När du använder ACME-protokoll för att beställa certifikat från SSL.com validerar vi din kontroll över domännamnet / domännamnen i din certifikatförfrågan med en "utmaning" som kräver att du antingen gör en verifierbar ändring av din webbplats eller DNS-poster. Denna FAQ täcker fördelar och nackdelar med utmaningstyper som stöds av SSL.com: HTTP-01 och DNS-01.
HTTP-01-utmaning
HTTP-01-utmaningen kräver att du eller din ACME-klient skapar en fil som innehåller ett slumpmässigt token och fingeravtryck från din kontonyckel på din webbserver, vilket visar kontroll över webbplatsen till CA. Utmaningen specificerar både innehållet i filen och webbadressen där den ska skapas (som alltid kommer att föregås av .well-known/acme-challenge/
följt av tokenvärdet). Ett exempel på en manuell HTTP-01-utmaning för example.com
visas nedan:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Skapa en fil som innehåller just dessa data: cr1rsRTImVz_s7HHk7biTQ. 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI Och gör det tillgängligt på din webbserver på den här URL: en: - - - - - - - - - - - - - - - - - - - - - Tryck på Enter för att fortsätta
Fördelar och nackdelar med HTTP-01
HTTP-01 är den mest använda ACME-utmaningstypen, och SSL.com rekommenderar det för de flesta användare. Dess främsta fördelar är enkel automatisering för populära webbserverplattformar som Apache och Nginx, och bristen på något behov av att konfigurera DNS-poster och vänta på att de ska spridas. Det finns dock några begränsningar du bör känna till innan du använder HTTP-01:
- HTTP-01-utmaningen fungerar bara via port
80
, så det kan inte användas om den här porten är blockerad på din webbserver. - Om det finns flera servrar för ett domännamn måste HTTP-01-utmaningsfilen placeras på dem alla.
DNS-01 utmaning
DNS-01-utmaningen kräver att du skapar en DNS TXT-post för din domän, inklusive ett slumpmässigt token och fingeravtryck för din kontonyckel, på _acme-challenge.<YOUR_DOMAIN>
. SSL.coms ACME-server frågar efter DNS för den posten och kommer att utfärda certifikatet om den hittar en matchning. Detta är ett exempel på en manuell DNS-01-utmaning för example.com
:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Använd en DNS TXT-post under namnet _acme -challenge.example.com med följande värde: -87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo Kontrollera att posten har distribuerats innan du fortsätter. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Tryck på Enter för att fortsätta
Fördelar och nackdelar med DNS-01
DNS-01-utmaningen är svårare att automatisera än HTTP-01, vilket kräver att din DNS-leverantör tillhandahåller ett API för hantering av dina DNS-poster. I det här fallet måste du också hantera det potentiella säkerhetshotet att behålla DNS API-referenser på din webbserver. Med DNS-01-utmaningen måste du också kontrollera att din post har spridits eller konfigurera en fördröjning i din ACME-klient efter att du skapat posten. Det finns dock flera omständigheter där du kan välja DNS-01 framför HTTP-01:
- Om din domän har mer än en webbserver behöver du inte hantera utmaningsfiler på flera servrar.
- DNS-01 kan användas även om port
80
är blockerad på din webbserver.
Observera att för vissa certifikatförfrågningar (till exempel för en jokerteckenpost tillsammans med basdomännamnet) kan du behöva skapa flera TXT-poster med samma namn. Det här är okej att göra, men du bör rensa upp gamla TXT-poster från tidigare utmaningar så att DNS-svarstorleken inte blir för stor för att servern ska acceptera.
SSL.com erbjuder ett brett utbud av SSL /TLS servercertifikat för HTTPS-webbplatser.