Валидация домена

Я не могу выбрать метод проверки домена

При настройке, перевыпуске или продлении Вашего SSL-сертификата, если Вы не можете выбрать метод проверки домена или получаете сообщение об ошибке, это означает, что произошла ошибка CSR. Вот наиболее распространенные ошибки CSR и способы их устранения:

  • Если у Вас SSL-сертификат Wildcard (для нескольких поддоменов), то общее имя в Вашем CSR должно начинаться со звездочки и точки (*.), как в данном примере *.website.com. Для обычных SSL-сертификатов, не имеющих Wildcard, общее имя должно иметь один из следующих форматов: website.com, www.website.com или my.website.com.
  • Шифрование с неправильным ключом (например, 4096 бит). Пожалуйста, сделайте ключ шифрования 2048-битным.
  • Ваш CSR защищен паролем. Пожалуйста, отключите пароль, чтобы центр сертификации, выдающий SSL-сертификат, мог прочитать код CSR.
  • В коде CSR отсутствуют некоторые необходимые поля или информация. Полный список полей Вы можете найти в нашем Генераторе КСО.
  • Ваш CSR может содержать другую информацию, которая является неправильной или недопустимой. Пожалуйста, ознакомьтесь с этой статьей FAQ, где подробно описана разрешенная информация и форматирование.

Чтобы исправить Ваш код CSR, Вам нужно сгенерировать новый. После этого попробуйте настроить или перевыпустить Ваш SSL-сертификат с новым кодом CSR. Если проблема не исчезла, пожалуйста, откройте тикет и пришлите нам CSR-код. Мы расшифруем CSR и расскажем Вам, в чем проблема, чтобы Вы могли ее устранить.

Копировать ссылку

Что такое папка .well-known?

В каталоге ~/public на Вашем сервере Вы можете найти папку .well-known. Известные URI – это унифицированные идентификаторы ресурсов для известных сервисов или информации, постоянно доступных на всех серверах по URL.

Некоторые серверы создают папку .well-known автоматически, но иногда Вам может потребоваться добавить ее вручную. Этот каталог действует как веб-протокол для получения метаданных сайта о хосте перед выполнением запроса.

Для чего используется папка .well-known?

При заказе SSL-сертификата Вы должны подтвердить владение доменом как часть DCV. Если Вы выбрали метод HTTP/HTTPS, Вам придется создать каталог .well-known – папку, в которую Вы должны загрузить ТЕКСТОВЫЙ файл, чтобы ЦС проверил и одобрил Ваш SSL-запрос.

Файл должен быть доступен по живой ссылке на сайте. После того, как Вы добавите файл проверки, система CA crawler будет сканировать Ваш сайт и искать этот файл. Как только он найдет его, Вы пройдете проверку домена в течение нескольких минут.

Копировать ссылку

Как создать папку .well-known?

Чтобы создать папку well-known, Вам понадобится доступ к Вашему серверу через SFTP-клиент, панель управления хостингом или любым другим подходящим способом. Вот как создать папку .well-known на самых популярных платформах:

Как создать папку .well-known на серверах под управлением Linux?

Приведенные ниже инструкции действительны для серверов Ubuntu, Debian и CentOS.

  1. Перейдите в корневой каталог Вашего сайта
  2. Создайте каталог под названием “.well-known”.
  3. Внутри нее создайте еще одну папку под названием “pki-validation”.
  4. Загрузите TXT-файл в директорию “pki-validation”.

Как создать папку .well-known в cPanel?

  1. Войдите в WHM, или пропустите этот шаг, если у Вас нет WHM.
  2. Найдите и войдите в учетную запись cPanel для Вашего доменного имени
  3. Нажмите на “Диспетчер файлов”.
  4. Выберите опцию “Web Root (public_html/www)” и нажмите “Go”.
  5. Создайте новую папку под названием .well-known
  6. Внутри этой папки создайте еще одну папку под названием: pki-validation
  7. Загрузите Ваш TXT-файл в папку pki-validation.

Как создать папку .well-known в Plesk?

  1. Воспользуйтесь опцией File Manager и перейдите в раздел Files в правом боковом меню.
  2. Вам следует создать папку.well-known в корневой папке документов по умолчанию для Вашего домена, которая в Plesk называется httpdocs.
  3. Чтобы создать папку, выберите Новый, затем Создать каталог.
  4. Внутрипапки .well-known создайте подпапку pki-validation .
  5. Используйте кнопку Upload , чтобы добавить TXT-файл проверки в папку pki-validation.

