Quando você usa o Protocolo ACME para solicitar certificados de SSL.com, validamos seu controle do (s) nome (s) de domínio em sua solicitação de certificado com um “desafio” que exigirá que você faça uma alteração verificável em seu site ou registros DNS. Este FAQ cobre as vantagens e desvantagens associadas aos tipos de desafio suportados por SSL.com: HTTP-01 e DNS-01.
Desafio HTTP-01
O desafio HTTP-01 requer que você ou seu cliente ACME criem um arquivo contendo um token aleatório e uma impressão digital da chave da sua conta em seu servidor web, provando o controle do site para a CA. O desafio especifica o conteúdo do arquivo e a URL onde deve ser criado (que sempre será prefixado com .well-known/acme-challenge/, seguido pelo valor do token). Um exemplo de desafio manual HTTP-01 para example.com é mostrado abaixo:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Crie um arquivo contendo apenas estes dados: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI E disponibilize-o em seu servidor da web neste URL: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Pressione Enter para continuar
Vantagens e desvantagens do HTTP-01
HTTP-01 é o tipo de desafio ACME mais comumente usado e SSL.com o recomenda para a maioria dos usuários. Suas principais vantagens são a facilidade de automação para plataformas populares de servidores da web, como Apache e Nginxe a falta de necessidade de configurar os registros DNS e esperar que se propaguem. No entanto, existem algumas limitações que você deve conhecer antes de usar HTTP-01:
- O desafio HTTP-01 só funciona na porta
80, por isso não pode ser usado se esta porta estiver bloqueada em seu servidor web. - Se houver vários servidores para um nome de domínio, o arquivo de desafio HTTP-01 deve ser colocado em todos eles.
Desafio DNS-01
O desafio DNS-01 exige que você crie um registro DNS TXT para o seu domínio, incluindo um token aleatório e uma impressão digital da chave da sua conta, em _acme-challenge.<YOUR_DOMAIN>. O servidor ACME de SSL.com consultará o DNS para esse registro e emitirá o certificado se encontrar uma correspondência. Este é um exemplo de desafio manual DNS-01 para example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Implante um registro TXT DNS com o nome _acme -challenge.example.com com o seguinte valor: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Antes de continuar, verifique se o registro foi implementado. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Pressione Enter para continuar
Vantagens e desvantagens do DNS-01
O desafio DNS-01 é mais difícil de automatizar do que HTTP-01, exigindo que seu provedor DNS forneça uma API para gerenciar seus registros DNS. Nesse caso, você também precisará lidar com a ameaça potencial à segurança de manter as credenciais da API do DNS em seu servidor web. Com o desafio DNS-01, você também precisará verificar a propagação de seu registro ou configurar um atraso em seu cliente ACME após criar o registro. No entanto, existem várias circunstâncias em que você pode escolher DNS-01 em vez de HTTP-01:
- Se o seu domínio tiver mais de um servidor web, você não terá que gerenciar arquivos de desafio em vários servidores.
- DNS-01 pode ser usado mesmo se a porta
80está bloqueado no seu servidor web.
Observe que, para algumas solicitações de certificado (como uma entrada curinga junto com o nome de domínio base), pode ser necessário criar vários registros TXT com o mesmo nome. Não há problema em fazer isso, mas você deve limpar os registros TXT antigos dos desafios anteriores para que o tamanho da resposta DNS não cresça muito para o servidor aceitar.
SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS.
