ファイル認証CV方式のよくある間違い
ファイル認証DCV方式を使用してドメインを認証するには、以下の2つのアイテムが必要です。
デジサートが提供するランダムな値。
ランダムな値が含まれるfileauth.txtファイルを設置する必要があるURL(ウェブサイト上の場所)。例えば、http://[yourdomain.com]/.well-known/pki-validation/fileauth.txtなどです。
URL(http://[yourdomain.com]/.well-known/pki-validation/fileauth.txt)には2つの役割があります。
デジサートが検証するドメインのFQDN(完全修飾ドメイン名)が含まれている。
生成されたランダムな値が追加されるfileauth.txtファイルを検索する場所を示して、デジサートがそのファイルを見つけられるようにする。
以下は、ファイルチェックが失敗する理由のトラブルシューティングで見受けられる一般的な問題の一部です。ファイル認証DCVプロセスは、許可を持たない個人が利用権を持つドメインを使用して、利用権を持たないドメイン(お客様のドメインなど)を検証し、証明書を取得することを防ぐように設計されています。
デジサートが提供するURLを変更しないでください。
何らかの方法でURLが変更されると(FQDNを変更する、小文字を大文字にする、ピリオドを付け忘れるなど)、デジサートは生成されたランダムな値が含まれるfileauth.txtファイルを見つけることができません。
例えば、[http://yourdomain.com]/.well-known/pki-validation/fileauth.txtというURLでは、URLにwwwを追加したり([http://]www.yourdomain.com]/.well-known/pki-validation/fileauth.txt)、元のURLで小文字になっている文字を大文字にしたり([http://[yourdomain.com]/.well-known/PKI-validation/fileauth.txt)することがないようにしてください。
fileauth.txtファイルを異なるドメインやサブドメインに設置しないでください
yourdomain.comに対するドメイン名の利用権確認を完了するには、検証する正確なドメインにfileauth.txtファイルを設置するようにしてください。デジサートがランダムな値を見つけるために異なるドメインやサブドメインを調べることはありません。デジサートが調べるのは、お客様が検証を希望するドメイン(つまり、証明書オーダー上のドメイン)だけです。
例えば、[yourdomain].comを検証する必要がある場合、このドメインのhttp://[yourdomain].com/.well-known/pki-validation/fileauth.txtというURLを使用します。fileauth.txtファイルを[yourdomain].comに設置したり、URLを変更して[yourotherdomain].comに設置したりしないでください。これらは機能しません。デジサートは、これらのドメイン上のfileauth.txtファイルを見つけることができません。デジサートは、証明書オーダーからのドメインである[yourdomain].comでファイルを探します。
[your-domain].comとwww.[your-domain].com
www.[your-domain]と[your-domain]を検証するには、fileauth.txtファイルをwww.[your-domain]と[your-domain]の両方に設置する必要があります。2021年11月16日をもって、完全修飾ドメイン名(FQDN)に対する利用権の証明には、正確なFQDNでのファイルベースのDCV方式以外は使用できなくなりました。この変更の詳細については、ナレッジベース記事「ドメイン名の認証ポリシーの変更について – 2021年」を参照してください。
無料のベースドメインSAN
SSL/TLSサーバ証明書で無料のベースドメインSANを取得した場合は、そのベースドメインにfileauth.txtファイルを設置するようにしてください。デジサートは、SSL/TLSサーバ証明書オーダー上のドメインを検証する必要があります。
fileauth.txtファイルに追加のコンテンツを含めないでください
fileauth.txtファイルを作成するときは、デジサート提供のランダムな値をコピーして、このファイルに貼り付けます。「token」、「value」といった単語や、その他のテキストを追加しないでください
デジサートが読み取るのはfileauth.txtファイルの最初の2kbのみであることから、追加のテキストがあると、ドメイン名の利用権を検証できなくなります。
複数のリダイレクトが設定されたページにfileauth.txtファイルを設置しないでください
ファイル認証DCV方式を使用しているときは、最大1個のリダイレクトが含まれるページにfileauth.txt ファイルを設置することができます。単一のリダイレクトならば、fileauth.txtファイルを見つけてドメインに対する利用権を確認することができます。
例えば、http://example.comの証明書が必要であるが、そのページがhttps://www.example.comにリダイレクトされるという場合でも大丈夫です。fileauth.txtファイルはhttp://example.comページに設置できます。単一リダイレクトをたどっても、http://example.comに対する利用権を検証することが可能です。
ただし、複数のリダイレクトが設定されたページにfileauth.txtファイルが設置されている場合、デジサートはファイルを見つけることができません。複数のリダイレクトがあると、デジサートはfileauth.txtファイルを見つけてドメインに対する利用権を検証できなくなります。
例えば、http://multiple-redirect.comの証明書が必要であるときに、ページがhttps://www.multiple-redirect.comにリダイレクトされ、そこからさらにhttps://www.single-redirect.comにリダイレクトされるとします。この場合でも、fileauth.txtファイルはhttp://multiple-redirect.comページに配置される必要がありますが、2番目のリダイレクト(https://www.single-redirect.com)は、デジサートがfileauth.txtを見つけてhttp://multiple-redirect.comに対する利用権を検証をするために十分な時間、無効にしておく必要があります。