Когда вы используете Протокол ACME Чтобы заказать сертификаты на SSL.com, мы подтверждаем ваш контроль над доменными именами в вашем запросе на сертификат с помощью «задачи», которая потребует от вас либо внесения проверяемых изменений в ваш веб-сайт или записи DNS. В этом разделе часто задаваемых вопросов рассматриваются преимущества и недостатки, связанные с типами запросов, поддерживаемыми SSL.com: HTTP-01 и DNS-01.
HTTP-01 вызов
Задача HTTP-01 требует, чтобы вы или ваш клиент ACME создали файл, содержащий случайный токен и отпечаток ключа вашей учетной записи на вашем веб-сервере, что доказывает контроль над веб-сайтом для центра сертификации. В задаче указывается как содержимое файла, так и URL-адрес, по которому он должен быть создан (который всегда будет иметь префикс .well-known/acme-challenge/, за которым следует значение токена). Пример ручного запроса HTTP-01 для example.com показано ниже:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Создайте файл, содержащий только эти данные: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI И сделайте его доступным на своем веб-сервере по этому URL-адресу: http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Нажмите Enter, чтобы продолжить
Преимущества и недостатки HTTP-01
HTTP-01 - наиболее часто используемый тип запроса ACME, и SSL.com рекомендует его большинству пользователей. Его основные преимущества - простота автоматизации для популярных платформ веб-серверов, таких как Apache и Nginx, а также отсутствие необходимости настраивать записи DNS и ждать их распространения. Однако есть несколько ограничений, о которых вы должны знать перед использованием HTTP-01:
- Задача HTTP-01 работает только через порт
80, поэтому его нельзя использовать, если этот порт заблокирован на вашем веб-сервере. - Если существует несколько серверов для доменного имени, файл запроса HTTP-01 должен быть размещен на всех из них.
Вызов DNS-01
Задача DNS-01 требует, чтобы вы создали запись DNS TXT для вашего домена, включая случайный токен и отпечаток ключа вашей учетной записи, по адресу _acme-challenge.<YOUR_DOMAIN>. Сервер ACME SSL.com запросит эту запись в DNS и выдаст сертификат, если найдет совпадение. Это пример ручного запроса DNS-01 для example.com:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Пожалуйста, разверните запись TXT DNS под именем _acme -challenge.example.com со следующим значением: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Перед продолжением убедитесь, что запись развернута. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Для продолжения нажмите Enter
Преимущества и недостатки DNS-01
Задачу DNS-01 сложнее автоматизировать, чем HTTP-01, поскольку она требует, чтобы ваш поставщик DNS предоставил API для управления вашими записями DNS. В этом случае вам также придется иметь дело с потенциальной угрозой безопасности, связанной с хранением учетных данных DNS API на вашем веб-сервере. При выполнении задачи DNS-01 вам также необходимо будет проверить распространение вашей записи или настроить задержку в вашем клиенте ACME после создания записи. Однако есть несколько обстоятельств, при которых вы можете выбрать DNS-01 вместо HTTP-01:
- Если в вашем домене несколько веб-серверов, вам не придется управлять файлами задач на нескольких серверах.
- DNS-01 можно использовать, даже если порт
80заблокирован на вашем веб-сервере.
Обратите внимание, что для некоторых запросов сертификатов (например, для записи с подстановочным знаком вместе с именем базового домена) вам может потребоваться создать несколько записей TXT с тем же именем. Это нормально, но вам следует очистить старые записи TXT от предыдущих вызовов, чтобы размер ответа DNS не стал слишком большим для сервера.
SSL.com предоставляет широкий выбор SSL /TLS сертификаты сервера для сайтов HTTPS.
