Metodi di convalida del controllo del dominio (DCV)
Metodi DCV supportati per la convalida dei domini sugli ordini di certificato DV TLS/SSL
Prima che DigiCert possa emettere un certificato, è necessario dimostrare di avere il controllo sui domini e su eventuali SAN (nomi alternativi del soggetto) nell'ordine. Questo processo viene chiamato convalida del controllo del dominio (DCV).
I certificati DV non supportano la pre-convalida di dominio. Pertanto, ogni qualvolta ordini un certificato DV, devi dimostrare il controllo sui domini nel tuo ordine. Dopo aver effettuato l’ordine, devi completare la convalida dominio prima che DigiCert possa emettere un certificato DV.
Avviso
I certificati saranno emessi solo dopo aver completato la convalida dominio.
Per i certificati in CertCentral, DigiCert attualmente supporta i seguenti metodi DCV:
E-mail basata su WHOIS
E-mail costruita
E-mail a contatto DNS TXT
DNS TXT
File
Convalida email
Con questo metodo di convalida, DigiCert invia tre serie di e-mail DCV: basata su WHOIS, costruita e basata su DNS TXT.
Per dimostrare il controllo sul dominio, il destinatario e-mail segue le istruzioni indicate in un’e-mail di conferma inviata per il dominio. Il processo di conferma consiste nel visitare il link nell’e-mail e seguire le istruzioni riportate sulla pagina.
Convalida e-mail basata su WHOIS
Per il metodo basato su WHOIS, DigiCert invia un’e-mail di autorizzazione ai titolari registrati del dominio pubblico come mostrato nel record WHOIS del dominio.
Nota
Ti aspetti di ricevere un’e-mail in un indirizzo pubblicato nel record WHOIS del tuo dominio? Verifica che il tuo registrar/WHOIS provider non abbia mascherato o rimosso tali informazioni. Se sì, scopri se fornisce un modo (ad es. indirizzo e-mail reso anonimo, modulo web) per consentire alle CA di accedere ai dati WHOIS del tuo dominio.
Convalida e-mail costruita
Per il metodo E-mail costruita, DigiCert invia l’e-mail di autorizzazione a cinque indirizzi e-mail costruiti per il dominio: admin, amministratore, webmaster, hostmaster e postmaster @[domain_name].
Nota
Quando registri un dominio, devi fornire le tue informazioni di contatto e identificazione (ad es. contatti amministrativi e tecnici). Anziché usare un indirizzo e-mail personale, puoi usare uno degli indirizzi e-mail costruiti per il tuo dominio (ad es. webmaster@iltuodominio.com). L’utilizzo di uno degli indirizzi e-mail costruiti ti consente di creare un indirizzo e-mail “che non scade” da cui puoi aggiungere o rimuovere persone quando necessario.
Se non riusciamo a trovare un record MX per [domain_name], devi usare uno degli altri metodi DCV supportati per dimostrare il controllo sul dominio.
Record MX (record Mail Exchanger)
Prima di poter inviare correttamente un’e-mail di autenticazione (e-mail DCV) al titolare del dominio (o al controller di dominio), dobbiamo verificare che un record MX (un record risorsa nel sistema dei nomi dominio [DNS) esista nei record DNS del nome dominio del destinatario. La presenza di record MX validi ci consente di inviare l’e-mail di autenticazione.
Ad esempio, vuoi ricevere la tua e-mail DCV in uno degli indirizzi e-mail costruiti per esempio.com, admin@esempio.com. Per inviare correttamente un’e-mail DCV ad admin@esempio.com, dobbiamo prima trovare un record MX per l’indirizzo che identifica l’impostazione server (ad es. mailhost.esempio.com) per ricevere le e-mail dirette ad admin@esempio.com
Se troviamo un record MX, possiamo inviare correttamente un’e-mail DCV ad admin@esempio.com. Se non troviamo un record MX, non sarà inviata alcuna e-mail DCV dal momento che non riusciamo a identificare il mail server corretto.
Metodo DCV E-mail a contatto DNS TXT
Per il metodo DCV E-mail a contatto DNS TXT, DigiCert invia un’e-mail di autorizzazione agli indirizzi e-mail trovati nel record DNS TXT nel sottodominio _validation-contactemail del dominio da convalidare.
Avviso
Per usare il metodo DCV E-mail a contatto DNS TXT, assicurati di scegliere il metodo DCV Verifica e-mail ordinando un certificato o cambiando metodi DCV per i tuoi domini.
Contatti e-mail per record DNS TXT
Per usare il metodo DCV E-mail a contatto DNS TXT, devi posizionare il record DNS TXT nel sottodominio _validation-contactemail del dominio che vuoi convalidare. Il valore RDATA di questo record di testo deve essere un indirizzo e-mail valido.
Nome | TTL | Messaggio |
|---|---|---|
| Impostazione predefinita | validatedomain@digicerttest.com |
Consulta la sezione B.2.1 Contatti e-mail per record DNS TXT nell’Appendice dei requisiti base.
Convalida DNS TXT
Con questo metodo di convalida, aggiungi un valore casuale generato da DigiCert (fornito per il dominio nel tuo account CertCentral) al DNS del dominio come record TXT. Quando DigiCert effettua una ricerca per i record DNS TXT associati al dominio, possiamo trovare un record in cui il valore del record include il valore casuale DigiCert.
Metodo DNS CNAME DCV
Con questo metodo di convalida, aggiungi un valore casuale generato da DigiCert (fornito per il dominio nel tuo account CertCentral) al DNS del dominio come record CNAME. Dopodiché, aggiungi dcv.digicert.com come target CNAME. Quando DigiCert cerca un record DNS CNAME associato al dominio, possiamo trovarne uno che includa il valore DigiCert casuale.
Metodo DCV di dimostrazione pratica HTTP (indicato anche con File e FileAuth)
Con questo metodo di convalida, ospiti un file contenente un valore casuale generato da DigiCert (fornito per il dominio nel tuo account CertCentral) in una posizione predeterminata sul tuo sito web: [dominio]/.well-known/pki-validation/fileauth.txt. Una volta che il file viene creato e messo sul tuo sito, DigiCert visita l’URL specificato per confermare la presenza del nostro valore casuale.