Antes de ser possível que a DigiCert emita um certificado SSL/TLS, você deve demonstrar controle sobre os domínios e quaisquer SANs (Nomes alternativos da entidade) no pedido do certificado. Referimo-nos a este processo como o processo de Validação de controle do domínio (DCV).
A DigiCert atualmente suporta estes métodos DCV: E-mail baseado em WHOIS, E-mail Construído, CNAME de DNS, DNS TXT e Demonstração prática de HTTP (também referidos como Arquivo ou FileAuth).
Normas da indústria impedem que Autoridades de Certificação (CAs), como a DigiCert, emitam um certificado SSL/TLS até que a validação do controle do domínio seja concluída.
Ao pedir um certificado, você seleciona um método DCV para demonstrar controle sobre o domínio no pedido. Na página de detalhes do Pedido do certificado, use o método DCV selecionado durante o processo do pedido para completar a validação do domínio. É sempre possível alternar métodos de validação se necessário.
Pré-validação do domínio
A CertCentral apresenta um processo de pré-validação de domínio que lhe permite validar seus domínios antes de começar a pedir certificados para eles. Veja Pré-validação do domínio: métodos de validação de controle do domínio (DCV).
Concluir a validação do domínio com antecedência permite emissão mais rápida de certificados. Pré-validação do domínio é requerida para emissão imediata de certificados, veja Emissão imediata de certificados OV/EV.
Com este método de validação, a DigiCert envia dois conjuntos de e-mails DCV: Baseado em WHOIS e Construído. Para demonstrar controle sobre o domínio, um destinatário do e-mail segue as instruções em um e-mail de confirmação enviado para o domínio. O processo de confirmação consiste em visitar o link fornecido no e-mail e seguir as instruções na página.
Veja Validação do domínio (pedido pendente): Usar o método DCV de E-mail de verificação.
Para o método baseado em WHOIS, a DigiCert envia um e-mail de autorização aos donos registrados do domínio público conforme exibido no registro WHOIS do domínio.
Está esperando receber um e-mail em um endereço publicado no registro WHOIS do seu domínio? Verifique se o seu provedor do registrador/WHOIS não mascarou ou removeu essas informações. Em caso positivo, descubra se ele fornece uma forma (como endereço de e-mail anônimo, formulário web) para você permitir que CAs (autoridades de certificação) acessem os dados WHOIS do seu domínio.
Para o método E-mail Construído, a DigiCert envia o e-mail de autorização para cinco endereços de e-mail construídos para o domínio: admin, administrador, webmaster, hostmaster e postmaster @[domain_name].
Ao registrar um domínio, você deve fornecer informações de identificação e contato (por ex., contatos administrativos e técnicos). Em vez de usar um endereço de e-mail pessoal, é possível usar um dos endereços de e-mail construídos para o seu domínio (por ex., webmaster@yourdomain.com). Usar um dos endereços de e-mail construídos permite que você crie um endereço de e-mail "sem validade" do qual é possível adicionar ou remover pessoas quando necessário.
Se não conseguirmos encontrar um registro MX para[domain_name], você deve usar um dos outros métodos DCV suportados para demonstrar seu controle sobre o domínio.
Antes que seja possível enviar um e-mail de autenticação com êxito (e-mail DCV) ao dono do domínio (ou controlador do domínio), devemos verificar que um registro MX (um registro de recursos no Sistema de Nome de Domínio[DNS]) existe nos registros DNS do nome do domínio do destinatário. A presença de registros MX válidos nos permite enviar o e-mail de autenticação.
Por exemplo, você deseja receber seu e-mail DCV em um dos endereços de e-mail construídos para example.com, admin@example.com. Para que haja o envio com êxito de um e-mail DCV para admin@example.com, primeiro devemos encontrar um registro MX para tal endereço que identifica o servidor (por ex., mailhost.example.com) configurado para receber os e-mails destinados para admin@example.com
Se encontrarmos um registro MX, poderemos enviar um e-mail DCV com êxito para admin@example.com. Se não encontrarmos um registro MX, nenhum e-mail DCV é enviado porque não podemos identificar o servidor adequado de correspondência.
Adicione um token gerado pela DigiCert (fornecido para o domínio na sua conta da CertCentral) ao DNS do domínio como um registro CNAME. Depois, adicione dcv.digicert.com como o destino CNAME. Quando a DigiCert fizer uma pesquisa por um registro DNS CNAME associado ao domínio, podemos encontrar um registro que inclui o token de verificação da DigiCert.
Veja Validação do domínio (pedido pendente): Use o método DCV de registro de CNAME de DNS.
Adicione um token gerado pela DigiCert (fornecido para o domínio na sua conta da CertCentral) ao DNS do domínio como um registro TXT. Quando a DigiCert fizer uma pesquisa por um registro DNS TXT associado ao domínio, podemos encontrar um registro que inclui o token de verificação da DigiCert.
Veja Validação do domínio (pedido pendente): Use o método DCV de registro de TXT de DNS.
Hospede um arquivo contendo um valor aleatório gerado pela DigiCert (fornecido para o domínio na sua conta da CertCentral) em um local predeterminado no seu site: [your-domain]/.well-known/pki-validation/fileauth.txt. Depois que o arquivo for criado e colocado no seu site, a DigiCert visita a URL especificada para confirmar a presença do nosso valor aleatório.
Veja Validação do domínio (pedido pendente): Usar o método DCV de Demonstração Prática de HTTP..