnyei és hátrányai
A DNS-01 kihívást nehezebb automatizálni, mint a HTTP-01-et, ezért a DNS-szolgáltatónak meg kell adnia egy API-t a DNS-rekordok kezeléséhez. Ebben az esetben meg kell küzdenie a DNS-API hitelesítő adatok webkiszolgálón való tartásával járó lehetséges biztonsági fenyegetésekkel is. A DNS-01 kihívással ellenőriznie kell a rekord terjedését, vagy konfigurálnia kell az ACME kliens késleltetését a rekord létrehozása után. Számos esetben azonban a DNS-01-et választhatja a HTTP-01 helyett:
- Ha domainjében több egy webkiszolgáló van, akkor nem kell több kiszolgálón kezelnie a kihívásfájlokat.
- A DNS-01 akkor is használható, ha port
80
blokkolva van a webkiszolgálón.
Ne feledje, hogy egyes tanúsítványkérésekhez (például egy helyettesítő karakteres bejegyzéshez az alaptartománynévvel együtt) több TXT rekordot kell létrehoznia ugyanazzal a névvel. Ez rendben van, de meg kell tisztítania a korábbi TXT rekordokat a korábbi kihívásoktól, hogy a DNS-válaszméret ne nőjön túl nagyra ahhoz, hogy a szerver elfogadja.
Az SSL.com széles skáláját kínálja SSL /TLS szerver tanúsítványok HTTPS webhelyekhez.