Стандартные ошибки метода File DCV

Чтобы проверить свой домен с помощью метода File DCV, вам потребуется два элемента: 1) произвольное значение (предоставленное DigiCert) и 2) URL-адрес или местоположение, где вам нужно разместить файл fileauth.txt, содержащий произвольное значение, на вашем веб-сайте (например, http://[yourdomain.com]/.well-known/pki-validation/fileauth.txt).

URL-адрес (http://[yourdomain.com]/.well-known/pki-validation/fileauth.txt) выполняет две функции:

  • Он содержит FQDN (полное доменное имя) домена, который мы должны проверить по вашему требованию.
  • Он информирует нас о том, где мы можем найти файл fileauth.txt, к которому вы добавите случайным образом генерированное значение.

Ниже рассматриваются некоторые стандартные проблемы, с которыми мы столкнулись при поиске и устранении причин ошибок при проверках с использованием метода File. Процесс File DCV разработан в целях предотвращения использования неавторизованными лицам домена, которым они управляют, для проверки и получения сертификата для домена, которым они не управляют, например, одним из нас.

Не изменяйте предоставленный DigiCert URL-адрес

Если вы каким-либо образом изменили URL-адрес (изменили FQDN, воспользовались вместо строчной буквы прописной, забыли добавить точку и т. д.), мы не сможем найти файл fileauth.txt, содержащий сгенерированное нами случайным образом значение.

Например, с данным URL: [http://yourdomain.com]/.well-known/pki-validation/fileauth.txt, не добавляйте www к нему ([http://]www.yourdomain.com]/.well-known/pki-validation/fileauth.txt) и не заменяйте на прописные какие-либо буквы, которые не являются прописными в исходном URL-адресе ([http://[yourdomain.com]/.well-known/PKI-validation/fileauth.txt).

Не помещайте файл fileauth.txt в другой домен или субдомен

Для завершения подтверждения полномочий управления доменом для yourdomain.com поместите файл fileauth.txt именно в том домен, который вы хотите проверить — это домен, указанный в вашем заказе на сертификат. Мы не будем просматривать другие домены или субдомены для поиска произвольного значения. Мы будем просматривать только домен, который вы хотите проверить (т. е., домен, указанный в вашем заказе сертификата).

Например, при необходимости проверки[yourdomain].com, вы будете использовать URL для данного домена: http://[yourdomain].com/.well-known/pki-validation/fileauth.txt. Не размещайте файл fileaut.txt file на субдомене.[yourdomain].com и не изменяйте URL и не размещайте его на[yourotherdomain].com — это не будет работать. Мы не сможем найти файл fileaut.txt на данных доменах. Мы ищем его на[yourdomain].com, т. е., на домене из вашего заказа на сертификат.

example.com и www.example.com

Если вы хотите, чтобы в DigiCert проверили www.example.com и examle.com, поместите файл fileauth.txt на example.com. При этом будут проверяться оба домена example.com и www.example.com. Мы не будем просматривать www.example.com в поисках файла fileauth.txt.

Бесплатный SAN базового домена

Если вы получили бесплатный SAN базового домена в вашем сертификате SSL/TLS, вы должны обязательно поместить файл fileauth.txt в базовый домен. Мы должны проверить домен, указанный в заказе сертификата SSL/TLS.

Не включайте дополнительный контент в файл fileauth.txt

При создании файла fileauth.txt скопируйте произвольное значение, предоставленное DigiCert, и вставьте его в файл. Не добавляйте слово "токен", "значение" или какой-либо другой текст.

Поскольку мы осуществляем чтение только первых 2 кБ файла fileauth.txt, дополнительный текст будет мешать выполнению нами подтверждения управления вами доменом.

Не помещайте файл fileauth.txt на страницу с множественными переадресациями

При использовании метода File для проверки домена файл fileauth.txt можно поместить на страницу, на которой имеется не более одной переадресации. При наличии одной переадресации мы способны обнаружить файл fileauth.txt и подтвердить, что вы управляете доменом.

Например, вам требуется сертификат для http://example.com, но страница выполняет переадресацию на https://www.example.com. Это нормально. Можно поместить файл fileauth.txt на страницу http://example.com. Мы сможем выполнить одну переадресацию и подтвердить ваше управление доменом http://example.com.

Нем не менее, если вы разместите файл fileauth.txt на странице с множественными переадресациями, мы не сможем найти его. Множественные переадресации не позволяют нам определить местонахождение файла fileauth.txt и подтвердить, что вы управляете доменом.

Например, вам требуется сертификат для http://multiple-redirect.com, но страница выполняет переадресацию на https://www.multiple-redirect.com, а затем переадресацию обратно на https://www.single-redirect.com. В данном случае вы должны просто оставить файл fileauth.txt на странице http://multiple-redirect.com. При этом вам необходимо запретить вторую переадресацию (https://www.single-redirect.com) на достаточно продолжительное время, чтобы мы могли найти файл fileauth.txt и подтвердить ваше управление доменом http://multiple-redirect.com.

О проекте

DigiCert is the world's leading provider of scalable TLS/SSL, IoT and PKI solutions for identity and encryption. The most innovative companies, including 89% of the Fortune 500 and 97 of the 100 top global banks, choose DigiCert for its expertise in identity and encryption for web servers and Internet of Things devices. DigiCert supports TLS and other digital certificates for PKI deployments at any scale through its certificate lifecycle management solution, CertCentral®. The company is recognized for its enterprise-grade certificate management platform, fast and knowledgeable customer support, and market-leading security solutions. For the latest DigiCert news and updates, visit digicert.com or follow @digicert.

©2020 DigiCert, Inc. All rights reserved. DigiCert, its logo and CertCentral are registered trademarks of DigiCert, Inc. Norton and the Checkmark Logo are trademarks of NortonLifeLock Inc. used under license. Other names may be trademarks of their respective owners.