Unterstützte DCV-Methoden für die Validierung der Domänen auf OV/EV TLS/SSL-Zertifikatsaufträgen
Nachweisen der Kontrolle über Domänen in einem anhängigen OV/EV TLS/SSL-Zertifikatsauftrag
Bevor DigiCert ein SSL/TLS-Zertifikat ausstellen kann, müssen Sie beweisen, dass Sie die Domänen und alle zum Zertifikatsauftrag hinzugefügten SANs (Subject Alternative Names) kontrollieren. Wir nennen diesen Vorgang Validierung der Domänenkontrolle (Domain Control Validation, DCV)
DigiCert unterstützt derzeit diese DCV-Methoden:
WHOIS-basierte E-Mail
Konstruierte E-Mail-Adressen
E-Mail an DNS-TXT-Kontakt
DNS CNAME
DNS TXT
HTTP-Praxisbeispiel (auch bezeichnet als File oder FileAuth)
Wichtig
Die Branchenstandards hindern Zertifizierungsstellen (ZSs, CAs) wie DigiCert daran, ein SSL/TLS-Zertifikat auszustellen, bevor die Validierung abgeschlossen ist.
Bei der Bestellung eines Zertifikats wählen Sie eine DCV-Methode, um die Kontrolle über die Domäne auf dem Auftrag nachzuweisen. Auf der Detailseite des Auftrags können Sie anhand der bei der Bestellung ausgewählten DCV-Methode die Domänenvalidierung abschließen. Sie können die Validierungsmethode jederzeit nach Bedarf wechseln.
Hinweis
Vorabvalidierung von Domänen
CertCentral unterstützt für Domänen eine Vorabvalidierung , die es Ihnen erlaubt, Ihre Domänen zu validieren, bevor Sie für sie Zertifikate bestellen. Siehe Vorabvalidierung von Domänen Methoden zur Validierung der Domänenkontrolle (DCV):.
Je früher der Abschluss der Domänenvalidierung, desto schneller können Zertifikate ausgestellt werden. Wenn Sie möchten dass die Zertifikate sofort ausgestellt werden, ist eine Vorabvalidierung der Domäne erforderlich. Siehe Sofortige Ausstellung eines OV-/EV-Zertifikats
E-Mail-DCV-Methode
Bei dieser Prüfmethode sendet DigiCert drei Sets von DCV-E-Mails: WHOIS-basiert, konstruiert und DNS-TXT-basiert.
Zum Nachweis der Kontrolle über die Domäne befolgt der E-Mail-Empfänger die Anweisungen in der für die Domäne gesendeten Bestätigungs-E-Mail. Der Bestätigungsprozess besteht darin, den Link zu verwenden und die Anweisungen auf der Seite zu befolgen.
Siehe Verwenden der E-Mail-Validierungsmethode zur Verifizierung der Domänenkontrolle.
WHOIS-basierte E-Mail-DCV-Methode
Bei der WHOIS-basierten Methode sendet DigiCert eine Autorisierungs-E-Mail an die registrierten Eigentümer der öffentlichen Domäne, die in dem WHOIS-Eintrag der Domäne aufgeführt sind.
Wichtig
Erwarten Sie, eine E-Mail an eine Adresse zu erhalten, die im WHOIS-Eintrag Ihrer Domäne veröffentlicht wurde?
Bitte stellen Sie sicher, dass Ihre Registrierungsstelle/Ihr WHOIS-Anbieter diese Informationen nicht maskiert oder entfernt hat. Falls die Information maskiert ist, bringen Sie in Erfahrung, ob sie Ihnen eine Methode bereitstellen (z. B. anonymisierte E-Mail-Adresse, Internet-Formular), die es Ihnen ermöglicht, Zertifizierungsstellen den Zugriff auf die WHOIS-Daten Ihrer Domäne zu erlauben.
Konstruierte E-Mail-DCV-Methode
Bei der Methode Konstruierte E-Mail sendet DigiCert die Autorisierungs-E-Mail an fünf konstruierte E-Mail-Adressen für die Domäne: admin, administrator, webmaster, hostmaster und postmaster @[domain_name].
Hinweis
Wenn Sie eine Domäne registrieren, müssen Sie Kontaktinformationen angeben (z. B. administrative und technische Ansprechpartner).
Statt einer persönlichen E-Mail-Adresse können Sie eine der konstruierte E-Mail-Adressen für Ihre Domäne verwenden (z. B. webmaster@yourdomain.com). Die Verwendung einer konstruierten E-Mail-Adresse ermöglicht Ihnen, eine dauerhafte E-Mail-Adresse zu erstellen, die Sie Personen nach Bedarf zuweisen oder entziehen können.
