어떤 ACME 챌린지 유형을 사용해야합니까? HTTP-01 또는 DNS-01?

HTTP-01 또는 DNS-01 ACME 챌린지를 사용해야하는지 확실하지 않습니까? 이 FAQ는 두 DV 방법의 장단점을 설명합니다.

관련 콘텐츠

계속 배우고 싶으세요?

ssl.com의 뉴스 레터를 구독하고 정보를 유지하고 안전하게 보관하십시오.

귀하가 ACME 프로토콜 SSL.com에서 인증서를 주문하기 위해 당사는 귀하의 웹 사이트 또는 DNS 레코드를 확인 가능한 변경을해야하는 "도전"을 통해 귀하의 인증서 요청에서 도메인 이름에 대한 귀하의 제어를 검증합니다. 이 FAQ는 SSL.com에서 지원하는 챌린지 유형 (HTTP-01 및 DNS-01)과 관련된 장단점을 다룹니다.

HTTP-01 챌린지

HTTP-01 챌린지에서는 사용자 또는 ACME 클라이언트가 웹 서버에서 계정 키의 임의 토큰과 지문을 포함하는 파일을 생성하여 웹 사이트에 대한 제어 권한을 CA에 증명해야합니다. 챌린지는 파일의 내용과 파일을 만들어야하는 URL (항상 접두사가 붙습니다)을 지정합니다. .well-known/acme-challenge/, 토큰 값). 에 대한 수동 HTTP-01 질문의 예 example.com 아래에 표시됩니다 :

---------------------------------------cr1rsRTImVz_s7HHk7biTQ 데이터 만 포함하는 파일을 만듭니다. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI 다음 URL에서 웹 서버에서 사용 가능하게 만드십시오. http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ------------------- ---------------------계속하려면 Enter 키를 누릅니다.

HTTP-01의 장점과 단점

HTTP-01은 가장 일반적으로 사용되는 ACME 챌린지 유형이며 SSL.com은 대부분의 사용자에게이를 권장합니다. 주요 장점은 다음과 같은 인기있는 웹 서버 플랫폼의 자동화 용이성입니다. 아파치와 Nginx및 DNS 레코드를 구성하고 전파 될 때까지 기다릴 필요가 없습니다. 그러나 HTTP-01을 사용하기 전에 알아야 할 몇 가지 제한 사항이 있습니다.

  • HTTP-01 챌린지는 포트를 통해서만 작동합니다. 80이므로이 포트가 웹 서버에서 차단 된 경우 사용할 수 없습니다.
  • 도메인 이름에 대해 여러 서버가있는 경우 모든 서버에 HTTP-01 챌린지 파일을 배치해야합니다.

DNS-01 챌린지

DNS-01 챌린지에서는 다음 위치에서 임의 토큰 및 계정 키의 지문을 포함하여 도메인에 대한 DNS TXT 레코드를 생성해야합니다. _acme-challenge.<YOUR_DOMAIN>. SSL.com의 ACME 서버는 해당 레코드에 대해 DNS를 쿼리하고 일치하는 항목을 찾으면 인증서를 발급합니다. 다음은에 대한 수동 DNS-01 질문의 예입니다. example.com:

---------------------------------------_acme라는 이름으로 DNS TXT 레코드를 배포하십시오. -challenge.example.com과 다음 값 : -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo 계속하기 전에 레코드가 배포되었는지 확인합니다. ---------------------------------------계속하려면 Enter 키를 누릅니다.

DNS-01의 장단점

DNS-01 챌린지는 HTTP-01보다 자동화하기가 더 어렵 기 때문에 DNS 공급자가 DNS 레코드 관리를위한 API를 제공해야합니다. 이 경우 웹 서버에 DNS API 자격 증명을 유지하는 잠재적 인 보안 위협도 처리해야합니다. DNS-01 챌린지를 사용하면 레코드 전파를 확인하거나 레코드를 만든 후 ACME 클라이언트로의 지연을 구성해야합니다. 그러나 HTTP-01 대신 DNS-01을 선택할 수있는 몇 가지 상황이 있습니다.

  • 도메인에 하나 이상의 웹 서버가있는 경우 여러 서버에서 챌린지 파일을 관리 할 필요가 없습니다.
  • DNS-01은 포트가있는 경우에도 사용할 수 있습니다. 80 웹 서버에서 차단되었습니다.

일부 인증서 요청 (예 : 기본 도메인 이름과 함께 와일드 카드 항목)의 경우 동일한 이름으로 여러 TXT 레코드를 만들어야 할 수 있습니다. 이것은 괜찮지 만 DNS 응답 크기가 서버가 허용하기에 너무 커지지 않도록 이전 챌린지에서 이전 TXT 레코드를 정리해야합니다.

SSL.com은 다양한 SSL /TLS 서버 인증서 HTTPS 웹 사이트 용.

SSL / 비교TLS 증서

최신 정보를 얻고 보안을 유지하세요

SSL.com 사이버 보안 분야의 글로벌 리더입니다. PKI 그리고 디지털 인증서. 최신 업계 뉴스, 팁, 제품 공지 사항을 받아보려면 등록하세요. SSL.com.

우리는 귀하의 피드백을 환영합니다

설문조사에 참여하여 최근 구매에 대한 의견을 알려주세요.