Når du bruker ACME-protokoll for å bestille sertifikater fra SSL.com, validerer vi din kontroll over domenenavn (e) i sertifikatforespørselen din med en "utfordring" som krever at du enten foretar en verifiserbar endring på nettstedet ditt eller DNS-poster. Denne FAQ dekker fordeler og ulemper forbundet med utfordringstyper som støttes av SSL.com: HTTP-01 og DNS-01.
HTTP-01 utfordring
HTTP-01-utfordringen krever at du eller ACME-klienten din oppretter en fil som inneholder et tilfeldig token og fingeravtrykk til kontonøkkelen din på webserveren din, og viser kontroll over nettstedet til CA. Utfordringen spesifiserer både innholdet i filen og URL-en der den skal opprettes (som alltid vil være foran .well-known/acme-challenge/, etterfulgt av tokenverdien). Et eksempel på en manuell HTTP-01 utfordring for example.com er vist nedenfor:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Opprett en fil som inneholder akkurat disse dataene: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI og gjøre den tilgjengelig på webserveren din på denne nettadressen: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Trykk Enter for å fortsette
Fordeler og ulemper ved HTTP-01
HTTP-01 er den mest brukte ACME utfordringstypen, og SSL.com anbefaler det for de fleste brukere. De viktigste fordelene er enkel automatisering for populære webserverplattformer som Apache og Nginx, og mangelen på behov for å konfigurere DNS-poster og vente på at de skal spre seg. Imidlertid er det noen begrensninger du bør vite om før du bruker HTTP-01:
- HTTP-01-utfordringen fungerer bare over port
80, så den kan ikke brukes hvis denne porten er blokkert på webserveren din. - Hvis det er flere servere for et domenenavn, må HTTP-01 utfordringsfilen plasseres på dem alle.
DNS-01 utfordring
DNS-01-utfordringen krever at du oppretter en DNS TXT-post for domenet ditt, inkludert et tilfeldig token og fingeravtrykk til kontonøkkelen, på _acme-challenge.<YOUR_DOMAIN>. SSL.coms ACME-server vil spørre DNS for den posten, og vil utstede sertifikatet hvis den finner samsvar. Dette er et eksempel manuell DNS-01 utfordring for example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Vennligst distribuer en DNS TXT-post under navnet _acme -Challenge.example.com med følgende verdi: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Før du fortsetter, må du kontrollere at posten er distribuert. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Trykk Enter for å fortsette
Fordeler og ulemper ved DNS-01
DNS-01-utfordringen er vanskeligere å automatisere enn HTTP-01, og krever at DNS-leverandøren leverer en API for å administrere DNS-postene dine. I dette tilfellet må du også håndtere den potensielle sikkerhetstrusselen om å beholde DNS API-legitimasjon på webserveren din. Med DNS-01-utfordringen må du også sjekke for forplantning av posten din eller konfigurere en forsinkelse i ACME-klienten etter at du har opprettet posten. Det er imidlertid flere forhold der du kan velge DNS-01 fremfor HTTP-01:
- Hvis domenet ditt har mer enn én webserver, trenger du ikke å administrere utfordringsfiler på flere servere.
- DNS-01 kan brukes selv om port
80er blokkert på webserveren din.
Merk at for noen sertifikatforespørsler (for eksempel for et jokertegnoppføring sammen med basen domenenavn), kan det hende du må opprette flere TXT-poster med samme navn. Dette er greit å gjøre, men du bør rydde opp i gamle TXT-poster fra tidligere utfordringer, slik at DNS-responsstørrelsen ikke blir for stor til at serveren kan godta.
SSL.com tilbyr et bredt utvalg av SSL /TLS serversertifikater for HTTPS-nettsteder.
