DNS CNAME basierte Domain Control Validierung (DCV)
DNS CNAME-basierte DCV erfordert die Erstellung eines eindeutigen DNS CNAME-Eintrags, der auf die CA des erworbenen SSL-Zertifikats verweist. Der CNAME wird dann in jeder gültigen Autorisierungsdomäne überprüft, d.h. wir beginnen mit dem Fully Qualified Domain Name (FQDN) und entfernen dann ein oder mehrere Labels von links nach rechts im FQDN und suchen nach dem CNAME in jeder Zwischendomäne.
Als Beispiel : Eine Zertifikatsanfrage für einen FQDN von *.mail.internal.yourdomain.com, wir würden an diesen Stellen nach dem DNS CNAME-Eintrag suchen und für diese Bestellung :
- mail.internal.trustico.com
- internal.trustico.com
- trustico.com
Wenn Sie eine Bestellung für Ihr SSL-Zertifikat aufgeben, werden aus dem CSR, den Sie generiert und bereitgestellt haben, zwei Hashes erstellt. Ein DNS-CNAME-Eintrag muss unter dem Autorisierungsdomänennamen erstellt werden. Wir nennen den Inhalt des DNS-CNAME-Eintrags, Anforderungs-Token.
Beispiel: Ein CSR wird mit dem Common Name (CN) als www.yourdomain.com generiert. Der Autorisierungsdomainname lautet yourdomain.com Der CSR wird sowohl mit dem MD5 als auch mit dem SHA-256 Hashing-Algorithmus verschlüsselt.
Nachfolgend finden Sie ein Beispiel für einen generierten MD5-Hash und einen SHA-256-Hash, die wir für unsere Beispiele verwenden werden.
- MD5 : C7FBC2039E400C8EF74129EC7DB1842C
- SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f
Um Ihre Bestellung mit dieser Authentifizierungsmethode abzuschließen, müssen Sie Ihren DNS-Servern einen DNS-CNAME-Eintrag hinzufügen, damit unsere Systeme Ihre SSL-Zertifikatsbestellung authentifizieren können.
Ihn der Regel werden Ihre DNS-Einträge von Ihrem Hosting-Provider oder Ihrer Domain-Registrierungsstelle verwaltet. Sollten Sie Zugriff auf Ihre DNS-Einträge haben, müssen Sie den obigen Eintrag hinzufügen, um die Validierungsanforderungen erfolgreich zu erfüllen.
Während des Validierungsvorgangs erhalten Sie eine E-Mail mit Anweisungen, die Ihnen bei der weiteren Verwendung dieser Authentifizierungsmethode helfen wird. Wenn Ihre DNS-Einträge von Ihrem Hosting-Provider oder Ihrer Domain-Registrierung verwaltet werden, können Sie die E-Mail an Ihren Hosting-Provider oder Ihre Domain-Registrierung senden, wenn Sie keinen Zugriff auf Ihre DNS-Einträge haben.
Nachfolgend ein Beispiel dafür, wie der DNS CNAME-Eintrag strukturiert sein muss :
DNS CNAME record : _<MD5 Hash>.yourdomain.com CNAME
DNS CNAME value : <SHA-256 Hash>.[<Unique Value>.]comodoca.com
Bitte beachten Sie :
- Der führende Unterstrich zu Beginn des MD5-Hash, ist notwendig und muss einen Teil des DNS-CNAME-Eintrags enthalten, der von unseren Servern zur Validierung abgeholt wird.
- Der <Unique Value> ist ein optionaler Wert und muss den Validierungsprozess nicht abschließen, es sei denn, Sie möchten, dass ein eindeutiger Wert existiert. Wenn Sie einen eindeutigen Wertteil Ihres DNS CNAME-Eintrags haben möchten, kontaktieren Sie uns bitte, damit wir Ihr Anliegen besprechen können.
Sobald der DNS CNAME-Eintrag erstellt wurde, wird unser System regelmäßig bis zu 30 Tage lang überprüfen, ob der Eintrag zu finden ist. Der DNS CNAME-Eintrag ermöglicht die Authentifizierung Ihrer SSL-Zertifikatsbestellung und die Ausstellung Ihres SSL-Zertifikats.
Um DNS CNAME basierte DCV durchzuführen, haben wir unten ein Beispiel dafür, wie der DNS CNAME Record und der Wert aussehen sollte :
DNS CNAME record : _C7FBC2039E400C8EF74129EC7DB1842C.yourdomain.com CNAME
DNS CNAME Wert (ohne eindeutigen Wert) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.comodoca.com
DNS CNAME Wert (ohne eindeutigen Wert) : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.your-unqiue-value.comodoca.com
Die Autorisierungsdomänennamen werden auf das Vorhandensein dieses DNS-CNAME-Eintrags überprüft. Sobald der Eintrag gefunden wurde, ist die Domänenkontrolle nachgewiesen und das Zertifikat Domain Validation (DV) kann ausgestellt werden.
Wenn Ihre Bestellung aufgegeben wurde und bearbeitet wird, erhalten Sie eine E-Mail mit den Hashes und Anweisungen zur Verwendung. Für DNS CNAME-basierte DCV enthält Ihre E-Mail einen Codeblock, der es Ihnen ermöglicht, den Codeblock einfach zu kopieren und in Ihren CNAME-Eintrag einzufügen.
Sie können auch von Ihrem Trustico®-Konto aus auf die Hashes und Anweisungen zugreifen. Sie können Ihre Bestellung einfach im Menubereich “View“ anschauen. Die Anweisungen und Hashes werden dort für Sie verfügbar sein.