Валидация домена
При настройке, перевыпуске или продлении Вашего SSL-сертификата, если Вы не можете выбрать метод проверки домена или получаете сообщение об ошибке, это означает, что произошла ошибка CSR. Вот наиболее распространенные ошибки CSR и способы их устранения:
- Если у Вас SSL-сертификат Wildcard (для нескольких поддоменов), то общее имя в Вашем CSR должно начинаться со звездочки и точки (*.), как в данном примере *.website.com. Для обычных SSL-сертификатов, не имеющих Wildcard, общее имя должно иметь один из следующих форматов: website.com, www.website.com или my.website.com.
- Шифрование с неправильным ключом (например, 4096 бит). Пожалуйста, сделайте ключ шифрования 2048-битным.
- Ваш CSR защищен паролем. Пожалуйста, отключите пароль, чтобы центр сертификации, выдающий SSL-сертификат, мог прочитать код CSR.
- В коде CSR отсутствуют некоторые необходимые поля или информация. Полный список полей Вы можете найти в нашем Генераторе КСО.
- Ваш CSR может содержать другую информацию, которая является неправильной или недопустимой. Пожалуйста, ознакомьтесь с этой статьей FAQ, где подробно описана разрешенная информация и форматирование.
Чтобы исправить Ваш код CSR, Вам нужно сгенерировать новый. После этого попробуйте настроить или перевыпустить Ваш SSL-сертификат с новым кодом CSR. Если проблема не исчезла, пожалуйста, откройте тикет и пришлите нам CSR-код. Мы расшифруем CSR и расскажем Вам, в чем проблема, чтобы Вы могли ее устранить.
Копировать ссылку
В каталоге ~/public на Вашем сервере Вы можете найти папку .well-known. Известные URI – это унифицированные идентификаторы ресурсов для известных сервисов или информации, постоянно доступных на всех серверах по URL.
Некоторые серверы создают папку .well-known автоматически, но иногда Вам может потребоваться добавить ее вручную. Этот каталог действует как веб-протокол для получения метаданных сайта о хосте перед выполнением запроса.
Для чего используется папка .well-known?
При заказе SSL-сертификата Вы должны подтвердить владение доменом как часть DCV. Если Вы выбрали метод HTTP/HTTPS, Вам придется создать каталог .well-known – папку, в которую Вы должны загрузить ТЕКСТОВЫЙ файл, чтобы ЦС проверил и одобрил Ваш SSL-запрос.
Файл должен быть доступен по живой ссылке на сайте. После того, как Вы добавите файл проверки, система CA crawler будет сканировать Ваш сайт и искать этот файл. Как только он найдет его, Вы пройдете проверку домена в течение нескольких минут.
Копировать ссылку
Чтобы создать папку well-known, Вам понадобится доступ к Вашему серверу через SFTP-клиент, панель управления хостингом или любым другим подходящим способом. Вот как создать папку .well-known на самых популярных платформах:
Как создать папку .well-known на серверах под управлением Linux?
Приведенные ниже инструкции действительны для серверов Ubuntu, Debian и CentOS.
- Перейдите в корневой каталог Вашего сайта
- Создайте каталог под названием “.well-known”.
- Внутри нее создайте еще одну папку под названием “pki-validation”.
- Загрузите TXT-файл в директорию “pki-validation”.
Как создать папку .well-known в cPanel?
- Войдите в WHM, или пропустите этот шаг, если у Вас нет WHM.
- Найдите и войдите в учетную запись cPanel для Вашего доменного имени
- Нажмите на “Диспетчер файлов”.
- Выберите опцию “Web Root (public_html/www)” и нажмите “Go”.
- Создайте новую папку под названием .well-known
- Внутри этой папки создайте еще одну папку под названием: pki-validation
- Загрузите Ваш TXT-файл в папку pki-validation.
Как создать папку .well-known в Plesk?
- Воспользуйтесь опцией File Manager и перейдите в раздел Files в правом боковом меню.
- Вам следует создать папку.well-known в корневой папке документов по умолчанию для Вашего домена, которая в Plesk называется httpdocs.
- Чтобы создать папку, выберите Новый, затем Создать каталог.
- Внутрипапки .well-known создайте подпапку pki-validation .