Falls wir keinen MX-Eintrag für [domain_name] finden, müssen Sie eine der anderen unterstützten DCV-Methoden zum Nachweis Ihrer Kontrolle über die Domäne verwenden.
MX-Einträge (Mail Exchanger Records)
Bevor wir eine Authentifizierungs-E-Mail (DCV-E-Mail) an den Eigentümer der Domäne (oder den Domänencontroller) senden können, müssen wir sicherstellen, dass ein MX-Eintrag (ein Ressourcen-Eintrag im Domain Name System [DNS]) in den DNS-Einträgen für den Domänennamen des Empfängers vorhanden ist. Das Vorhandensein gültiger MX-Einträge ermöglicht uns, die Authentifizierungs-E-Mail zu senden.
Beispiel: Sie möchten die DCV-E-Mail an eine der konstruierten E-Mail-Adressen erhalten, zum Beispiel an admin@example.com. Um eine DCV-E-Mail an admin@example.com senden zu können, müssen wir zuerst einen MX-Eintrag für die Adresse finden, die den Server identifiziert (z. B. mailhost.example.com), der dafür eingerichtet wurde, die E-Mails für admin@example.com zu empfangen.
Falls wir einen MX-Eintrag finden, können wir eine DCV-E-Mail an admin@example.com senden. Falls wir keinen MX-Eintrag finden, wird keine DCV-E-Mail gesendet, weil wir den richtigen Mail-Server nicht identifizieren können.
E-Mail an DNS-TXT-Kontakt DCV-Methode
Bei der DCV-Methode E-Mail an DNS-TXT-Kontakt sendet DigiCert eine Autorisierungs-E-Mail an die E-Mail-Adressen, die im DNS-TXT-Eintrag zur _validation-contactemail-Subdomäne der zu überprüfenden Domäne gefunden wurden.
Hinweis
Um die DCV-Methode E-Mail an DNS-TXT-Kontakt zu verwenden, stellen Sie sicher, dass Sie die DCV-Methode Verifizierungs-E-Mail wählen, wenn Sie ein Zertifikat bestellen oder die DCV-Methode für eine Domäne ändern.
E-Mail-Kontakte im DNS-TXT-Eintrag
Um die DCV-Methode E-Mail an DNS-TXT-Kontakt zu verwenden, müssen Sie den DNS-TXT-Eintrag auf der _validation-contactemail-Subdomäne der zu validierenden Domäne platzieren. Der RDATA-Wert dieses Texteintrags muss eine gültige E-Mail-Adresse sein.
Name | TTL | Meldung |
|---|---|---|
| Standard | validatedomain@digicerttest.com |
Siehe Abschnitt B.2.1 „E-Mail-Kontakt für DNS-TXT-Eintrag“ im Anhang der Basisanforderungen.
DNS-CNAME-DCV-Methode
Fügen Sie einen von DigiCert generierten Token (bereitgestellt für die Domäne in Ihrem CertCentral-Konto) als CNAME-Eintrag zur Domänen-DNS hinzu. Anschließend wird dcv.digicert.com als CNAME-Ziel hinzugefügt. Wenn DigiCert nach DNS-CNAME-Einträgen sucht, die mit der Domäne verknüpft sind, finden wir einen Eintrag, der das Verifizierungs-Token von DigiCert enthält.
Siehe Verwenden der DNS CNAME-Validierungsmethode, um die Domänenkontrolle zu verifizieren.
DNS-TXT-DCV-Methode
Fügen Sie einen von DigiCert generierten Token (bereitgestellt für die Domäne in Ihrem CertCentral-Konto) als TXT-Eintrag zur Domänen-DNS hinzu. Wenn DigiCert nach DNS-TXT-Einträgen sucht, die mit der Domäne verknüpft sind, finden wir einen Eintrag, der das Verifizierungs-Token von DigiCert enthält.
Siehe Verwenden der DNS TXT-Validierungsmethode, um die Domänenkontrolle zu verifizieren
DCV-Methode HTTP-Praxisbeispiel (auch bezeichnet als File oder FileAuth)
Hosten Sie eine Datei, die den von DigiCert generierten Zufallswert enthält (bereitgestellt für die Domäne in Ihrem CertCentral-Konto), an einem vorher festgelegten Ort auf Ihrer Website: [your-domain]/.well-known/pki-validation/fileauth.txt. Nachdem die Datei erstellt und auf Ihrer Website platziert wurde, besucht DigiCert die angegebene URL, um die Präsenz unseres Zufallswerts zu bestätigen.
Siehe Verwenden der HTTP-Praxisbeispiel-Validierungsmethode, um die Domänenkontrolle zu verifizieren.