Veelgemaakte fouten: DCV-methode Praktische HTTP-demonstratie
Om uw domein te valideren met behulp van de DCV-methode Praktische HTTP-demonstratie, heeft u twee items nodig:
Een willekeurige waarde geleverd door DigiCert.
A DigiCert-generated unique filename (for HTTP Practical Demonstration with unique filename only).
De URL of locatie waar u het bestand fileauth.txt met de willekeurige waarde op uw website moet plaatsen: http://[uw-domein]/.well-known/pki-validation/fileauth.txt.
http://[domain-name]/.well-known/pki-validation/fileauth.txt.
http://{domain-name}/.well-known/pki-validation/{unique-filename}.txt
De URL doet twee dingen:
De URL bevat de FQDN (Fully Qualified Domain Name) van het domein dat u door ons wilt laten valideren.
De URL vertelt ons waar we moeten zoeken, zodat we fileauth.txt kunnen vinden waaraan u de gegenereerde willekeurige waarde toevoegt.
Hieronder staan enkele van de meest voorkomende problemen die we tegenkomen bij het oplossen van de redenen waarom controles voor Praktische HTTP-demonstratie mislukken. Het DCV-proces voor Praktische HTTP-demonstratie is ontworpen om te voorkomen dat een onbevoegd persoon een domein gebruikt dat hij wel beheert om te valideren en een certificaat te krijgen voor een domein dat hij niet beheert, zoals een van u.
Wijzig de opgegeven URL niet
Als u op enigerlei wijze de URL verandert (wijzigen van de FQDN, hoofdletters maken van kleine letters, een punt vergeten toe te voegen, enz.), kunnen we het fileauth.txt-bestand met onze gegenereerde willekeurige waarde erin niet vinden.
Als we u bijvoorbeeld deze URL geven: [http://uw-domein]/.well-known/pki-validation/fileauth.txt, voeg daar dan niet www aan toe ([http://www.uw-domein]/.well-known/pki-validation/fileauth.txt) en maak ook geen hoofdletter van een letter die geen hoofdletter was in de oorspronkelijke URL ([http://uw-domein]/.well-known/PKI -validation/fileauth.txt).
Plaats fileauth.txt niet in een ander domein of subdomein
Om de validatie van domeincontrole voor [uw-domein] te voltooien, plaatst u het fileauth.txt-bestand op het exacte domein dat u wilt valideren, te weten het domein waarvoor we de URL genereren. We kijken niet naar een ander domein of subdomein om ons willekeurig token te vinden. We kijken alleen naar het domein dat u gevalideerd wilt hebben (zoals het domein op uw certificaatorder).
Als u bijvoorbeeld [uw-domein] wilt laten valideren, genereren we een URL voor dit domein – [http://uwdomein]/.well-known/pki-validation/fileauth.txt.
Plaats het fileauth.txt-bestand niet op [sub.uw-domein] en wijzig ook niet de URL om deze te plaatsen op [uw-ander-domein] – dat zal niet werken. We kunnen het bestand fileauth.txt niet op deze domeinen vinden. We zoeken ernaar op [uw-domein], het domein van uw certificaatorder of het domein dat u voor prevalidatie heeft ingediend.
[uw-domein] en www.[uw-domein]
Als u www.[uw-domein] en [uw-domein] wilt valideren, moet u een uniek fileauth.txt-bestand plaatsen op www.[uw-domein] en nog een op [uw-domein]. Sinds 16 november 2021 kunt u alleen de op bestanden gebaseerde DCV-methode gebruiken om het beheer over volledig gekwalificeerde domeinnamen (FQDN's) aan te tonen, precies zoals ze worden genoemd. Zie het knowledgebase-artikel Wijzigingen in domeinvalidatiebeleid in 2021 voor meer informatie over deze wijziging.
Gratis basisdomein-SAN
Als u een gratis basisdomein-SAN op uw SSL-certificaat heeft ontvangen, zorg er dan voor dat u het fileauth.txt-bestand op het basisdomein plaatst. We moeten het domein valideren op de SSL/TLS-certificaatorder.
Voeg geen extra inhoud toe aan het bestand fileauth.txt
Wanneer u het bestand fileauth.txt maakt, kopieert u de door DigiCert verstrekte tokenwaarde en plakt u deze in het bestand. Voeg niet het woord "token" of andere tekst toe.
We lezen alleen de eerste 2 KB van het bestand fileauth.txt. Elke aanvullende tekst maakt het voor ons onmogelijk om uw controle over het domein te valideren.
Plaats het bestand fileauth.txt niet op een pagina met meerdere omleidingen
Bij gebruik van de Praktische HTTP-demonstratie-methode voor domeinvalidatie, kan het fileauth.txt-bestand op een pagina worden geplaatst die maximaal één omleiding bevat. Met één enkele omleiding kunnen we nog steeds het fileauth.txt-bestand lokaliseren en uw controle over het domein verifiëren.
U heeft bijvoorbeeld een certificaat nodig voor http://voorbeeld.com, maar de pagina leidt om naar https://www.voorbeeld.com. En dat is prima. Plaats het bestand fileauth.txt op de pagina http://voorbeeld.com. We kunnen nog steeds de ene omleiding volgen om uw controle over http://voorbeeld.com te valideren.
Als u het fileauth.txt-bestand echter op een pagina met meerdere omleidingen plaatst, kunnen we het bestand niet vinden. Meerdere omleidingen voorkomen dat we het fileauth.txt-bestand kunnen vinden en uw controle over het domein kunnen valideren.
U heeft bijvoorbeeld een certificaat nodig voor http://multiple-redirect.com, maar de pagina leidt om naar https://www.multiple-redirect.com en vervolgens opnieuw naar https://www.single-redirect.com. In dat geval moet u nog steeds het fileauth.txt-bestand op de http://multiple-redirect.com-pagina plaatsen. U moet echter de tweede omleiding (https://www.single-redirect.com) lang genoeg uitschakelen zodat wij het fileauth.txt-bestand kunnen lokaliseren en uw controle over http://multiple-redirect.com kunnen valideren.