Как создать папку .well-known на серверах Windows IIS?

Серверы на базе Windows не позволяют ставить точку в имени папки, поэтому Вам необходимо выполнить следующие действия:

  1. Перейдите на диск C:
  2. Создайте новую папку под названием well-known
  3. Внутри известной папки создайте еще одну папку с именем pki-validation.
    На данный момент Ваши папки должны выглядеть следующим образом: C:well-knownpki-validation
  4. Загрузите TXT-файл в папку pki-validation.
  5. Откройте Менеджер IIS на Вашем сервере
  6. Щелкните правой кнопкой мыши на своем сайте и выберите Добавить виртуальную директорию.
  7. В разделе Псевдоним напишите .well-known
  8. В области Psychical Path введите путь к известной папке. Например:
    C:well-known
  9. Нажмите OK, чтобы создать этот псевдоним

Как создать папку .well-known в WordPress?

Вы можете создать папку .well-known в WordPress тремя разными способами.

  1. Использование специального плагина
  2. Через панель Вашего хостинга
  3. Через SFTP-клиент, например, FileZilla

Мы не рекомендуем использовать плагины, поскольку со временем они могут вызвать проблемы с совместимостью и безопасностью. Вместо этого воспользуйтесь нашими инструкциями выше, чтобы создать папку .well-known в cPanel, самой популярной панели хостинга.

Если у Вас нет cPanel, используйте SFTP-клиент. Подключитесь к своему серверу и внутри папки ~/public найдите директорию .well-knwon. Если его там нет, щелкните правой кнопкой мыши на общей папке, выберите Создать каталог и назовите новый каталог .well-known.

Как создать папку .well-known в AWS?

  1. Используйте команду bash, чтобы создать папку .well-known.folder в экземпляре AWS EC2:
    mkdir -p .well-known/pki-validation
  2. Поместите файл валидации в подпапку pki-validation:
    nano .well-known/pki-validation/HashFileName.txt

Как создать .well-known в macOS X Server?

Подключитесь к своему серверу с помощью встроенного FTP-клиента или интерфейса командной строки.

FTP

  1. Нажмите Command+K
  2. В окне Подключение к серверу введите адрес FTP-сервера. Например, ftp://ftp.yourdomain.com. Нажмите кнопку подключить.
  3. Затем введите Ваше имя пользователя и пароль для FTP и снова нажмите Connect.
  4. Найдите корневую директорию Вашего домена.
  5. Создайте каталог под названием .well-known
  6. Внутри. известной папки, создайте еще одну папку под названием pki-validation.
  7. Загрузите TXT-файл в каталог pki-validation .

Интерфейс командной строки

Вы можете использовать SSH и протокол Secure Copy для загрузки TXT-файла.

scp AC3E5D6I8G12935LSJEIK.txt

your_username@hostname:tld://Library/WebServer/Documents/.well-known/pki-validation

Где ‘AC3E5D6I8G12935LSJEIK.txt’ – имя файла проверки, ‘your_username’ – имя пользователя Вашей учетной записи на сервере, ‘hostname.tld’ – имя хоста Вашего сервера Mac OSX, а ‘/Library/WebServer/Documents/’ – каталог по умолчанию корневой папки документа.

Для всех типов серверов, если Вы все сделали правильно, Вы должны иметь возможность открыть следующий URL и увидеть хэш-код вместе с “comodoca.com” в любом веб-браузере:

http://mywebsite.com/.well-known/pki-validation/HashFileName.txt

Копировать ссылку

Причины утверждения бренда

 

В некоторых случаях ЦС может потребовать ручной проверки, если Ваш заказ не соответствует каким-либо внутренним правилам проверки бренда. Прохождение такой ручной проверки занимает около 24-48 часов, и ЦС в таких случаях либо выдает, либо отклоняет заказ.