- Используйте кнопку Upload , чтобы добавить TXT-файл проверки в папку pki-validation.
Как создать папку .well-known на серверах Windows IIS?
Серверы на базе Windows не позволяют ставить точку в имени папки, поэтому Вам необходимо выполнить следующие действия:
- Перейдите на диск C:
- Создайте новую папку под названием well-known
- Внутри известной папки создайте еще одну папку с именем pki-validation.
На данный момент Ваши папки должны выглядеть следующим образом: C:well-knownpki-validation - Загрузите TXT-файл в папку pki-validation.
- Откройте Менеджер IIS на Вашем сервере
- Щелкните правой кнопкой мыши на своем сайте и выберите Добавить виртуальную директорию.
- В разделе Псевдоним напишите .well-known
- В области Psychical Path введите путь к известной папке. Например:
C:well-known - Нажмите OK, чтобы создать этот псевдоним
Как создать папку .well-known в WordPress?
Вы можете создать папку .well-known в WordPress тремя разными способами.
- Использование специального плагина
- Через панель Вашего хостинга
- Через SFTP-клиент, например, FileZilla
Мы не рекомендуем использовать плагины, поскольку со временем они могут вызвать проблемы с совместимостью и безопасностью. Вместо этого воспользуйтесь нашими инструкциями выше, чтобы создать папку .well-known в cPanel, самой популярной панели хостинга.
Если у Вас нет cPanel, используйте SFTP-клиент. Подключитесь к своему серверу и внутри папки ~/public найдите директорию .well-knwon. Если его там нет, щелкните правой кнопкой мыши на общей папке, выберите Создать каталог и назовите новый каталог .well-known.
Как создать папку .well-known в AWS?
- Используйте команду bash, чтобы создать папку .well-known.folder в экземпляре AWS EC2:
mkdir -p .well-known/pki-validation - Поместите файл валидации в подпапку pki-validation:
nano .well-known/pki-validation/HashFileName.txt
Как создать .well-known в macOS X Server?
Подключитесь к своему серверу с помощью встроенного FTP-клиента или интерфейса командной строки.
FTP
- Нажмите Command+K
- В окне Подключение к серверу введите адрес FTP-сервера. Например, ftp://ftp.yourdomain.com. Нажмите кнопку подключить.
- Затем введите Ваше имя пользователя и пароль для FTP и снова нажмите Connect.
- Найдите корневую директорию Вашего домена.
- Создайте каталог под названием .well-known
- Внутри. известной папки, создайте еще одну папку под названием pki-validation.
- Загрузите TXT-файл в каталог pki-validation .
Интерфейс командной строки
Вы можете использовать SSH и протокол Secure Copy для загрузки TXT-файла.
scp AC3E5D6I8G12935LSJEIK.txt
your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation
Где ‘AC3E5D6I8G12935LSJEIK.txt’ – имя файла проверки, ‘your_username’ – имя пользователя Вашей учетной записи на сервере, ‘hostname.tld’ – имя хоста Вашего сервера Mac OSX, а ‘/Library/WebServer/Documents/’ – каталог по умолчанию корневой папки документа.
Для всех типов серверов, если Вы все сделали правильно, Вы должны иметь возможность открыть следующий URL и увидеть хэш-код вместе с “comodoca.com” в любом веб-браузере:
http://mywebsite.com/.well-known/pki-validation/HashFileName.txt
Копировать ссылку
В некоторых случаях ЦС может потребовать ручной проверки, если Ваш заказ не соответствует каким-либо внутренним правилам проверки бренда. Прохождение такой ручной проверки занимает около 24-48 часов, и ЦС в таких случаях либо выдает, либо отклоняет заказ.
