Skip to main content

よくある間違い:ファイル認証DCV方式

ファイル認証DCV方式を使用してドメインを認証するには、以下の2つのアイテムが必要です。

  1. デジサートが提供するランダムな値。

  2. A DigiCert-generated unique filename (for HTTP Practical Demonstration with unique filename only).

  3. ランダムな値が含まれるfileauth.txtファイルを設置する必要があるURL(ウェブサイト上の場所):http://[your-domain]/.well-known/pki-validation/fileauth.txt。

    • http://[domain-name]/.well-known/pki-validation/fileauth.txt.

    • http://{domain-name}/.well-known/pki-validation/{unique-filename}.txt

URLには以下の2つの役割があります。

  1. デジサートが検証するドメインのFQDN(完全修飾ドメイン名)が含まれている。

  2. 生成されたランダムな値が追加されるfileauth.txtを検索する場所を示して、デジサートがファイルを見つけられるようにする。

以下は、ファイル認証チェックが失敗する理由のトラブルシューティングで見受けられる一般的な問題の一部です。ファイル認証DCVプロセスは、許可を持たない個人が利用権を持つドメインを使用して、利用権を持たないドメイン(お客様のドメインなど)を検証し、証明書を取得することを防ぐように設計されています。

提供されたURLを変更しないでください

何らかの方法でURLが変更されると(FQDNを変更する、小文字を大文字にする、ピリオドを付け忘れるなど)、デジサートは生成されたランダムな値が含まれるfileauth.txtファイルを見つけられません。

例えば、デジサートが[http://your-domain]/.well-known/pki-validation/fileauth.txtというURLを提供する場合、このURLにwwwを追加したり([http://www.your-domain]/.well-known/pki-validation/fileauth.txt)、元のURLで小文字になっている文字を大文字にしたり([http://your-domain]/.well-known/PKI-validation/fileauth.txt)することがないようにしてください。

fileauth.txtを異なるドメインやサブドメインに設置しないでください

[your-domain]に対するドメイン名の利用権確認を完了するには、検証する正確なドメイン、つまりデジサートがURLを生成するドメインにfileauth.txtファイルを設置するようにしてください。デジサートがランダムなトークンを見つけるために異なるドメインやサブドメインを調べることはありません。デジサートが調べるのは、お客様が検証を希望するドメインだけです(証明書オーダー上のドメインなど)。

例えば、[your-domain]を検証する必要がある場合、デジサートはこのドメインのURL([http://your-domain]/.well-known/pki-validation/fileauth.txt)を生成します。

fileauth.txtファイルを[sub.your-domain]に設置したり、URLを変更して[your-other-domain]に設置したりしないでください。これらは機能しません。デジサートは、これらのドメイン上のfileauth.txtファイルを見つけることができません。デジサートがファイルを検索するのは、[your-domain]、証明書オーダーからのドメイン、または事前検証を申請したドメインです。

[your-domain].comとwww.[your-domain].com

www.[your-domain]と[your-domain]を検証するには、一意のfileauth.txtファイルをwww.[your-domain]に設置し、別のfileauth.txtファイルを[your-domain]に設置する必要があります。2021年11月16日をもって、完全修飾ドメイン名(FQDN)に対する利用権の証明には、正確なFQDNでのファイルベースのDCV方式以外は使用できなくなりました。この変更の詳細については、ナレッジベース記事「ドメイン名の認証ポリシーの変更について – 2021年」を参照してください。

無料のベースドメインSAN

SSL/TLSサーバ証明書で無料のベースドメインSANを取得した場合は、そのベースドメインにfileauth.txtファイルを設置するようにしてください。デジサートは、SSL/TLSサーバ証明書オーダー上のドメインを検証する必要があります。

fileauth.txtファイルに追加のコンテンツを含めないでください

fileauth.txtファイルを作成するときは、デジサート提供のトークン値をコピーして、それをこのファイルに貼り付けます。「token」という単語や、その他のテキストを追加しないでください

デジサートが読み取るのはfileauth.txtファイルの最初の2kbのみです。テキストが追加されていると、デジサートはドメインに対する利用権を検証できません。

複数のリダイレクトが設定されたページにfileauth.txtファイルを設置しないでください

ドメイン検証にファイル認証方式を使用しているときは、最大1個のリダイレクトが含まれるページにfileauth.txt ファイルを設置することができます。単一のリダイレクトならば、fileauth.txtファイルを見つけてドメインに対する利用権を確認することができます。

例えば、http://example.comの証明書が必要であるが、そのページがhttps://www.example.comにリダイレクトされるという場合でも大丈夫です。fileauth.txtファイルをhttp://example.comページに設置してください。単一リダイレクトをたどっても、http://example.comに対する利用権を検証することが可能です。

ただし、複数のリダイレクトが設定されたページにfileauth.txtファイルが設置されている場合、デジサートはファイルを見つけることができません。複数のリダイレクトがあると、デジサートはfileauth.txtファイルを見つけてドメインに対する利用権を検証できなくなります。

例えば、http://multiple-redirect.comの証明書が必要であるときに、ページがhttps://www.multiple-redirect.comにリダイレクトされ、そこからさらにhttps://www.single-redirect.comにリダイレクトされるとします。この場合でも、fileauth.txtファイルはhttp://multiple-redirect.comページに配置される必要がありますが、2番目のリダイレクト(https://www.single-redirect.com)は、デジサートがfileauth.txtを見つけてhttp://multiple-redirect.comに対する利用権を検証をするために十分な時間、無効にしておく必要があります。