Вот наиболее распространенные причины, по которым центры сертификации решают провести проверку марки для некоторых заказов:

  1. Заказы из некоторых стран рассматриваются вручную чаще, чем из других, например:  Южная Корея, Северная Корея, Япония;
  2. Страны с ограниченным доступом –
    Россия (RU), Беларусь (BY) (с 2022 года),
    Афганистан (AF), Крым (Россия), Кот-д’Ивуар (CI), Куба (CU), Эритрея (ER), Гвинея (GN), Ирак (IQ), Иран (IR), Корейская Народно-Демократическая Республика (KP), Либерия (LR), Мьянма (MM), Руанда (RW), Судан (SD), Сьерра-Леоне (SL), Южный Судан (SS), Сирийская Арабская Республика (SY), Венесуэла (VE), Зимбабве (ZW) – SSL для этих стран НЕ выдаются: https://sectigo.com/knowledge-base/detail/Banned-Country-List-1527076085907/kA01N000000zFKI и https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
  3. Доменное имя включает в себя название бренда, например: facebook-app.com, sony-shop.net, dellshop.com и т.д;
  4. Доменное имя может содержать скрытое название бренда. Например, Ваш домен – “sibmama.com”, но автоматическая система проверки может прочитать его как “sIBMama” и отметить бренд “IBM”. Центр сертификации хочет проверять такие заказы вручную;
  5. В доменном имени есть “стоп-слова”, такие как: pay, online, secure, booking, shop, bank, transfer, money, e-payment, payment, protection, violence, terrorists и другие. Эти и многие другие слова являются триггерными словами в системе проверки и заставляют центр сертификации просматривать такие заказы вручную;
  6. Доменное имя находится в черном списке ИЛИ имеет плохую репутацию.
    partner-order-id

Что Вы можете сделать, чтобы ускорить этот процесс?

Пожалуйста, свяжитесь с Sectigo и Thawte, RapidSSL, GeoTrust, DigiCert напрямую через живой чат и обсудите ситуацию с представителем УЦ.

Пожалуйста, укажите в сообщении Ваш “Partner Order ID”.  Вы можете найти свой “Partner Order ID” на странице подробной информации о Вашем SSL-сертификате в Вашем аккаунте SSL Dragon. См. скриншот справа.

Копировать ссылку

Могу ли я закрепить за собой доменное имя, имеющее расширение .local?

К сожалению, доменные имена, заканчивающиеся на .local, не поддерживаются с 1 ноября 2015 года. Если Вы запросите SSL-сертификат для домена или субдомена, имеющего в качестве расширения .local, Ваш SSL-сертификат будет отклонен Центром сертификации.

Если Вы хотите защитить домен или поддомен на Вашем локальном хосте, Вы можете создать самоподписанный SSL-сертификат. В Интернете есть много документации о том, как это сделать.

Копировать ссылку

Могу ли я защитить IP-адрес с помощью SSL-сертификата?

Да, Вы можете защитить IP-адрес с помощью SSL-сертификата. Однако только некоторые конкретные SSL-сертификаты позволят Вам это сделать. Вот эти SSL-сертификаты:

– Sectigo InstantSSL Premium
– GoGetSSL Публичный IP SAN

Обратите внимание, что Sectigo InstantSSL Premium – это Business Validation SSL Certificate, что означает, что для получения этого SSL сертификата Вам необходимо иметь зарегистрированную компанию.

GeGetSSL Public IP SAN – это SSL-сертификат с проверкой домена, который по умолчанию защищает 2 IP-адреса.

Копировать ссылку

Как изменить метод проверки домена?

Действует только для сертификатов Sectigo и GoGetSSL:

Пожалуйста, выполните следующие шаги, чтобы изменить тип проверки домена для Вашего SSL-сертификата:

  1. Войдите в свою учетную запись SSL Dragon;
  2. Перейдите в раздел “SSL-сертификаты” -> “Мои SSL-сертификаты;
  3. Вы увидите список продуктов, которые Вы приобрели в SSL Dragon. Щелкните на SSL-сертификате, для которого Вы хотите изменить тип проверки домена;
  4. Нажмите на кнопку “Изменить метод DV”, которую Вы найдете внизу страницы;
  5. Выберите новый метод проверки домена для Вашего домена (доменов); подробнее о том, что означает каждый тип проверки, Вы можете прочитать по этой ссылке;(Важно: метод проверки HTTP больше не доступен для Wildcard SSL-сертификатов).
  6. Нажмите “Submit”, чтобы новый метод проверки вступил в силу.

Копировать ссылку

Почему проверка домена для многодоменного SSL происходит так медленно?

Когда Вы покупаете мультидоменный SSL-сертификат, и Вы включаете в него несколько доменных имен и/или субдоменов, центры сертификации требуют, чтобы Вы прошли проверку домена для каждого из них. имя и/или субдомен, которые Вы включили в свой мультидоменный SSL-сертификат, и только после этого мультидоменный SSL-сертификат будет выдан Вам.

