Sectigo Domain Control Validering

Domain Control Validering eller DCV, er en metode som anvendes af en CA, før et certifikat kan udstedes. Det bruges til at bekræfte, at den part, der foretager anmodningen, faktisk er autoriseret til at bruge det domæne, anmodning drejer sig om. Denne domæne kontrol validering kan ske via følgende metoder:

• Email Challenge-Response
• Oprettelse af en fil på domænet HTTP-server
• Oprettelse af en DNS CNAME-post for det pågældende domæne

Alle certifikattyper (single, wildcard, MDC) kan valideres med en af ​​de tilgængelige DCV-mekanismer. Multi domæne certifikater kan bruge forskellige mekanismer for hver FQDN i anmodningen. For ordrer placeret via vores API returneres de korrekte værdier ud fra den valgte DCV-metode.

For fil- og CNAME-validering er det nødvendigt at bruge en unik DCV-værdi. Genbrug af den samme DCV-værdi er ikke tilladt for Domain Control Validation fra juli 2017. Når du anmoder om en genudstedelse med samme CSR, skal du tilføje en ekstra værdi (Request Token) til anmodningen via out API eller brug den medfølgende uniqueValueDcv fra vores API. Genudstedelse af certifikater kræver genvalidering, genudstedelsen kræves ikke for allerede validerede FQDN'er, hvis samme CSR anvendes til genudstedelsen. Til DCV-strengen vedhæftes det ekstra Request Token, så den bliver unikt.

Email Challenge-Response

Når ordren er placeret, vælges en emailadresse fra en liste over acceptable adresser. En email sendes til den adresse, som indeholder en unik valideringskode. E-mailen skal modtages af en person som har kontrol over domænet, og via linket i e-mailen og ved at indtaste valideringskoden fra e-mailen bekræfter det domænekontrolen.

Listen over acceptable e-mailadresser for et givet domæne er:

• admin@
• administrator@
• hostmaster@
• postmaster@
• webmaster@
• Enhver e-mailadresse til administrator, registrant, teknik eller zonekontakten som vises på domænets WHOIS og som er synlig for vores CA-system.

Bemærk: På grund af GDPR viser nogle registrarer ikke længere e-mailadresse. I det tilfælde kan vi ikke kontrollere e-mailadresserne. For at undgå mulig forsinkelse i certifikatudstedelsen anbefaler vi at du bruger en af de 5 standard e-mailadresser.

HTTP-baseret DCV

HTTP-baseret DCV kræver, at en HTTP-server kører på port 80, eller at en HTTPS-server kører på port 443 for domænenavnet som skal autoriseres. To hashes af CSR'en genereres, inden de sendes til Sectigo  (Comodo). En almindelig tekstfil oprettes på HTTP/S-serveren for domænenavnet som skal autoriseres, med en hash som filnavn og en hash inden for selve tekstfilen. Indholdet af Request Token genereres som følger:

En CSR genereres med CN = www.example.com Autorisationsdomænenavnet bliver example.com CSR'en er hashed ved hjælp af både MD5 og SHA-256 hashing algoritmer.

En tekstfil oprettes, som indeholder SHA-256 hash og domænet "comodoca.com" på næste linje.

c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f comodoca.com (valgfrit request token)

Filen navngives derefter i formatet: <MD5 hash>.txt og placeres i /.well -known/pki-validation på HTTP-serveren:

 http://example.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

Når ordren er modtaget af Sectigo og HTTP-baseret DCV er angivet, kontrollerer Sectigo (Comodo) CA-systemet for tilstedeværelsen af ​​tekstfilen og dens indhold. Hvis filen findes, og hashværdierne matcher, er domænekontrol gennemført. Den valgfrie request token er påkrævet ved bestilling af en fornyelse eller genudstedelse ved anvendelse af samme CSR som ved en tidligere ordre. Request token vises i kontrolpanelet ved bestillingsoplysningerne og returneres også via vores API.

