Альтернативные методы валидации домена

Авторизация доменного имени

Для каждого доменного имени (FQDN) «Имя домена авторизации» - это имя домена, которое вы используете для DCV.

• Если доменное имя, которое должно быть включено в сертификат, является internal.example.tld, доменное имя авторизации может быть либо internal.example.tld, либо example.tld;
• Если вы запрашиваете сертификат для двух доменов (www.example.tld, example.tld), то можно использовать имя домена авторизации example.tld для единой проверки, которая будет проверять оба FQDN, тогда как имя домена авторизации www.example.tld не может;
• Имя домена авторизации не может быть именем, контролируемым реестром, и не может быть общедоступным суффиксом. Это означает, что «co.uk» или «com» не могут быть доменными именами авторизации, и (например) «pvt.k12.ma.us» не может быть доменным именем авторизации, потому что это общедоступный суффикс;
• Имя домена никогда не содержит подстановочный знак ('*'), поэтому даже если полное доменное имя содержит символ подстановки, имя домена авторизации не будет. Например, если полное доменное имя, которое должно быть включено в сертификат, является *.service.example.tld, доменное имя авторизации может быть либо example.tld, либо service.example.tld.

Подтверждение по электронной почте

На этот адрес будет отправлено электронное письмо, содержащее уникальный код проверки. Электронное письмо должно быть получено кем-то, кто контролирует домен, где он может перейти по ссылке, указанной в электронном письме, и ввести проверочный код, подтверждающий контроль домена.

Уникальный код проверки действителен только в течение 30 дней. Т.е. любая попытка использовать уникальный код проверки более чем через 30 дней после его создания потерпит неудачу. Список допустимых адресов электронной почты для любого данного домена:

• admin@
• administrator@
• hostmaster@
• postmaster@
• webmaster@
• Э-почта указанная во WHOIS. Однако не всегда центр сертификации имеет доступ к WHOIS записям

Проверка по HTTP/HTTPS

DCV на основе HTTP требует, чтобы сервер HTTP работал на порту 80 или сервер HTTPS работал на порту 443 имени домена авторизации. CA ищет файл в каждом действующем Домене авторизации, то есть начинает с полного доменного имени, а затем удаляет одну или несколько меток слева направо в полном доменном имени и ищет файл в каждом промежуточном домене.

Вы получите файл проверки в текстовом файле (.txt). Создается текстовый файл, содержащий хэш SHA-256, значение Request Tokens/Unique и домен «comodoca.com» в следующей строке.

Например: CSR генерируется с CN = www.example.tld. Имя домена авторизации будет example.tld. CSR хэшируется с использованием алгоритмов хеширования MD5 и SHA-256.

Пример файла / URL

Формат имени файла: .txt помещается в каталог /.well-known/pki-validation HTTP-сервера следующим образом:

http://example.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

{TEXT FILE CONTENT}
c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f
comodoca.com
123456789

Система Sectigo CA проверяет наличие текстового файла и его содержимого. Если файл найден и значения хеша совпадают, контроль домена доказан.

Проверка через DNS CNAME

DCV на основе DNS CNAME требует создания уникальной записи CNAME, указывающей на Sectigo CA. Sectigo ищет CNAME в каждом действующем домене авторизации, то есть начинает с полного доменного имени, а затем убирает одну или несколько меток слева направо в полном доменном имени и ищет CNAME в каждом промежуточном домене.

Для запроса сертификата для полного доменного имени * .mail.internal.example.tld Sectigo будет искать CNAME в этих местах и в следующем порядке: mail.internal.example.tld internal.example.tld example.tld Домен авторизации Имя это то, на котором мы его находим.

DNS-запись CNAME создается под именем домена авторизации. Содержание CNAME более подробно описано ниже. Два хэша CSR генерируются перед отправкой в Sectigo CA.

Формат CNAME будет следующим:
‘_’ .Authorization Domain Name CNAME
example _CC5412BF14B25A69F0D3A571C2426767.example.tld.

.[.]comodoca.com
example 72B21EEE5B37D7913084.61F4BB041A1845F87DC8.comodoca.com.

Подсказки!

• Примечание: «_» всегда включено, а «.» после «.tld» также должен быть включен, но в зависимости от компании веб-хостинга это может не потребоваться;
• При копировании копий хешей убедитесь, что не обнаружено «пробелов»;

При создании записи DNS CNAME в вашей веб-хостинговой компании будет 3 записи:

• «Имя хоста», которое соответствует первому хешу [MD5] «_.HASH_DOMAIN.TLD.»
• «Псевдоним или направлены на», который коррелирует со вторым хэш [SHA256] «. [.] comodoca.com »
• Время жизни [TTL], которое вам нужно оставить со значением по умолчанию, установленным компанией веб-хостинга.