Типы проверки при получении SSL
Проверка домена (Domain Validation - DV)¶
Все сертификаты должны проходить процесс валидации домена, используемый для подтверждения прав на владение доменным именем.
Существует 3 способа проверки:
Проверка с помощью электронной почты¶
Вы получите письмо на административный почтовый ящик для вашего домена. Письмо будет содержать уникальный код подтверждения и ссылку. Перейдя по ссылке и введя уникальный код, вы пройдете проверку.
Допустимые почтовые адреса:
- admin@<ваш домен>
- administrator@<ваш домен>
- webmaster@<ваш домен>
- hostmaster@<ваш домен>
- postmaster@<ваш домен>
Следующие способы проверки домена доступны только для сертификатов Sectigo
Проверка с помощью DNS-записи¶
CSR, который вы предоставите будет хеширован. Вам будут предоставлены хеш-значения, далее необходимо ввести DNS CNAME запись вашего домена.
Формат записи CNAME будет выглядеть следующим образом:
_<value of MD5 hash of CSR>.<ваш домен>. CNAME <value of SHA-256 hash of CSR>.[<uniqueValue>.]comodoca.com.
- хеш SHA-256 разделен символом “.” (точка) на две метки, каждая длиной 32 символа;
- чтобы сделать запись полностью правильной, необходимо поставить точку в конце полного доменного имени;
- если вы заказываете Мультидоменные сертификаты, отдельные CNAME записи должны быть созданы для каждого полного доменного имени в вашем заказе.
- мнемоническое имя в CNAME записи для домена с www, на который заказывается сертификат, должна быть без www (т.е. если ваш домен www.example.com , то запись будет вида: _
.example.com.)
Пример
_09f7e02f1290be211da707a266f153b3.subdomain1.yourdomain.com. CNAME 3d874ab7b199418a9753111648448163.9eb1f2608f4da5aa3560154ca1b0df53.comodoca.com. |
_9e107d9d372bb6826bd81d3542a419d6.subdomain2.yourdomain.com. CNAME 899826c9c46f25fc70ed08b5811dbb2b.ddf3e6b932e44c6a6a9dc5285057e9db.comodoca.com. |
Проверка с помощью HTTP(S)¶
CSR, который вы предоставите будет хеширован. Вам будут предоставлены хеш-значения, далее необходимо создать текстовый файл и поместить его в корневой каталог вашего сайта.
Файл и его содержимое должно быть следующим:
- URL файла:
http://<ваш домен>/.well-known/pki-validation/<Значение хеша MD5 в верхнем регистре>.txt - Содержимое:
<Значение хеша SHA-256>
comodoca.com
- валидация не будет совершена, если на сайте присутствуют перенаправления;
- проверьте наличие директорий /.well-known/ и /.well-known/pki-validation/ на веб-сервере;
- если вы заказываете мультидоменный сертификат, каждый защищаемый домен в сертификате должен иметь txt файл в корневом каталоге.
- для доменов с www проверка проходит по URL без www (т.е. если вы заказываете сертификат для домена www.example.com , то файл должен быть доступен по ссылке http(s)://example.com/.well-known/pki-validation/<Значение хеша MD5 в верхнем регистре>.txt)
Примеры
Имя файла | Содержимое |
subdomain1.yourdomain.com/.well-known/pki-validation/09F7E02F1290BE211DA707A266F153B3.txt | 770423513bd0765c18e500000baec91976bcd8267a245437b32572665c6ac370 comodoca.com |
subdomain2.yourdomain.com/.well-known/pki-validation/9E107D9D372BB6826BD81D3542A419D6.txt | 87428fc522803d31065e7bce3cf03fe475096631e5e07bbd7a0fde60c4cf25c7 comodoca.com |
Рисунок 1. Пример
Проверка организации (Organization Validation - OV)¶
Шаг №1 Проверка домена
Процесс валидации домена описан в предыдущем пункте.
Шаг №2 Проверка организации
Может быть выполнена следующими способами:
- Центр сертификации проводит проверку существовании компании через государственный реестр организаций.
- Публичные реестры данных, такие как: Duns & Bradstreet, Hoovers, Companies House GOV.UK, Lursoft.lv
- Подтверждения адреса может быть выполнено одним из следующих документов:
- устав организации (с указанием адреса);
- выданная правительством лицензия на ведение коммерческой деятельности (с указанием адреса);
- копия выписки о состоянии счета компании за последние 6 месяцев (вы можете указать номер счета);
- копия телефонного счета компании за последние 6 месяцев;
- копия счета за коммунальные услуги компании (т.е. электричество, вода, и т.д.) за последние 6 месяцев или текущий договор аренды для компании.
- Нотариально заверенное письмо (Legal Opinion Letter)
Шаг №3 Обратный звонок
Сотрудники сертифицирующего центра (как правило это робот) звонят для подтверждения подлинности запроса сертификата и завершения процесса валидации.
После успешного завершения всех шагов сертификат будет подписан и выпущен.
Расширенная проверка (Extended Validation - EV)¶
Шаг №1 Заполнение форм сертифицирующих центров
Центр пришлет вам специальные формы, которые необходимо заполнить.
Шаг №2 Проверка организации
Процесс валидации организации описан в пункте OV.
Шаг №3 Проверка домена
Процесс валидации домена описан в пункте DV.
Шаг №4 Обратный звонок
Сотрудники сертифицирующего центра звонят для подтверждения подлинности запроса сертификата и завершения процесса валидации.
После успешного завершения всех шагов сертификат будет подписан и выпущен.