Vær opmærksom på følgende:

• Generer hashene fra CSR'en før ordren sendes ind.
• Haserne skal genereres fra den DER-kodede (dvs. binære) version af CSR'en - ikke den base64 PEM-kodede version. Variationer i PEM-kodningen kan forårsage forskellige hashværdier, mens haserne i den DER-kodede version forbliver konstant.
• Filen skal oprettes ved hjælp af UPPERCASE-formateringen af ​​MD5-hash, da de fleste HTTP-servere laver forskel mellem store og små bogstaver. Sectigo CA-systemet vil kun søge efter UPPERCASE hash filnavnet.
• Filen skal oprettes med en .txt-udvidelse.
• SHA-256 hashen inden for filen skelner ikke mellem store og små bogstaver.
• Du skal bruge en hex (base 16) repræsentation af hashen.

DNS CNAME-baseret DCV

DNS CNAME-baseret DCV kræver oprettelse af en unik CNAME-post som peger tilbage til Sectigo. Vi kigger efter CNAME på hvert gyldigt autorisationsdomæne, dvs. vi starter med FQDN, og så vil vi strippe en eller flere etiketter fra venstre til højre i FQDN og kigge efter CNAME på hvert mellemliggende domæne. Den valgfrie request token er påkrævet ved bestilling af en fornyelse eller genudstedelse ved anvendelse af samme CSR som ved en tidligere ordre. Request token vises i kontrolpanelet ved bestillingsoplysningerne og returneres også via vores API.

Formatet for CNAME vil være:

 ‘_’<MD5 hash>.AuthorizationDomainName CNAME <SHA-256 hash>.<uniqueValue>.comodoca.com

Bemærk den førende understregning ved starten af ​​MD5 hash.

For eksempel: En CSR genereres med CN=www.example.com CSR'en er hashed ved hjælp af både MD5 og SHA-256 hashing algoritmer.

 MD5: c7fbc2039e400c8ef74129ec7db1842c
 SHA-256: c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f 

Vær opmærksom på at en hex (base-16) kodet SHA-256 hash ikke passer ind i en enkelt DNS label, fordi den er for lang. SHA-256 hash bør derfor opdeles i to labels, hver 32 tegn lang.

For at udføre DNS CNAME baseret DCV kan den følgende DNS CNAME post oprettes, før ordren indsendes:

 _c7fbc2039e400c8ef74129ec7db1842c.example.com CNAME c9c863405fe7675a3988b97664ea6baf.442019e4e52fa335f406f7c5f26cf14f.comodoca.com.

Eller når du bestiller en fornyelse eller genudstedelse med samme CSR;

_c7fbc2039e400c8ef74129ec7db1842c.example.com CNAME c9c863405fe7675a3988b97664ea6baf.442019e4e52fa335f406f7c5f26cf14f.<uniqueValue>.comodoca.com.

Vær opmærksom på, at den højre del af CNAME-posten skal termineres med et PUNKTUM efter comodoca.com for at forhindre, at DNS tilføjer oprindelsesdomænet, f.eks.; ...5f26cf14f.comodoca.com.example.com

Vær opmærksom på følgende:

• Generer hashene fra CSR'en før ordren sendes ind.
• Haserne skal genereres fra den DER-kodede (dvs. binære) version af CSR'en - ikke den base64 PEM-kodede version. Variationer i PEM-kodningen kan forårsage forskellige hashværdier, mens haserne i den DER-kodede version forbliver konstant.
• Du skal bruge en hex (base 16) repræsentation af SHA-256 hashen.

Generering af DER-baseret MD5 hash

Hvis du vil oprette en MD5-hash til din PEM-formaterede CSR, skal følgende kommandoer bruges:

• Konverter PEM CSR til DER-format med følgende OpenSSL-kommando:

 openssl req -in csr.pem -out csr.der -outform DER

• Opret MD5 hash fra DER-formateret forespørgsel (afhængigt af dit operativsystem):

 md5 request.der
 md5sum request.der