当您使用 ACME协议 要从SSL.com订购证书,我们将通过“挑战”验证您对证书请求中域名的控制,这将要求您对网站或DNS记录进行可验证的更改。 该常见问题解答涵盖了与SSL.com支持的挑战类型(HTTP-01和DNS-01)相关的优缺点。
HTTP-01挑战
HTTP-01挑战要求您或ACME客户端在Web服务器上创建一个包含随机令牌和帐户密钥指纹的文件,以证明对CA的网站控制权。 质询同时指定了文件的内容以及应在其中创建文件的URL(始终以前缀 .well-known/acme-challenge/
,然后是令牌值)。 手动HTTP-01挑战的示例 example.com
如下所示:
-----------------------------------创建一个仅包含以下数据的文件:cr1rsRTImVz_s7HHk7biTQ。 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI并将其在您的Web服务器上以以下URL可用:http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ------------ ---------------------按Enter继续
HTTP-01的优缺点
HTTP-01是最常用的ACME质询类型,SSL.com建议大多数用户使用它。 它的主要优势是易于流行的Web服务器平台的自动化,例如 Apache和Nginx,并且无需配置DNS记录并等待它们传播。 但是,在使用HTTP-01之前,您应该了解一些限制:
- HTTP-01挑战仅适用于端口
80
,因此如果您的Web服务器上的此端口被阻止,则无法使用它。 - 如果一个域名有多个服务器,则必须将HTTP-01质询文件放在所有服务器上。
DNS-01挑战
DNS-01挑战要求您在以下位置为您的域创建DNS TXT记录,包括随机令牌和帐户密钥的指纹。 _acme-challenge.<YOUR_DOMAIN>
。 SSL.com的ACME服务器将查询该记录的DNS,并在找到匹配项时颁发证书。 这是手动DNS-01挑战的示例 example.com
:
-----------------------------------请以_acme名称部署DNS TXT记录-challenge.example.com,其值为以下值:-87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo在继续之前,请验证记录是否已部署。 ----------------------------------------
DNS-01的优缺点
与HTTP-01相比,DNS-01挑战更难以自动化,这要求DNS提供商提供用于管理DNS记录的API。 在这种情况下,您还需要应对将DNS API凭据保留在Web服务器上的潜在安全威胁。 面对DNS-01挑战,您还需要在创建记录后检查记录的传播或在ACME客户端中配置延迟。 但是,在几种情况下,您可能会选择通过HTTP-01来选择DNS-01:
- 如果您的域具有一台以上的Web服务器,则不必在多台服务器上管理质询文件。
- 即使端口也可以使用DNS-01
80
在您的Web服务器上被阻止。
请注意,对于某些证书请求(例如,通配符条目以及基本域名),您可能需要创建多个具有相同名称的TXT记录。 可以这样做,但是您应该清除以前的挑战中的旧TXT记录,以使DNS响应大小不会太大而不能被服务器接受。
SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。