Вот наиболее распространенные причины, по которым центры сертификации решают провести проверку марки для некоторых заказов:
- Заказы из некоторых стран рассматриваются вручную чаще, чем из других, например: Южная Корея, Северная Корея, Япония;
- Страны с ограниченным доступом –
Россия (RU), Беларусь (BY) (с 2022 года),
Афганистан (AF), Крым (Россия), Кот-д’Ивуар (CI), Куба (CU), Эритрея (ER), Гвинея (GN), Ирак (IQ), Иран (IR), Корейская Народно-Демократическая Республика (KP), Либерия (LR), Мьянма (MM), Руанда (RW), Судан (SD), Сьерра-Леоне (SL), Южный Судан (SS), Сирийская Арабская Республика (SY), Венесуэла (VE), Зимбабве (ZW) – SSL для этих стран НЕ выдаются: https://sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907/kA01N000000zFKI и https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html - Доменное имя включает в себя название бренда, например: facebook-app.com, sony-shop.net, dellshop.com и т.д;
- Доменное имя может содержать скрытое название бренда. Например, Ваш домен – “sibmama.com”, но автоматическая система проверки может прочитать его как “sIBMama” и отметить бренд “IBM”. Центр сертификации хочет проверять такие заказы вручную;
- В доменном имени есть “стоп-слова”, такие как: pay, online, secure, booking, shop, bank, transfer, money, e-payment, payment, protection, violence, terrorists и другие. Эти и многие другие слова являются триггерными словами в системе проверки и заставляют центр сертификации просматривать такие заказы вручную;
- Доменное имя находится в черном списке ИЛИ имеет плохую репутацию.
Что Вы можете сделать, чтобы ускорить этот процесс?
Пожалуйста, свяжитесь с Sectigo и Thawte, RapidSSL, GeoTrust, DigiCert напрямую через живой чат и обсудите ситуацию с представителем УЦ.
Пожалуйста, укажите в сообщении Ваш “Partner Order ID”. Вы можете найти свой “Partner Order ID” на странице подробной информации о Вашем SSL-сертификате в Вашем аккаунте SSL Dragon. См. скриншот справа.
Копировать ссылку
К сожалению, доменные имена, заканчивающиеся на .local, не поддерживаются с 1 ноября 2015 года. Если Вы запросите SSL-сертификат для домена или субдомена, имеющего в качестве расширения .local, Ваш SSL-сертификат будет отклонен Центром сертификации.
Если Вы хотите защитить домен или поддомен на Вашем локальном хосте, Вы можете создать самоподписанный SSL-сертификат. В Интернете есть много документации о том, как это сделать.
Копировать ссылку
Да, Вы можете защитить IP-адрес с помощью SSL-сертификата. Однако только некоторые конкретные SSL-сертификаты позволят Вам это сделать. Вот эти SSL-сертификаты:
– Sectigo InstantSSL Premium
– GoGetSSL Публичный IP SAN
Обратите внимание, что Sectigo InstantSSL Premium – это Business Validation SSL Certificate, что означает, что для получения этого SSL сертификата Вам необходимо иметь зарегистрированную компанию.
GeGetSSL Public IP SAN – это SSL-сертификат с проверкой домена, который по умолчанию защищает 2 IP-адреса.
Копировать ссылку
Действует только для сертификатов Sectigo и GoGetSSL:
Пожалуйста, выполните следующие шаги, чтобы изменить тип проверки домена для Вашего SSL-сертификата:
- Войдите в свою учетную запись SSL Dragon;
- Перейдите в раздел “SSL-сертификаты” -> “Мои SSL-сертификаты“;
- Вы увидите список продуктов, которые Вы приобрели в SSL Dragon. Щелкните на SSL-сертификате, для которого Вы хотите изменить тип проверки домена;
- Нажмите на кнопку “Изменить метод DV”, которую Вы найдете внизу страницы;
- Выберите новый метод проверки домена для Вашего домена (доменов); подробнее о том, что означает каждый тип проверки, Вы можете прочитать по этой ссылке;(Важно: метод проверки HTTP больше не доступен для Wildcard SSL-сертификатов).
- Нажмите “Submit”, чтобы новый метод проверки вступил в силу.
Копировать ссылку
Когда Вы покупаете мультидоменный SSL-сертификат, и Вы включаете в него несколько доменных имен и/или субдоменов, центры сертификации требуют, чтобы Вы прошли проверку домена для каждого из них. имя и/или субдомен, которые Вы включили в свой мультидоменный SSL-сертификат, и только после этого мультидоменный SSL-сертификат будет выдан Вам.
