en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

en English
X

Select Language

Powered by Google TranslateTranslate

We hope you will find the Google translation service helpful, but we don’t promise that Google’s translation will be accurate or complete. You should not rely on Google’s translation. English is the official language of our site.

我应该使用哪种ACME挑战类型? HTTP-01或DNS-01?

当您使用 ACME协议 要从SSL.com订购证书,我们将通过“挑战”验证您对证书请求中域名的控制,这将要求您对网站或DNS记录进行可验证的更改。 该常见问题解答涵盖了与SSL.com支持的挑战类型(HTTP-01和DNS-01)相关的优缺点。

HTTP-01挑战

HTTP-01挑战要求您或ACME客户端在Web服务器上创建一个包含随机令牌和帐户密钥指纹的文件,以证明对CA的网站控制权。 质询同时指定了文件的内容以及应在其中创建文件的URL(始终以前缀 .well-known/acme-challenge/,然后是令牌值)。 手动HTTP-01挑战的示例 example.com 如下所示:

-----------------------------------创建一个仅包含以下数据的文件:cr1rsRTImVz_s7HHk7biTQ。 9mOlJPgZ8D97HojOHnhD6hYeZZOPDUDNMxchFUNJQvI并将其在您的Web服务器上以以下URL可用:http://example.com/.well-known/acme-challenge/cr1rsRTImVz_s7HHk7biTQ------------ ---------------------按Enter继续

HTTP-01的优缺点

HTTP-01是最常用的ACME质询类型,SSL.com建议大多数用户使用它。 它的主要优势是易于流行的Web服务器平台的自动化,例如 Apache和Nginx,并且无需配置DNS记录并等待它们传播。 但是,在使用HTTP-01之前,您应该了解一些限制:

  • HTTP-01挑战仅适用于端口 80,因此如果您的Web服务器上的此端口被阻止,则无法使用它。
  • 如果一个域名有多个服务器,则必须将HTTP-01质询文件放在所有服务器上。

DNS-01挑战

DNS-01挑战要求您在以下位置为您的域创建DNS TXT记录,包括随机令牌和帐户密钥的指纹。 _acme-challenge.<YOUR_DOMAIN>。 SSL.com的ACME服务器将查询该记录的DNS,并在找到匹配项时颁发证书。 这是手动DNS-01挑战的示例 example.com:

-----------------------------------请以_acme名称部署DNS TXT记录-challenge.example.com,其值为以下值:-87YKoj3sQZB4rVCMZTiifl9QJKYm2eYYymAkpE0zBo在继续之前,请验证记录是否已部署。 ----------------------------------------

DNS-01的优缺点

与HTTP-01相比,DNS-01挑战更难以自动化,这要求DNS提供商提供用于管理DNS记录的API。 在这种情况下,您还需要应对将DNS API凭据保留在Web服务器上的潜在安全威胁。 面对DNS-01挑战,您还需要在创建记录后检查记录的传播或在ACME客户端中配置延迟。 但是,在几种情况下,您可能会选择通过HTTP-01来选择DNS-01:

  • 如果您的域具有一台以上的Web服务器,则不必在多台服务器上管理质询文件。
  • 即使端口也可以使用DNS-01 80 在您的Web服务器上被阻止。

请注意,对于某些证书请求(例如,通配符条目以及基本域名),您可能需要创建多个具有相同名称的TXT记录。 可以这样做,但是您应该清除以前的挑战中的旧TXT记录,以使DNS响应大小不会太大而不能被服务器接受。

SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。

比较SSL /TLS 证书

相关常见问题

关注我们的媒体平台

什么是SSL /TLS?

播放视频

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新