귀하가 ACME 프로토콜 SSL.com에서 인증서를 주문하기 위해 당사는 귀하의 웹 사이트 또는 DNS 레코드를 확인 가능한 변경을해야하는 "도전"을 통해 귀하의 인증서 요청에서 도메인 이름에 대한 귀하의 제어를 검증합니다. 이 FAQ는 SSL.com에서 지원하는 챌린지 유형 (HTTP-01 및 DNS-01)과 관련된 장단점을 다룹니다.
HTTP-01 챌린지
HTTP-01 챌린지에서는 사용자 또는 ACME 클라이언트가 웹 서버에서 계정 키의 임의 토큰과 지문을 포함하는 파일을 생성하여 웹 사이트에 대한 제어 권한을 CA에 증명해야합니다. 챌린지는 파일의 내용과 파일을 만들어야하는 URL (항상 접두사가 붙습니다)을 지정합니다. .well-known/acme-challenge/
, 토큰 값). 에 대한 수동 HTTP-01 질문의 예 example.com
아래에 표시됩니다 :
---------------------------------------cr1rsRTImVz_s7HHk7biTQ 데이터 만 포함하는 파일을 만듭니다. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI 다음 URL에서 웹 서버에서 사용 가능하게 만드십시오. http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ------------------- ---------------------계속하려면 Enter 키를 누릅니다.
HTTP-01의 장점과 단점
HTTP-01은 가장 일반적으로 사용되는 ACME 챌린지 유형이며 SSL.com은 대부분의 사용자에게이를 권장합니다. 주요 장점은 다음과 같은 인기있는 웹 서버 플랫폼의 자동화 용이성입니다. 아파치와 Nginx및 DNS 레코드를 구성하고 전파 될 때까지 기다릴 필요가 없습니다. 그러나 HTTP-01을 사용하기 전에 알아야 할 몇 가지 제한 사항이 있습니다.
- HTTP-01 챌린지는 포트를 통해서만 작동합니다.
80
이므로이 포트가 웹 서버에서 차단 된 경우 사용할 수 없습니다. - 도메인 이름에 대해 여러 서버가있는 경우 모든 서버에 HTTP-01 챌린지 파일을 배치해야합니다.
DNS-01 챌린지
DNS-01 챌린지에서는 다음 위치에서 임의 토큰 및 계정 키의 지문을 포함하여 도메인에 대한 DNS TXT 레코드를 생성해야합니다. _acme-challenge.<YOUR_DOMAIN>
. SSL.com의 ACME 서버는 해당 레코드에 대해 DNS를 쿼리하고 일치하는 항목을 찾으면 인증서를 발급합니다. 다음은에 대한 수동 DNS-01 질문의 예입니다. example.com
:
---------------------------------------_acme라는 이름으로 DNS TXT 레코드를 배포하십시오. -challenge.example.com과 다음 값 : -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo 계속하기 전에 레코드가 배포되었는지 확인합니다. ---------------------------------------계속하려면 Enter 키를 누릅니다.
DNS-01의 장단점
DNS-01 챌린지는 HTTP-01보다 자동화하기가 더 어렵 기 때문에 DNS 공급자가 DNS 레코드 관리를위한 API를 제공해야합니다. 이 경우 웹 서버에 DNS API 자격 증명을 유지하는 잠재적 인 보안 위협도 처리해야합니다. DNS-01 챌린지를 사용하면 레코드 전파를 확인하거나 레코드를 만든 후 ACME 클라이언트로의 지연을 구성해야합니다. 그러나 HTTP-01 대신 DNS-01을 선택할 수있는 몇 가지 상황이 있습니다.
- 도메인에 하나 이상의 웹 서버가있는 경우 여러 서버에서 챌린지 파일을 관리 할 필요가 없습니다.
- DNS-01은 포트가있는 경우에도 사용할 수 있습니다.
80
웹 서버에서 차단되었습니다.
일부 인증서 요청 (예 : 기본 도메인 이름과 함께 와일드 카드 항목)의 경우 동일한 이름으로 여러 TXT 레코드를 만들어야 할 수 있습니다. 이것은 괜찮지 만 DNS 응답 크기가 서버가 허용하기에 너무 커지지 않도록 이전 챌린지에서 이전 TXT 레코드를 정리해야합니다.
SSL.com은 다양한 SSL /TLS 서버 인증서 HTTPS 웹 사이트 용.