ВОЗМОЖНАЯ ПРОБЛЕМА: Иногда адреса электронной почты, или параметры HTTP, или записи DNS, которые Вы выбираете для своего многодоменного сертификата, не устанавливаются правильно, когда они попадают в Центр сертификации. Вы поймете это, когда увидите, что на Ваш адрес электронной почты пришло только одно сообщение о проверке домена, а не несколько, или статус Вашего SSL-сертификата с несколькими доменами все еще отображается как “Ожидает проверки (полная)”, хотя Вы прошли проверку домена для одного из доменов.
КАК УСТРАНИТЬ: Есть простой способ исправить эту проблему, и для этого нужно связаться с отделом сертификации центра сертификации. Когда Вы свяжетесь с ними, пожалуйста, сообщите им Ваш “Partner Order ID” (см. скриншот справа), а затем расскажите им о методе проверки домена, который Вы выбрали: HTTP, DNS или Email. Если Вы решили пройти проверку доменов по электронной почте, то перепроверьте у представителей отдела проверки, какие адреса электронной почты установлены в их системе, и попросите их прислать Вам сообщения о проверке доменов на , чтобы Вы могли получить нужные Вам адреса электронной почты.
Sectigo/GoGetSSL
Пожалуйста, позвоните в отдел проверки Sectigo по адресу +1 (888) 266-6361 или https://sectigo.com/support по вышеуказанным причинам. Когда Вы будете разговаривать с ними, Вам нужно будет сообщить им Ваш “Partner Order ID”.
Thawte, GeoTrust, DigiCert
Пожалуйста, позвоните в отдел проверки Thawte, GeoTrust, DigiCert по телефону +1 (877) 438-8776 по вышеуказанным причинам. Обратите внимание, что Thawte, GeoTrust, DigiCert принадлежат компании DigiCert, и все они имеют один и тот же номер телефона, указанный выше. Когда Вы будете разговаривать с ними, Вам нужно будет сообщить “Partner Order ID”.
Копировать ссылку
Время проверки SSL зависит от типа сертификата, который Вы решили приобрести.
Сертификаты Domain Validated выдаются в течение 3-5 минут в 99% случаев. Только если SSL-сертификат запрашивается для доменного имени, содержащего торговую марку или название бренда, то такие SSL-сертификаты могут пройти проверку на соответствие бренду, и их выдача может занять до одного рабочего дня.
Сертификаты Business Validated обычно выдаются в течение 1-3 рабочих дней.
Выпуск сертификатов с расширенной валидацией может занять от 1 до 7 рабочих дней. Центр сертификации выполняет свою часть работы очень быстро. Если вся информация предоставлена Центру сертификации быстро и правильно, то Центр сертификации может выпустить EV-сертификат в течение 1 рабочего дня. Мы сталкивались с ситуациями, когда EV-сертификат выдавался в течение нескольких часов. Срок от 1 до 7 дней зависит от того, как быстро клиент предоставит Центру сертификации необходимую информацию и как быстро клиент ответит на возможные запросы Центра сертификации о предоставлении дополнительной информации.
Выполняя процесс проверки, центр сертификации пытается подтвердить, что Вы являетесь владельцем домена и что компания, для которой Вы запрашиваете сертификат Business Validation или Extended Validation, является действующей. Поэтому очень важно, чтобы Вы постоянно обновляли информацию о своей компании (адрес и телефон) и оперативно отвечали на запросы Центра сертификации.
Копировать ссылку
Если Ваш маршрутизатор имеет публичный IP-адрес, Вы все равно можете проверить этот IP-адрес.
Проверка HTTP/HTTPS – единственный метод, доступный для проверки IP-адресов. Метод проверки HTTP/HTTPS заключается в добавлении TXT-файла на Ваш IP-адрес и в том, что Sectigo сканирует этот IP-адрес и проверяет его. На Вашем маршрутизаторе нет возможности загрузить TXT-файл. Решение для проверки IP-адреса – перенаправить IP-адрес на сервер, поместить TXT-файл на этот сервер, пройти проверку IP-адреса, а затем перенаправить IP-адреса обратно на маршрутизатор.
Более подробную информацию о том, что должен содержать TXT-файл и куда его следует загружать, Вы можете прочитать в следующем пункте FAQ: https://www.ssldragon.com/faq/pass-validation-public-ip-address-ssl-certificate/.
Копировать ссылку