Kiedy używasz Protokół ACME aby zamówić certyfikaty w witrynie SSL.com, potwierdzamy kontrolę nad nazwami domen w żądaniu certyfikatu za pomocą „wyzwania”, które będzie wymagało dokonania weryfikowalnej zmiany w witrynie lub w rekordach DNS. W tym artykule omówiono zalety i wady związane z typami wyzwań obsługiwanymi przez SSL.com: HTTP-01 i DNS-01.
Wyzwanie HTTP-01
Wyzwanie HTTP-01 wymaga od Ciebie lub Twojego klienta ACME utworzenia pliku zawierającego losowy token i odcisk palca klucza Twojego konta na serwerze sieciowym, udowadniając CA kontrolę nad witryną. Wyzwanie określa zarówno zawartość pliku, jak i adres URL, pod którym powinien zostać utworzony (który zawsze będzie poprzedzony przedrostkiem .well-known/acme-challenge/, po którym następuje wartość tokenu). Przykładowe ręczne wyzwanie HTTP-01 dla example.com pokazano poniżej:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Utwórz plik zawierający tylko te dane: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI I udostępnij na swoim serwerze internetowym pod tym adresem URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Naciśnij Enter, aby kontynuować
Zalety i wady HTTP-01
HTTP-01 jest najczęściej używanym typem wyzwania ACME i SSL.com zaleca go większości użytkowników. Jego głównymi zaletami są łatwość automatyzacji dla popularnych platform serwerów WWW, takich jak Apache i Nginxoraz brak konieczności konfigurowania rekordów DNS i czekania na ich propagację. Jest jednak kilka ograniczeń, o których powinieneś wiedzieć przed użyciem HTTP-01:
- Wyzwanie HTTP-01 działa tylko przez port
80, więc nie można go używać, jeśli ten port jest zablokowany na serwerze sieciowym. - Jeśli istnieje wiele serwerów dla nazwy domeny, plik wezwania HTTP-01 należy umieścić na wszystkich z nich.
Wyzwanie DNS-01
Wyzwanie DNS-01 wymaga utworzenia rekordu DNS TXT dla swojej domeny, zawierającego losowy token i odcisk palca klucza konta, pod adresem _acme-challenge.<YOUR_DOMAIN>. Serwer ACME SSL.com zapyta DNS o ten rekord i wyda certyfikat, jeśli znajdzie dopasowanie. To jest przykład ręcznego wyzwania DNS-01 dla example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Wdróż rekord DNS TXT pod nazwą _acme -challenge.example.com z następującą wartością: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Przed kontynuowaniem sprawdź, czy rekord został wdrożony. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Naciśnij Enter, aby kontynuować
Zalety i wady DNS-01
Wyzwanie DNS-01 jest trudniejsze do zautomatyzowania niż HTTP-01, co wymaga od dostawcy DNS dostarczenia interfejsu API do zarządzania rekordami DNS. W takim przypadku będziesz również musiał poradzić sobie z potencjalnym zagrożeniem bezpieczeństwa związanym z przechowywaniem poświadczeń interfejsu API DNS na serwerze internetowym. W przypadku wyzwania DNS-01 będziesz musiał również sprawdzić propagację swojego rekordu lub skonfigurować opóźnienie w kliencie ACME po utworzeniu rekordu. Jest jednak kilka okoliczności, w których możesz wybrać DNS-01 zamiast HTTP-01:
- Jeśli Twoja domena ma więcej niż jeden serwer WWW, nie będziesz musiał zarządzać plikami wyzwań na wielu serwerach.
- DNS-01 może być używany, nawet jeśli port
80jest zablokowany na Twoim serwerze internetowym.
Zauważ, że w przypadku niektórych żądań certyfikatów (takich jak wpis wieloznaczny wraz z nazwą domeny podstawowej) może być konieczne utworzenie wielu rekordów TXT o tej samej nazwie. Jest to w porządku, ale należy wyczyścić stare rekordy TXT z poprzednich wyzwań, aby rozmiar odpowiedzi DNS nie był zbyt duży, aby serwer mógł go zaakceptować.
SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.