ВОЗМОЖНАЯ ПРОБЛЕМА: Иногда адреса электронной почты, или параметры HTTP, или записи DNS, которые Вы выбираете для своего многодоменного сертификата, не устанавливаются правильно, когда они попадают в Центр сертификации. Вы поймете это, когда увидите, что на Ваш адрес электронной почты пришло только одно сообщение о проверке домена, а не несколько, или статус Вашего SSL-сертификата с несколькими доменами все еще отображается как “Ожидает проверки (полная)”, хотя Вы прошли проверку домена для одного из доменов.

partner-order-idКАК УСТРАНИТЬ: Есть простой способ исправить эту проблему, и для этого нужно связаться с отделом сертификации центра сертификации. Когда Вы свяжетесь с ними, пожалуйста, сообщите им Ваш “Partner Order ID” (см. скриншот справа), а затем расскажите им о методе проверки домена, который Вы выбрали: HTTP, DNS или Email. Если Вы решили пройти проверку доменов по электронной почте, то перепроверьте у представителей отдела проверки, какие адреса электронной почты установлены в их системе, и попросите их прислать Вам сообщения о проверке доменов на , чтобы Вы могли получить нужные Вам адреса электронной почты.

Sectigo/GoGetSSL

Пожалуйста, позвоните в отдел проверки Sectigo по адресу +1 (888) 266-6361 или https://sectigo.com/support по вышеуказанным причинам. Когда Вы будете разговаривать с ними, Вам нужно будет сообщить им Ваш “Partner Order ID”.

Thawte, GeoTrust, DigiCert

Пожалуйста, позвоните в отдел проверки Thawte, GeoTrust, DigiCert по телефону +1 (877) 438-8776 по вышеуказанным причинам. Обратите внимание, что Thawte, GeoTrust, DigiCert принадлежат компании DigiCert, и все они имеют один и тот же номер телефона, указанный выше.  Когда Вы будете разговаривать с ними, Вам нужно будет сообщить “Partner Order ID”.

Копировать ссылку

Сколько времени занимает процесс валидации?

Время проверки SSL зависит от типа сертификата, который Вы решили приобрести.

Сертификаты Domain Validated выдаются в течение 3-5 минут в 99% случаев. Только если SSL-сертификат запрашивается для доменного имени, содержащего торговую марку или название бренда, то такие SSL-сертификаты могут пройти проверку на соответствие бренду, и их выдача может занять до одного рабочего дня.

Сертификаты Business Validated обычно выдаются в течение 1-3 рабочих дней.

Выпуск сертификатов с расширенной валидацией может занять от 1 до 7 рабочих дней. Центр сертификации выполняет свою часть работы очень быстро. Если вся информация предоставлена Центру сертификации быстро и правильно, то Центр сертификации может выпустить EV-сертификат в течение 1 рабочего дня. Мы сталкивались с ситуациями, когда EV-сертификат выдавался в течение нескольких часов. Срок от 1 до 7 дней зависит от того, как быстро клиент предоставит Центру сертификации необходимую информацию и как быстро клиент ответит на возможные запросы Центра сертификации о предоставлении дополнительной информации.

Выполняя процесс проверки, центр сертификации пытается подтвердить, что Вы являетесь владельцем домена и что компания, для которой Вы запрашиваете сертификат Business Validation или Extended Validation, является действующей. Поэтому очень важно, чтобы Вы постоянно обновляли информацию о своей компании (адрес и телефон) и оперативно отвечали на запросы Центра сертификации.

Копировать ссылку

Как проверить IP-адрес на маршрутизаторе

Если Ваш маршрутизатор имеет публичный IP-адрес, Вы все равно можете проверить этот IP-адрес.

Проверка HTTP/HTTPS – единственный метод, доступный для проверки IP-адресов. Метод проверки HTTP/HTTPS заключается в добавлении TXT-файла на Ваш IP-адрес и в том, что Sectigo сканирует этот IP-адрес и проверяет его. На Вашем маршрутизаторе нет возможности загрузить TXT-файл. Решение для проверки IP-адреса – перенаправить IP-адрес на сервер, поместить TXT-файл на этот сервер, пройти проверку IP-адреса, а затем перенаправить IP-адреса обратно на маршрутизатор.

Более подробную информацию о том, что должен содержать TXT-файл и куда его следует загружать, Вы можете прочитать в следующем пункте FAQ: https://www.ssldragon.com/faq/pass-validation-public-ip-address-ssl-certificate/.

 

Копировать ссылку