Metody weryfikacji prawa do domeny
Wydanie certyfikatu SSL wymaga od Urzędu Certyfikacji potwierdzenia czy ubiegający się o jego wydanie dysponuje prawem do domeny, którą chce zabezpieczyć. W celu potwierdzenia własności domeny zamawiający może wybrać jedną z czterech dostępnych metod weryfikacji:
- Wiadomość e-mail z linkiem autoryzującym (wysyłana na wskazany adres administracyjny)
- Wpis w rekordzie DNS TXT
- Wpis w rekordzie DNS CNAME
- Zamieszczenie pliku autoryzującego na serwerze
Na czym dokładniej polega każda z dostępnych metod i która z nich będzie dla Ciebie najwygodniejsza?
Wiadomość e-mail z linkiem autoryzującym
Skorzystanie z tej metody weryfikacji wymaga posiadania administracyjnego konta e-mail w domenie, którą chcesz zabezpieczyć certyfikatem SSL. Zgodnie z regulacjami CA/B Forum, poprzez skrzynkę administracyjną domeny twojadomena.pl należy rozumieć dowolny z poniższych adresów:
- admin@twojadomena.pl
- administrator@twojadomena.pl
- postmaster@twojadomena.pl
- webmaster@twojadomena.pl
- hostmaster@twojadomena.pl
Jak przebiega weryfikacja za pomocą wiadomości e-mail?
- Na wskazane podczas składania zamówienia konto administracyjne wystawca certyfikatu SSL wyśle wiadomość z linkiem autoryzującym.
- Wiadomość zostanie nadana z konta e-mail wybranego wystawcy:
- dla certyfikatów RapidSSL będzie to adres no-reply@rapidssl.com
- dla certyfikatów Thawte będzie to adres no-reply@thawte.com
- dla certyfikatów GeoTrust będzie to adres no-reply@geotrust.com
- W temacie wiadomości znajdzie się następująca informacja:
[Action Required] Approve Certificate Request for twojadomena.pl (Order #numer-zamówienia) - Po kliknięciu w link autoryzujący znajdujący się w treści maila, wyświetlona zostanie strona internetowa zawierająca prośbę o potwierdzenie walidacji (rys. 1).
- W celu zakończenia procedury weryfikacji należy zapoznać się z widocznymi na stronie postanowieniami i kliknąć znajdujący się pod tekstem przycisk Approve Request (rys. 2).
Rys. 1 - Przykładowa wiadomość dotycząca certyfikatu RapidSSL
Rys. 2 - Strona wyświetlana po kliknięciu linku weryfikacyjnego dla certyfikatu RapidSSL
Wpis w rekordzie DNS TXT
Skorzystanie z tej metody weryfikacji polega na dodaniu rekordu TXT do ustawień DNS Twojej domeny.
Jak przebiega weryfikacja za pomocą wpisu w rekordzie TXT?
- Po złożeniu zamówienia otrzymasz od SSL24 wiadomość e-mail z prośbą o sfinalizowanie procesu weryfikacji domeny.
- Skopiuj token autoryzujący znajdujący się w otrzymanej wiadomości.
- Utwórz rekord TXT w strefie DNS domeny, którą chcesz zabezpieczyć certyfikatem SSL.
- Wklej token autoryzujący jako wartość rekordu TXT.
Przykładowy wpis dla domeny twojadomena.pl dla serwera BIND wygląda następująco:
Poprawność utworzonego rekordu TXT można sprawdzić korzystając z narzędzia udostępnianego przez firmę Google pod adresem: https://toolbox.googleapps.com/apps/dig/#TXT/ lub przy wykorzystaniu komendy host:
Wynik wywołania powyższej komendy będzie wyglądał następująco:
Wpis w rekordzie DNS CNAME
Skorzystanie z tej metody weryfikacji polega na dodaniu rekordu CNAME do ustawień DNS Twojej domeny.
Jak przebiega weryfikacja za pomocą wpisu w rekordzie CNAME?
- Po złożeniu zamówienia otrzymasz od SSL24 wiadomość e-mail z prośbą o sfinalizowanie procesu weryfikacji domeny.
- Skopiuj token autoryzujący znajdujący się w otrzymanej wiadomości.
- Utwórz rekord CNAME w strefie DNS domeny, którą chcesz zabezpieczyć certyfikatem SSL.
- Wklej token autoryzujący w polu hosta rekordu CNAME.
- Jako wartość rekordu CNAME wpisz dcv.digicert.com.
Przykładowy wpis dla domeny twojadomena.pl i tokena _012ovx51yj6x6a38dzocr3wuqyqo6 dla serwera BIND wygląda następująco:
Poprawność utworzonego rekordu CNAME można sprawdzić korzystając z narzędzia udostępnianego przez firmę Google pod adresem: https://toolbox.googleapps.com/apps/dig/#CNAME/ lub przy wykorzystaniu komendy host:
Wynik wywołania powyższej komendy będzie wyglądał następująco:
Zamieszczenie pliku autoryzującego na serwerze
Skorzystanie z tej metody weryfikacji polega na zamieszczeniu pliku autoryzującego na serwerze odpowiedzialnym za hosting serwisu internetowego.
UWAGA: Metoda ta nie ma zastosowana dla certyfikatów SSL typu Wildcard.
Jak przebiega weryfikacja za pomocą pliku na serwerze?
- Po złożeniu zamówienia otrzymasz od SSL24 wiadomość e-mail z prośbą o sfinalizowanie procesu weryfikacji domeny.
- Skopiuj token autoryzujący znajdujący się w otrzymanej wiadomości.
- Uzyskaj dostęp do serwera, na którym znajduje się Twoja strona internetowa.
- Na serwerze w katalogu głównym Twojej domeny (np. twojadomena.pl) załóż katalog wraz z podkatalogiem: .well-known/pki-validation/
- W nowoutworzonej lokalizacji zapisz plik TXT pod nazwą fileauth.txt
- W treści pliku wklej token autoryzujący otrzymany w wiadomości e-mail od SSL24.
- Zawartość tak utworzonego pliku można bez problemu zweryfikować z poziomu dowolnej przeglądarki internetowej, podając w pasku pełny adres, np. http://twojadomena.pl/.well-known/pki-validation/fileauth.txt