Vilken ACME-utmaningstyp ska jag använda? HTTP-01 eller DNS-01?

När du använder ACME-protokoll för att beställa certifikat från SSL.com validerar vi din kontroll över domännamnet / domännamnen i din certifikatförfrågan med en "utmaning" som kräver att du antingen gör en verifierbar ändring av din webbplats eller DNS-poster. Denna FAQ täcker fördelar och nackdelar med utmaningstyper som stöds av SSL.com: HTTP-01 och DNS-01.

HTTP-01-utmaning

HTTP-01-utmaningen kräver att du eller din ACME-klient skapar en fil som innehåller ett slumpmässigt token och fingeravtryck från din kontonyckel på din webbserver, vilket visar kontroll över webbplatsen till CA. Utmaningen specificerar både innehållet i filen och webbadressen där den ska skapas (som alltid kommer att föregås av .well-known/acme-challenge/följt av tokenvärdet). Ett exempel på en manuell HTTP-01-utmaning för example.com visas nedan:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Skapa en fil som innehåller just dessa data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Och gör det tillgängligt på din webbserver på den här URL: en: - - - - - - - - - - - - - - - - - - - - - Tryck på Enter för att fortsätta

Fördelar och nackdelar med HTTP-01

HTTP-01 är den mest använda ACME-utmaningstypen, och SSL.com rekommenderar det för de flesta användare. Dess främsta fördelar är enkel automatisering för populära webbserverplattformar som Apache och Nginx, och bristen på något behov av att konfigurera DNS-poster och vänta på att de ska spridas. Det finns dock några begränsningar du bör känna till innan du använder HTTP-01:

  • HTTP-01-utmaningen fungerar bara via port 80, så det kan inte användas om den här porten är blockerad på din webbserver.
  • Om det finns flera servrar för ett domännamn måste HTTP-01-utmaningsfilen placeras på dem alla.

DNS-01 utmaning

DNS-01-utmaningen kräver att du skapar en DNS TXT-post för din domän, inklusive ett slumpmässigt token och fingeravtryck för din kontonyckel, på _acme-challenge.<YOUR_DOMAIN>. SSL.coms ACME-server frågar efter DNS för den posten och kommer att utfärda certifikatet om den hittar en matchning. Detta är ett exempel på en manuell DNS-01-utmaning för example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Använd en DNS TXT-post under namnet _acme -challenge.example.com med följande värde: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Kontrollera att posten har distribuerats innan du fortsätter. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryck på Enter för att fortsätta

Fördelar och nackdelar med DNS-01

DNS-01-utmaningen är svårare att automatisera än HTTP-01, vilket kräver att din DNS-leverantör tillhandahåller ett API för hantering av dina DNS-poster. I det här fallet måste du också hantera det potentiella säkerhetshotet att behålla DNS API-referenser på din webbserver. Med DNS-01-utmaningen måste du också kontrollera att din post har spridits eller konfigurera en fördröjning i din ACME-klient efter att du skapat posten. Det finns dock flera omständigheter där du kan välja DNS-01 framför HTTP-01:

  • Om din domän har mer än en webbserver behöver du inte hantera utmaningsfiler på flera servrar.
  • DNS-01 kan användas även om port 80 är blockerad på din webbserver.

Observera att för vissa certifikatförfrågningar (till exempel för en jokerteckenpost tillsammans med basdomännamnet) kan du behöva skapa flera TXT-poster med samma namn. Det här är okej att göra, men du bör rensa upp gamla TXT-poster från tidigare utmaningar så att DNS-svarstorleken inte blir för stor för att servern ska acceptera.

SSL.com erbjuder ett brett utbud av SSL /TLS servercertifikat för HTTPS-webbplatser.

JÄMFÖR SSL /TLS INTYG

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.