en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Którego typu wyzwania ACME powinienem użyć? HTTP-01 czy DNS-01?

Kiedy używasz Protokół ACME aby zamówić certyfikaty w witrynie SSL.com, potwierdzamy kontrolę nad nazwami domen w żądaniu certyfikatu za pomocą „wyzwania”, które będzie wymagało dokonania weryfikowalnej zmiany w witrynie lub w rekordach DNS. W tym artykule omówiono zalety i wady związane z typami wyzwań obsługiwanymi przez SSL.com: HTTP-01 i DNS-01.

Wyzwanie HTTP-01

Wyzwanie HTTP-01 wymaga od Ciebie lub Twojego klienta ACME utworzenia pliku zawierającego losowy token i odcisk palca klucza Twojego konta na serwerze sieciowym, udowadniając CA kontrolę nad witryną. Wyzwanie określa zarówno zawartość pliku, jak i adres URL, pod którym powinien zostać utworzony (który zawsze będzie poprzedzony przedrostkiem .well-known/acme-challenge/, po którym następuje wartość tokenu). Przykładowe ręczne wyzwanie HTTP-01 dla example.com pokazano poniżej:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Utwórz plik zawierający tylko te dane: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI I udostępnij na swoim serwerze internetowym pod tym adresem URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Naciśnij Enter, aby kontynuować

Zalety i wady HTTP-01

HTTP-01 jest najczęściej używanym typem wyzwania ACME i SSL.com zaleca go większości użytkowników. Jego głównymi zaletami są łatwość automatyzacji dla popularnych platform serwerów WWW, takich jak Apache i Nginxoraz brak konieczności konfigurowania rekordów DNS i czekania na ich propagację. Jest jednak kilka ograniczeń, o których powinieneś wiedzieć przed użyciem HTTP-01:

  • Wyzwanie HTTP-01 działa tylko przez port 80, więc nie można go używać, jeśli ten port jest zablokowany na serwerze sieciowym.
  • Jeśli istnieje wiele serwerów dla nazwy domeny, plik wezwania HTTP-01 należy umieścić na wszystkich z nich.

Wyzwanie DNS-01

Wyzwanie DNS-01 wymaga utworzenia rekordu DNS TXT dla swojej domeny, zawierającego losowy token i odcisk palca klucza konta, pod adresem _acme-challenge.<YOUR_DOMAIN>. Serwer ACME SSL.com zapyta DNS o ten rekord i wyda certyfikat, jeśli znajdzie dopasowanie. To jest przykład ręcznego wyzwania DNS-01 dla example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Wdróż rekord DNS TXT pod nazwą _acme -challenge.example.com z następującą wartością: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Przed kontynuowaniem sprawdź, czy rekord został wdrożony. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Naciśnij Enter, aby kontynuować

Zalety i wady DNS-01

Wyzwanie DNS-01 jest trudniejsze do zautomatyzowania niż HTTP-01, co wymaga od dostawcy DNS dostarczenia interfejsu API do zarządzania rekordami DNS. W takim przypadku będziesz również musiał poradzić sobie z potencjalnym zagrożeniem bezpieczeństwa związanym z przechowywaniem poświadczeń interfejsu API DNS na serwerze internetowym. W przypadku wyzwania DNS-01 będziesz musiał również sprawdzić propagację swojego rekordu lub skonfigurować opóźnienie w kliencie ACME po utworzeniu rekordu. Jest jednak kilka okoliczności, w których możesz wybrać DNS-01 zamiast HTTP-01:

  • Jeśli Twoja domena ma więcej niż jeden serwer WWW, nie będziesz musiał zarządzać plikami wyzwań na wielu serwerach.
  • DNS-01 może być używany, nawet jeśli port 80 jest zablokowany na Twoim serwerze internetowym.

Zauważ, że w przypadku niektórych żądań certyfikatów (takich jak wpis wieloznaczny wraz z nazwą domeny podstawowej) może być konieczne utworzenie wielu rekordów TXT o tej samej nazwie. Jest to w porządku, ale należy wyczyścić stare rekordy TXT z poprzednich wyzwań, aby rozmiar odpowiedzi DNS nie był zbyt duży, aby serwer mógł go zaakceptować.

SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.

PORÓWNAJ SSL /TLS CERTYFIKATY

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com