ドメイン名の利用権確認(DCV)方式
DV TLS/SSLサーバ証明書オーダー上のドメインの検証にサポートされているDCV方式
デジサートが証明書を発行する前に、オーダー上のドメインとSAN(サブジェクトの別名)に対する利用権の証明が行われる必要があります。デジサートは、このプロセスをドメイン名の利用権確認(DCV)プロセスと呼んでいます。
DV証証明書は、ドメインの事前検証をサポートしません。そのため、DV証明書をオーダーするたびに、オーダー上のドメインに対する利用権を証明する必要があります。オーダー後、デジサートが証明書を発行する前に、ドメイン検証が行われる必要があります。
デジサートは現在、CertCentralのDV証明書に対して以下のDCV方式をサポートしています。
WHOISベースのEメール
Email to DNS TXT contact
Constructed email
WHOIS-based email
構築されたEメール
DNS TXT連絡先へのEメール
DNS TXT
Eメール検証
この検証方式では、デジサートがWHOISベースのEメール、構築されたEメール、およびDNS TXTベースのEメールの3通りのDCVメールを送信します。
ドメインに対する利用権を証明するには、Eメールの受信者が、ドメインについて送信された確認Eメールに記載されている手順を実行します。確認プロセスは、メールに記載されているリンク先へのアクセスと、そのページに記載されている手順の実行で構成されています。
Note: DigiCert sends this email from no-reply@digitalcertvalidation.com. If using allowlist, make sure to include digitalcertvalidation.com.
重要
ドメインのWHOISレコードで公開されているEメールアドレスにEメールを受信する予定の場合は、レジストラ/WHOISプロバイダーがその情報をマスクまたは排除していないことを確認してください。マスクされている場合は、レジストラ/WHOISプロバイダーがドメインのWHOISデータへのアクセスをCAに許可する方法(匿名化されたEメールアドレス、ウェブフォームなど)を提供しているかどうかを調べてください。
The industry is moving away from using WHOIS to identify domain contacts. DigiCert recommends that those using the WHOIS-based Email DCV method update their domain validation processes to use one of the other supported DCV methods as soon as possible.
If you still want to use the Email DCV method, use the DNS TXT record email contact or the Constructed email method.
To learn more about the end of life for WHOIS-based email, see our knowledge base article, End of Life for WHOIS based email DCV method.
DNS TXT連絡先へのEメールDCV方式
For the email to DNS TXT contact DCV method, DigiCert sends an authorization email to the email addresses found in the DNS TXT record on the _validation-contactemail
subdomain of the domain you are validating. When validating a domain, make sure to select the Verification email DCV method.
基本要件付録のセクションB.2.1「TXT Record Email Contact」を参照してください。
Place the DNS TXT record on the
_validation-contactemail
subdomain of the domain you want to validate. The RDATA value of this text record must be a valid email address.名前
TTL
メッセージ
_validation-contactemail
デフォルト
validatedomain@digicerttest.com
DigiCert recommends adding a distribution list rather than a personal email address. A distribution list allows you to create a "non-expiring" email address to which you can add or remove people when necessary.
Update your CertCentral account settings to send the verification DCV emails to Org/Tech/Admin contacts from DNS TXT.
In CertCentral, in the left menu, go to Settings > Preferences.
On the Preferences page, select Advanced Settings.
In the Domain Control Validation (DCV) section under Send verification DCV emails to, select Org/Tech/Admin contacts from DNS TXT.
Go to the bottom of the page and select Save Settings.
See our instructions for Using Email verification to validate a domain on a DV TLS certificate
構築されたEメール検証
構築されたEメール方式の場合、デジサートは、ドメインで構築された5つのEメールアドレス(admin、administrator、webmaster、hostmaster、およびpostmaster@[ドメイン名])に承認メールを送信します。
デジサートが[ドメイン名]のMXレコードを見つけられない場合は、サポートされている他のDCV方式のいずれかを使用してドメインに対する利用権を証明する必要があります。
Background
When registering a domain, you must provide contact information, such as administrative and technical contacts. Instead of using a personal email address, you can use one of the constructed email addresses for your domain, such as webmaster@yourdomain. Using a constructed email addresses allows you to create a "non-expiring" email address that you can add or remove people from when necessary.
MXレコード(Mail Exchangerレコード)
ドメイン所有者(またはドメインコントローラ)に認証Eメール(DCVメール)を正常に送信できるようにするため、デジサートは、受信者のドメイン名のDNSレコードにMXレコード(ドメインネームシステム[DNS]内のリソースレコード)が存在することを確認する必要があります。有効なMXレコードの存在は、デジサートによる認証メールの送信を可能にします。
例えば、お客様が、example.com用に構築されたEメールアドレスの1つであるadmin@example.comへのDCVメールの送信を希望しているとします。デジサートがadmin@example.comにDCVメールを正常に送信するには、まず、admin@example.com宛てのEメールを受信するためにセットアップされたサーバー(mailhost.example.comなど)を特定するアドレスに関するMXレコードを見つける必要があります。
WHOISベースのEメール検証
WHOISベースの方式では、デジサートが、ドメインのWHOISレコードに記載されているパブリックドメインの登録所有者に承認メールを送信します。
Are you expecting to receive an email at an address published in your domain’s WHOIS record?
Verify that your registrar/WHOIS provider has not masked or removed that information. If the information is masked, find out if they provide a way (such as anonymized email address, web form) for you to allow Certificate Authorities (CAs) to access your domain’s WHOIS data.
DNS TXT検証
この検証方式では、デジサートが生成したランダムな値(CertCentralアカウント内のドメインに提供されるもの)を、TXTレコードとしてドメインのDNSに追加します。デジサートがドメインに関連付けられたDNS TXTレコードを検索すると、値にデジサートのランダムな値が含まれるレコードを見つけることができます。
DNS CNAME DCV方式
この検証方式では、デジサートが生成したランダムな値(CertCentralアカウント内のドメインに提供されるもの)を、CNAMEレコードとしてドメインのDNSに追加します。次に、CNAMEターゲットとしてdcv.digicert.comを追加します。デジサートがドメインに関連付けられたDNS CNAMEレコードを検索すると、デジサートのランダムな値が含まれるレコードを見つけることができます。
ファイル認証DCV方式(ファイルおよびFileAuthとも呼ばれます)
You can only use the HTTP Practical Demonstration DCV methods to demonstrate control over fully qualified domain names (FQDNs) exactly as named in the certificate request. To learn more, visit Domain Validation Policy Changes.
Validating IPv4 and IPv6 address
Per industry regulations, you can only use the HTTP Practical Demonstration DCV method to demonstrate control over IPv4 and IPv6 addresses.
Use one of the other supported DCV methods to:
Validate wildcard domains, such as *.example.com.
Include subdomains in the validation when validating a higher-level domain. For example, if you want to cover www.example.com, mail.example.com, and one.example.com when validating the higher-level domain example.com.
Validate entire domains and subdomains.
Using HTTP Practical Demonstration
この検証方式では、ウェブサイトの所定の場所である[domain]/.well-known/pki-validation/fileauth.txtで、デジサートが生成したランダムな値(CertCentralアカウント内のドメインに提供されるもの)が含まれるファイルをホストします。ファイルが作成され、サイト上に設置されると、デジサートが指定されたURLにアクセスし、ランダムな値の存在を確認します。