en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

Vilken ACME-utmaningstyp ska jag använda? HTTP-01 eller DNS-01?

När du använder ACME-protokoll för att beställa certifikat från SSL.com validerar vi din kontroll över domännamnet / domännamnen i din certifikatförfrågan med en "utmaning" som kräver att du antingen gör en verifierbar ändring av din webbplats eller DNS-poster. Denna FAQ täcker fördelar och nackdelar med utmaningstyper som stöds av SSL.com: HTTP-01 och DNS-01.

HTTP-01-utmaning

HTTP-01-utmaningen kräver att du eller din ACME-klient skapar en fil som innehåller ett slumpmässigt token och fingeravtryck från din kontonyckel på din webbserver, vilket visar kontroll över webbplatsen till CA. Utmaningen specificerar både innehållet i filen och webbadressen där den ska skapas (som alltid kommer att föregås av .well-known/acme-challenge/följt av tokenvärdet). Ett exempel på en manuell HTTP-01-utmaning för example.com visas nedan:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Skapa en fil som innehåller just dessa data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Och gör det tillgängligt på din webbserver på den här URL: en: - - - - - - - - - - - - - - - - - - - - - Tryck på Enter för att fortsätta

Fördelar och nackdelar med HTTP-01

HTTP-01 är den mest använda ACME-utmaningstypen, och SSL.com rekommenderar det för de flesta användare. Dess främsta fördelar är enkel automatisering för populära webbserverplattformar som Apache och Nginx, och bristen på något behov av att konfigurera DNS-poster och vänta på att de ska spridas. Det finns dock några begränsningar du bör känna till innan du använder HTTP-01:

  • HTTP-01-utmaningen fungerar bara via port 80, så det kan inte användas om den här porten är blockerad på din webbserver.
  • Om det finns flera servrar för ett domännamn måste HTTP-01-utmaningsfilen placeras på dem alla.

DNS-01 utmaning

DNS-01-utmaningen kräver att du skapar en DNS TXT-post för din domän, inklusive ett slumpmässigt token och fingeravtryck för din kontonyckel, på _acme-challenge.<YOUR_DOMAIN>. SSL.coms ACME-server frågar efter DNS för den posten och kommer att utfärda certifikatet om den hittar en matchning. Detta är ett exempel på en manuell DNS-01-utmaning för example.com:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Använd en DNS TXT-post under namnet _acme -challenge.example.com med följande värde: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Kontrollera att posten har distribuerats innan du fortsätter. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryck på Enter för att fortsätta

Fördelar och nackdelar med DNS-01

DNS-01-utmaningen är svårare att automatisera än HTTP-01, vilket kräver att din DNS-leverantör tillhandahåller ett API för hantering av dina DNS-poster. I det här fallet måste du också hantera det potentiella säkerhetshotet att behålla DNS API-referenser på din webbserver. Med DNS-01-utmaningen måste du också kontrollera att din post har spridits eller konfigurera en fördröjning i din ACME-klient efter att du skapat posten. Det finns dock flera omständigheter där du kan välja DNS-01 framför HTTP-01:

  • Om din domän har mer än en webbserver behöver du inte hantera utmaningsfiler på flera servrar.
  • DNS-01 kan användas även om port 80 är blockerad på din webbserver.

Observera att för vissa certifikatförfrågningar (till exempel för en jokerteckenpost tillsammans med basdomännamnet) kan du behöva skapa flera TXT-poster med samma namn. Det här är okej att göra, men du bör rensa upp gamla TXT-poster från tidigare utmaningar så att DNS-svarstorleken inte blir för stor för att servern ska acceptera.

SSL.com erbjuder ett brett utbud av SSL /TLS servercertifikat för HTTPS-webbplatser.

JÄMFÖR SSL /TLS INTYG

Relaterade vanliga frågor

Följ oss

Vad är SSL /TLS?

Spela filmen

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com