共通の間違い:HTTP 実際的証明 DCV 方法

HTTP 実際的証明 DCV 方法を使用してお使いのドメインを認証するため、DigiCert はお客様に URL とトークン値を提供します。URL には以下の2つの役割があります。

  • お客様が当社に認証を希望するドメインの FQDN (完全適格なドメイン名) が含まれていること。
  • お客様が、生成されたランダム値の追加先となる verificationtoken.txt が探すことができるように、当社にどこを確認するかを伝えること。

HTTP 実際的証明チェックが失敗する理由をトラブルシューティングする場合に、当社が直面する共通の問題をいくつかを挙げると、以下のとおりです。HTTP 実際的証明 DCV プロセスは、未承認の個人が実際は管理していないドメイン、すなわち、今お客様がお使いのもので認証を受けたり、証明書を取得したりするのに、そのような未承認の個人が管理するドメインを使用するのを防止することを目的に設計されています。

所定の URL を修正しない

URL をいずれかの方法 (FQDN への変更、小文字の大文字への変更、期間の追加を忘れるなど) で修正すると、当社では当社生成のランダム値のある verificationtoken.txt ファイルを見つけることはできません。

例えば、当社がお客様にこの URL: [http://yourdomain.com]/.Well-known/pki-validation/verificationtoken.txt を提供した場合、そこに www を加えたり ([http://www.yourdomain.com]/.well-known/pki-validation/verificationtoken.txt)、あるいは元の URL ([http://yourdomain.com]/.well-known/PKI-validation/verificationtoken.txt) では大文字になっていない文字を大文字にしたりしないでください。

verificationtoken.txt を別のドメインまたはサブドメインに入れないでください

yourdomain.com のドメイン名の利用権確認を完了するには、認証を希望する正しいドメイン(その URL を当社が生成するもの)に verificationtoken.txt ファイルを入れます。当社のランダムトークンを探すために、別のドメインまたはサブドメインをみることはありません。当社では、お客様が認証を希望するドメインをみるだけです (証明書オーダー時のドメインなど)。

例えば、お客様が TLS/SSL 証明書の申請ができるように、 yourdomain.com の認証を必要とする場合、当社ではこのドメインに URL を以下のような生成します – [http://yourdomain.com]/.well-known/pki-validation/verificationtoken.txt.verificationtoken.txt ファイルを sub.yourdomain.com に入れたり、URL を修正して yourotherdomain.com に入れたりしないでください – それでは機能しません。当社ではこれらのドメインにある verificationtoken.txt ファイルを見つけることはできません – 見つけることができるのは yourdomain.com、

yourdomain.com および www.yourdomain.com にある場合のみです。

www.yourdomain.com および yourdomain.com の認証を希望する場合は、verificationtoken.txt ファイルを yourdomain.com に入れます。これにより、yourdomain.com と www.yourdomain.com が両方認証されます。当社では、verificationtoken.txt ファイルを探すため www.yourdomain.com をみることはありません。

フリーベースドメイン SAN

フリーベースドメイン SAN が SSL 証明書に届いた場合は、verificationtoken.txt ファイルを必ず、ベースドメインに入れてください。SSL 証明書オーダーでドメインを認証する必要があります。

verificationtoken.txt ファイルに追加コンテンツを含めないでください

verificationtoken.txt ファイルを作成する場合、DigiCert 提供の値をコピーし、ファイルに貼り付けます。"トークン" の単語または他のテキストは入力しないでください、

verificationtoken.txt ファイルの最初の 2kb のみを読み取るため、追加テキストがあると、お客様のドメイン管理の認証がブロックされます。

verificationtoken.txt ファイルを複数のリダイレクトのページに入れないでください。

ドメイン認証に HTTP 実際的証明方法を使用する場合、verificationtoken.txt ファイルを、最大1つのリダイレクトを含むページに入れることができます。単一リダイレクトの場合は、verificationtoken.txt ファイルを探し、お客様のドメイン管理を確認することができます。

例えば、 http://example.com の証明書が必要で、そのページが https://www.example.com にリダイレクトされる場合は、問題ありません。verificationtoken.txt ファイルを http://example.com ページに入れることができます。単一リダイレクトの場合はその移動先で http://example.com の管理を認証することができます。

ただし、verificationtoken.txt ファイルを複数のリダイレクトのあるページに入れると、当社でそのファイルを見つけることができません複数のリダイレクトにより、 verificationtoken.txt ファイルを探し、ドメイン管理を認証することがブロックされます。

例えば、http://multiple-redirect.com の証明書が必要で、ページが https://www.multiple-redirect.com にリダイレクトされ、さらにそこから https://www.single-redirect.com にもう一度リダイレクトされる場合です。この場合、verificationtoken.txt ファイルは http://multiple-redirect.com ページにいれなければなりません。ただし、verificationtoken.txt を探し、http://multiple-redirect.com の管理を認証するのに十分な時間、2番目のリダイレクト (https://www.single-redirect.com) を無効にする必要があります。