我应该使用哪种ACME挑战类型? HTTP-01或DNS-01?

不确定是否应该使用HTTP-01或DNS-01 ACME质询? 本常见问题解答概述了两种DV方法的优缺点。

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

当您使用 ACME协议 要从SSL.com订购证书,我们将通过“挑战”验证您对证书请求中域名的控制,这将要求您对网站或DNS记录进行可验证的更改。 该常见问题解答涵盖了与SSL.com支持的挑战类型(HTTP-01和DNS-01)相关的优缺点。

HTTP-01挑战

HTTP-01挑战要求您或ACME客户端在Web服务器上创建一个包含随机令牌和帐户密钥指纹的文件,以证明对CA的网站控制权。 质询同时指定了文件的内容以及应在其中创建文件的URL(始终以前缀 .well-known/acme-challenge/,然后是令牌值)。 手动HTTP-01挑战的示例 example.com 如下所示:

-----------------------------------创建一个仅包含以下数据的文件:cr1rsRTImVz_s7HHk7biTQ。 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI并将其在您的Web服务器上以以下URL可用:http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ------------ ---------------------按Enter继续

HTTP-01的优缺点

HTTP-01是最常用的ACME质询类型,SSL.com建议大多数用户使用它。 它的主要优势是易于流行的Web服务器平台的自动化,例如 Apache和Nginx,并且无需配置DNS记录并等待它们传播。 但是,在使用HTTP-01之前,您应该了解一些限制:

  • HTTP-01挑战仅适用于端口 80,因此如果您的Web服务器上的此端口被阻止,则无法使用它。
  • 如果一个域名有多个服务器,则必须将HTTP-01质询文件放在所有服务器上。

DNS-01挑战

DNS-01挑战要求您在以下位置为您的域创建DNS TXT记录,包括随机令牌和帐户密钥的指纹。 _acme-challenge.<YOUR_DOMAIN>。 SSL.com的ACME服务器将查询该记录的DNS,并在找到匹配项时颁发证书。 这是手动DNS-01挑战的示例 example.com:

-----------------------------------请以_acme名称部署DNS TXT记录-challenge.example.com,其值为以下值:-87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo在继续之前,请验证记录是否已部署。 ----------------------------------------

DNS-01的优缺点

与HTTP-01相比,DNS-01挑战更难以自动化,这要求DNS提供商提供用于管理DNS记录的API。 在这种情况下,您还需要应对将DNS API凭据保留在Web服务器上的潜在安全威胁。 面对DNS-01挑战,您还需要在创建记录后检查记录的传播或在ACME客户端中配置延迟。 但是,在几种情况下,您可能会选择通过HTTP-01来选择DNS-01:

  • 如果您的域具有一台以上的Web服务器,则不必在多台服务器上管理质询文件。
  • 即使端口也可以使用DNS-01 80 在您的Web服务器上被阻止。

请注意,对于某些证书请求(例如,通配符条目以及基本域名),您可能需要创建多个具有相同名称的TXT记录。 可以这样做,但是您应该清除以前的挑战中的旧TXT记录,以使DNS响应大小不会太大而不能被服务器接受。

SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。

比较SSL /TLS 证书

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。