Quando si utilizza il Protocollo ACME per ordinare certificati da SSL.com, convalidiamo il controllo del nome di dominio nella richiesta di certificato con una "verifica" che richiederà di apportare una modifica verificabile al sito Web o ai record DNS. Questa FAQ copre i vantaggi e gli svantaggi associati ai tipi di sfida supportati da SSL.com: HTTP-01 e DNS-01.
Sfida HTTP-01
La verifica HTTP-01 richiede che tu o il tuo client ACME creiate un file contenente un token casuale e un'impronta digitale della chiave dell'account sul server Web, dimostrando il controllo del sito Web alla CA. La sfida specifica sia il contenuto del file, sia l'URL in cui dovrebbe essere creato (che sarà sempre preceduto da .well-known/acme-challenge/
, seguito dal valore del token). Un esempio di sfida HTTP-01 manuale per example.com
è mostrato di seguito:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Crea un file contenente solo questi dati: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI E rendilo disponibile sul tuo server web a questo URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Premere Invio per continuare
Vantaggi e svantaggi di HTTP-01
HTTP-01 è il tipo di sfida ACME più comunemente utilizzato e SSL.com lo consiglia alla maggior parte degli utenti. I suoi principali vantaggi sono la facilità di automazione per piattaforme di server web popolari come Apache e Nginxe la mancanza di qualsiasi necessità di configurare i record DNS e attendere che si propagino. Tuttavia, ci sono alcune limitazioni che dovresti conoscere prima di utilizzare HTTP-01:
- La verifica HTTP-01 funziona solo sulla porta
80
, quindi non può essere utilizzato se questa porta è bloccata sul tuo server web. - Se sono presenti più server per un nome di dominio, il file challenge HTTP-01 deve essere posizionato su tutti.
Sfida DNS-01
La verifica DNS-01 richiede la creazione di un record TXT DNS per il tuo dominio, inclusi un token casuale e l'impronta digitale della chiave dell'account, all'indirizzo _acme-challenge.<YOUR_DOMAIN>
. Il server ACME di SSL.com interrogherà il DNS per quel record e rilascerà il certificato se trova una corrispondenza. Questo è un esempio di sfida DNS-01 manuale per example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Distribuisci un record TXT DNS con il nome _acme -challenge.example.com con il seguente valore: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Prima di continuare, verifica che il record sia distribuito. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Premere Invio per continuare
Vantaggi e svantaggi di DNS-01
La sfida DNS-01 è più difficile da automatizzare rispetto a HTTP-01, poiché richiede che il provider DNS fornisca un'API per la gestione dei record DNS. In questo caso, dovrai anche affrontare la potenziale minaccia alla sicurezza di mantenere le credenziali API DNS sul tuo server web. Con la sfida DNS-01, dovrai anche controllare la propagazione del tuo record o configurare un ritardo nel tuo client ACME dopo aver creato il record. Tuttavia, ci sono diverse circostanze in cui potresti scegliere DNS-01 su HTTP-01:
- Se il tuo dominio ha più di un server web, non dovrai gestire i file challenge su più server.
- DNS-01 può essere utilizzato anche se porta
80
è bloccato sul tuo server web.
Tieni presente che per alcune richieste di certificato (ad esempio per una voce jolly insieme al nome di dominio di base), potrebbe essere necessario creare più record TXT con lo stesso nome. Questo va bene, ma dovresti ripulire i vecchi record TXT dalle sfide precedenti in modo che la dimensione della risposta DNS non cresca troppo per essere accettata dal server.
SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.