ドメイン名の利用権確認(DCV)方式
DV TLS/SSLサーバ証明書オーダー上のドメインの検証にサポートされているDCV方式
デジサートが証明書を発行する前に、オーダー上のドメインとSAN(サブジェクトの別名)に対する利用権の証明が行われる必要があります。デジサートは、このプロセスをドメイン名の利用権確認(DCV)プロセスと呼んでいます。
DV証証明書は、ドメインの事前検証をサポートしません。そのため、DV証明書をオーダーするたびに、オーダー上のドメインに対する利用権を証明する必要があります。オーダー後、デジサートが証明書を発行する前に、ドメイン検証が行われる必要があります。
注記
証明書は、ドメイン検証が完了するまで発行されません。
デジサートは現在、CertCentralのDV証明書に対して以下のDCV方式をサポートしています。
WHOISベースのEメール
構築されたEメール
DNS TXT連絡先へのEメール
DNS TXT
ファイル
Eメール検証
この検証方式では、デジサートがWHOISベースのEメール、構築されたEメール、およびDNS TXTベースのEメールの3通りのDCVメールを送信します。
ドメインに対する利用権を証明するには、Eメールの受信者が、ドメインについて送信された確認Eメールに記載されている手順を実行します。確認プロセスは、メールに記載されているリンク先へのアクセスと、そのページに記載されている手順の実行で構成されています。
WHOISベースのEメール検証
WHOISベースの方式では、デジサートが、ドメインのWHOISレコードに記載されているパブリックドメインの登録所有者に承認メールを送信します。
注記
ドメインのWHOISレコードで公開されているEメールアドレスにEメールを受信する予定の場合は、レジストラ/WHOISプロバイダーがその情報をマスクまたは排除していないことを確認してください。マスクされている場合は、レジストラ/WHOISプロバイダーがドメインのWHOISデータへのアクセスをCAに許可する方法(匿名化されたEメールアドレス、ウェブフォームなど)を提供しているかどうかを調べてください。
構築されたEメール検証
構築されたEメール方式の場合、デジサートは、ドメインで構築された5つのEメールアドレス(admin、administrator、webmaster、hostmaster、およびpostmaster@[ドメイン名])に承認メールを送信します。
注記
ドメインを登録するときは、個人識別情報と連絡先情報(管理担当者および技術担当者など)を提供する必要があります。個人用のEメールアドレスを使用する代わりに、ドメインで構築されたEメールアドレスの1つ(webmaster@yourdomain.comなど)を使用することができます。構築されたEメールアドレスの1つを使用することで、必要に応じて人を追加または削除できる「無期限」のEメールアドレスを作成することができます。
デジサートが[ドメイン名]のMXレコードを見つけられない場合は、サポートされている他のDCV方式のいずれかを使用してドメインに対する利用権を証明する必要があります。
MXレコード(Mail Exchangerレコード)
ドメイン所有者(またはドメインコントローラ)に認証Eメール(DCVメール)を正常に送信できるようにするため、デジサートは、受信者のドメイン名のDNSレコードにMXレコード(ドメインネームシステム[DNS]内のリソースレコード)が存在することを確認する必要があります。有効なMXレコードの存在は、デジサートによる認証メールの送信を可能にします。
例えば、お客様が、example.com用に構築されたEメールアドレスの1つであるadmin@example.comへのDCVメールの送信を希望しているとします。デジサートがadmin@example.comにDCVメールを正常に送信するには、まず、admin@example.com宛てのEメールを受信するためにセットアップされたサーバー(mailhost.example.comなど)を特定するアドレスに関するMXレコードを見つける必要があります。
MXレコードが見つかれば、admin@example.comにDCVメールを正常に送信することができます。MXレコードが見つからない場合は、適切なメールサーバーを特定できないため、DCVメールは送信されません。
DNS TXT連絡先へのEメールDCV方式
DNS TXT連絡先へのEメールDCV方式の場合、デジサートは、検証されているドメインの_validation-contactemail
サブドメイン上のDNS TXTレコードにあるEメールアドレスに承認Eメールを送信します。
注記
DNS TXT連絡先へのEメールDCV方式を使用するには、証明書をオーダーする、またはドメインのDCV方式を変更するときに申請承認メールDCV方式を選択するようにしてください。
DNS TXTレコードのEメール連絡先
DNS TXT連絡先へのEメールDCV方式を使用するには、検証したいドメインの_validation-contactemail
サブドメインにDNS TXTレコードを設置する必要があります。このテキストレコードのRDATA値は、有効なEメールアドレスである必要がります。
名前 | TTL | メッセージ |
---|---|---|
| デフォルト | validatedomain@digicerttest.com |
DNS TXT検証
この検証方式では、デジサートが生成したランダムな値(CertCentralアカウント内のドメインに提供されるもの)を、TXTレコードとしてドメインのDNSに追加します。デジサートがドメインに関連付けられたDNS TXTレコードを検索すると、値にデジサートのランダムな値が含まれるレコードを見つけることができます。
DNS CNAME DCV方式
この検証方式では、デジサートが生成したランダムな値(CertCentralアカウント内のドメインに提供されるもの)を、CNAMEレコードとしてドメインのDNSに追加します。次に、CNAMEターゲットとしてdcv.digicert.comを追加します。デジサートがドメインに関連付けられたDNS CNAMEレコードを検索すると、デジサートのランダムな値が含まれるレコードを見つけることができます。
ファイル認証DCV方式(ファイルおよびFileAuthとも呼ばれます)
この検証方式では、ウェブサイトの所定の場所である[domain]/.well-known/pki-validation/fileauth.txtで、デジサートが生成したランダムな値(CertCentralアカウント内のドメインに提供されるもの)が含まれるファイルをホストします。ファイルが作成され、サイト上に設置されると、デジサートが指定されたURLにアクセスし、ランダムな値の存在を確認します。