Wanneer u gebruik maken van de ACME-protocol om certificaten te bestellen bij SSL.com, valideren we uw controle over de domeinnaam (en) in uw certificaataanvraag met een "challenge" die vereist dat u een verifieerbare wijziging aanbrengt in uw website of DNS-records. Deze FAQ behandelt de voor- en nadelen van de soorten challenge die worden ondersteund door SSL.com: HTTP-01 en DNS-01.
HTTP-01-uitdaging
De HTTP-01-uitdaging vereist dat u of uw ACME-client een bestand maakt met een willekeurige token en vingerafdruk van uw accountsleutel op uw webserver, waarmee de CA de controle over de website bewijst. De uitdaging specificeert zowel de inhoud van het bestand als de URL waar het moet worden gemaakt (die altijd wordt voorafgegaan door .well-known/acme-challenge/, gevolgd door de tokenwaarde). Een voorbeeld van een handmatige HTTP-01 challenge voor example.com wordt hieronder weergegeven:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Maak een bestand met alleen deze gegevens: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI En maak het beschikbaar op uw webserver op deze URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Druk op Enter om door te gaan
Voordelen en nadelen van HTTP-01
HTTP-01 is het meest gebruikte ACME-challenge-type en SSL.com raadt het aan voor de meeste gebruikers. De belangrijkste voordelen zijn het gemak van automatisering voor populaire webserverplatforms zoals Apache en Nginx, en het ontbreken van enige noodzaak om DNS-records te configureren en te wachten tot ze zijn doorgevoerd. Er zijn echter enkele beperkingen die u moet weten voordat u HTTP-01 gebruikt:
- De HTTP-01-uitdaging werkt alleen via poort
80, dus het kan niet worden gebruikt als deze poort is geblokkeerd op uw webserver. - Als er meerdere servers zijn voor een domeinnaam, moet het HTTP-01-challenge-bestand op alle servers worden geplaatst.
DNS-01-uitdaging
De DNS-01-uitdaging vereist dat u een DNS TXT-record voor uw domein maakt, inclusief een willekeurige token en vingerafdruk van uw accountsleutel, op _acme-challenge.<YOUR_DOMAIN>. SSL.com's ACME-server zal DNS voor dat record opvragen en zal het certificaat uitgeven als het een overeenkomst vindt. Dit is een voorbeeld handleiding DNS-01 challenge voor example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Implementeer een DNS TXT-record onder de naam _acme -challenge.example.com met de volgende waarde: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Controleer voordat u verdergaat of het record is geïmplementeerd. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Druk op Enter om door te gaan
Voordelen en nadelen van DNS-01
De DNS-01-uitdaging is moeilijker te automatiseren dan HTTP-01, en vereist dat uw DNS-provider een API levert voor het beheren van uw DNS-records. In dit geval moet u ook omgaan met de potentiële beveiligingsrisico's van het bewaren van DNS API-inloggegevens op uw webserver. Met de DNS-01-uitdaging moet u ook controleren of uw record wordt verspreid of een vertraging in uw ACME-client configureren nadat u het record hebt gemaakt. Er zijn echter verschillende omstandigheden waarin u DNS-01 zou kunnen kiezen in plaats van HTTP-01:
- Als uw domein meer dan één webserver heeft, hoeft u geen challenge-bestanden op meerdere servers te beheren.
- DNS-01 kan zelfs worden gebruikt als port
80is geblokkeerd op uw webserver.
Houd er rekening mee dat u voor sommige certificaatverzoeken (zoals voor een jokerteken samen met de basisdomeinnaam) mogelijk meerdere TXT-records met dezelfde naam moet maken. Dit is prima om te doen, maar u moet oude TXT-records van eerdere uitdagingen opschonen, zodat de DNS-respons niet te groot wordt voor de server om te accepteren.
SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites.
