Валидация домена (DV - Domain Validation).
Начальный уровень доверия.
Для того чтобы подтвердить что домен принадлежит именно вам существует три способа. Рассмотрим каждый по отдельности.
С помощью электронной почты.
Администратору домена необходимо создать почтовый ящик, на который будет получено письмо от центра сертификации. Допускаются следующие имена:
- admin@<доменное_имя>
- administrator@<доменное_имя>
- webmaster@<доменное_имя>
- hostmaster@<доменное_имя>
- postmaster@<доменное_имя>
В письме вы получите уникальный код и ссылка для подтверждения. Скопируйте код и перейдя по ссылке, вставьте его в соответствующее поле.
Другие способы требуются для получения сертификатов Comodo.
С помощью DNS-записей.
После генерации CSR (Certificate Signing Request - запрос подписи сертификата), вы получите хеш-значения вашего запроса, которые необходимо в запись CNAME вашей доменной зоны. Данная запись имеет строгий формат и будет выглядеть следующим образом:
_<MD5 hash value from CSR>.<доменное имя>. CNAME <SHA-256 hash value from CSR>.[<uniqueValue>.]comodoca.com.
Следует обратить внимание, что:
- SHA-256 хеш-последовательность разделена символом “.” (точка) надвое, по 32 символа с обеих сторон;
- Запись считается верной, если в конце доменного имени стоит символ “.” (точка);
- Мультидоменные сертификаты требуют индивидуальные CNAME-записи, т.е. в вашем заказе они должны быть созданы для каждого домена отдельно;
- В CNAME-записи не нужно указывать “www”, даже если вы получаете сертификат именно для этого поддомена.
Для наглядности, рассмотрим пример для поддомена:
_09f7e02f1975bf211da707a341f153b3.subdomain0.mydomain.com. CNAME 3d874ab7b199418a9014258369048163.9eb1f1472f4da5aa1ab5bcca1b0df53.comodoca.com.
Для домена www:
_81f9e13a1855bf221da717a341f153b3.mydomain.com. CNAME 3d874ab7bacd5f2e3a9e1f2b3a3cc163.1ae0cbd19f4da5aa1ab5bcca1aedf64.comodoca.com.
С помощью HTTP(S)
После генерации CSR (Certificate Signing Request - запрос подписи сертификата), вы получите хеш-значения вашего запроса. Для прохождения валидации необходимо создать текстовый файл и разместить его согласно правилам:
Файл должен быть доступен по ссылке:
http://<mydomain>/.well-known/pki-validation/<хеш-значение MD5 в верхнем регистре>.txt
Содержимое файла - 2 строки:
<Хеш-значение SHA-256>
comodoca.com
Важно!
- Валидация не будет выполнена, если используются перенаправления;
- Обязательно проверяем существование всех каталогов по указанному выше пути;
- Если заказан Мультидоменный сертификат, то файлы должны быть доступны для каждого домена;
- Проверка www-доменов происходит на основном домене;
- Имя txt-файла не начинается с символа подчеркивания (_) и указано в верхнем регистре;
- Содержимое файлов не требует разделения “точкой”. После comodoca.com символ точки не ставится.
Рассмотрим примеры.
для основного домена и в случае с “www”:
URL - http://mydomain.com/.well-known/pki-validation/81F9E13A1855BF221DA717A341F153B3.txt
Содержимое файла:
3d874ab7bacd5f2e3a9e1f2b3a3cc1631ae0cbd19f4da5aa1ab5bcca1aedf64
comodoca.com
Для домена третьего уровня - subdomain0.mydomain.com:
URL - http://subdomain0.mydomain.com/.well-known/pki-validation/09F7E02F1975BF211DA707A341F153B3.txt
Содержимое файла:
3d874ab7b199418a90142583690481639eb1f1472f4da5aa1ab5bcca1b0df53
comodoca.com
Валидация организации (OV - Organization validation)
Для проведения OV, следует выполнить три этапа.
Этап 1.
Выполнить валидацию домена (DV). Способы описаны выше.
Этап 2.
Непосредственно валидация организации. Несколько способов:
- Центр сертификации самостоятельно проверяет существование организации через госреестры организаций;
- Открытые реестры данных, например, Companies House GOV.UK, Lursoft.lv, Duns & Bradstreet, Hoovers.
- Адрес организации следует подтвердить одним из следующих документов:
- устав организации (с указанием адреса);
- выданная правительством лицензия на ведение коммерческой деятельности (с указанием адреса);
- копия выписки о состоянии банковского счета организации за последние 6 месяцев; (можно указать номер счета)
- копия телефонного счета организации за последние 6 месяцев;
- копия счета за коммунальные услуги организации за последние 6 месяцев или текущий договор аренды для организации.
- Нотариально заверенное письмо (Legal Opinion Letter).
Этап 3.
Сотрудники центра сертификации (зачастую робот) звонят для подтверждения подлинности запроса сертификата, а также для завершения процесса валидации.
Сертификат будет подписан и выпущен после успешного завершения всех шагов.
Расширенная валидация (EV - Extended validation ).
Этап 1
Заполняете формы центра сертификации. Специальные бланки вам будут предоставлены.
Этап 2
Валидация организации, процесс описан выше.
Этап 3
Валидация домена. Процесс описан в самом начале.
Этап 4
Как и в случае OV, сотрудники центра сертификации звонят для подтверждения подлинности запроса сертификата и завершения процесса валидации.
Сертификат будет подписан и выпущен после успешного завершения всех шагов.
Подборки SSL-сертификатов: DV сертификат для домена, EV сертификат "зеленая строка", WC сертификат для поддоменов, SAN мультидоменный сертификат.