在公共信任的證書頒發(fā)機(jī)構(gòu)為主機(jī)名頒發(fā)證書之前���,請(qǐng)求者必須證明他們可以控制該主機(jī)名���。有幾種方法可以用來完成此過程�����,Cloudflare使用的主要方法是:HTTP令牌���、CNAME DNS記錄、TXT DNS記錄�。
什么是域控制驗(yàn)證(DCV)?
在公共信任的證書頒發(fā)機(jī)構(gòu)為主機(jī)名頒發(fā)證書之前�����,請(qǐng)求者必須證明他們可以控制該主機(jī)名�。 (在此上下文中,域名和主機(jī)名可以互換使用)
有幾種方法可以用來完成此過程�����,Cloudflare使用的主要方法是:
HTTP令牌
CNAME DNS記錄
TXT DNS記錄
使用Cloudflare完成域的DCV
通過更新您的注冊(cè)商以使用Cloudflare名稱服務(wù)器來注冊(cè)Cloudflare時(shí)�����,Cloudflare能夠代表您自動(dòng)處理DCV�����。
對(duì)于使用CNAME設(shè)置的域�,此過程并不那么簡單。
更改證書訂單的DCV方法主要是CNAME設(shè)置區(qū)域的主題���。
默認(rèn)情況下�����,在CNAME設(shè)置下使用Universal SSL����,Cloudflare將放置一個(gè)HTTP令牌來完成DCV�。證書頒發(fā)機(jī)構(gòu)可在以下情況下立即使用此令牌:
主機(jī)名具有從域名權(quán)威DNS到Cloudflare的CNAME。
在Cloudflare的DNS設(shè)置中���,主機(jī)名是橙云���。
這意味著默認(rèn)情況下,在頒發(fā)證書之前����,給定主機(jī)名的上述各項(xiàng)必須完整。
據(jù)報(bào)告�����,一旦更改DNS,頒發(fā)證書的過程非?��??,但是您可能需要堅(jiān)定保證���,在進(jìn)行轉(zhuǎn)換之前�,您的證書已準(zhǔn)備就緒����,以避免任何潛在的停機(jī)時(shí)間。
使用客戶端API���,我們可以更改驗(yàn)證方法�����,以允許在通過實(shí)時(shí)流量之前頒發(fā)證書。
Apex驗(yàn)證
即使不希望為該主機(jī)名提供代理服務(wù)���,除非使用Cloudflare切換到完整DNS配置�,但完成以上針對(duì)域最高端的過程將使我們能夠?yàn)樗凶佑蛲瓿蒁CV。
作為最佳實(shí)踐���,即使您不打算在CNAME設(shè)置中代理頂點(diǎn)的流量�����,也最好根據(jù)頂點(diǎn)進(jìn)行驗(yàn)證����。
否則�,需要手動(dòng)驗(yàn)證每個(gè)子域。
1.檢查驗(yàn)證方法
首先���,找到cert_pack_uuid您要更改驗(yàn)證方法的順序����。
curl -sX GET \
"https://api.cloudflare.com/client/v4/zones/:zone_id/ssl/verification/" \
-H 'X-Auth-Email: YOUR_EMAIL' \
-H 'X-Auth-Key: API_KEY'
{
"result": [
{
"certificate_status": "pending_validation",
"cert_pack_uuid": "4228d4df-b9c7-47bb-8903-ff76452458b1",
"validation_method": "http",
"validation_type": "dv",
"verification_info": {
"http_url": "http://example.com/.well-known/pki-validation/ca3-15cd5a33b4fd469784851d8c021e3ee3.txt",
"http_body": "ca3-d4db80cdcb40496ab71a66a0ab985306"
},
"hostname": "example.com"
},
],
"success": true,
"errors": [],
"messages": []
}
這向我們顯示了創(chuàng)建的掛單����,并且完成驗(yàn)證所需的HTTP DCV信息位于verification_info元素中。
您可以在此處將驗(yàn)證方法更改為CNAME或TXT記錄����。
讓我們繼續(xù)���,將DCV方法更改為CNAME。
2.變更確認(rèn)方法
該端點(diǎn)將修改所選證書訂單的驗(yàn)證方法����。請(qǐng)注意validation_method在請(qǐng)求正文中設(shè)置的值。
curl -X PATCH "https://api.cloudflare.com/client/v4/zones/:zone_id/ssl/verification/<cert_pack_uuid>" \
-H "X-Auth-Email: user@example.com" \
-H "X-Auth-Key: API_KEY" \
-H "Content-Type: application/json" \
--data '{"validation_method":"cname"}'
{
"result": {
"certificate_status": "pending_validation",
"cert_pack_uuid": "4228d4df-b9c7-47bb-8903-ff76452458b1",
"validation_method": "cname",
"validation_type": "dv",
"verification_info": {
"cname": "_ca3-e82a555f7fe04fb394d2b14c7eb24946.example.com",
"cname_target": "dcv.digicert.com"
},
"status": "pending_validation",
"hostname": "example.com"
},
"success": true,
"errors": [],
"messages": []
}
然后�����,您可以verification_info在權(quán)威DNS中獲取并設(shè)置CNAME記錄的值����。可以通過使用執(zhí)行此類手動(dòng)DNS查找來驗(yàn)證這一點(diǎn)dig���。
$ dig _ca3-e82a555f7fe04fb394d2b14c7eb24946.example.com cname +short
dcv.digicert.com.
3.驗(yàn)證狀態(tài)現(xiàn)在處于活動(dòng)狀態(tài)
一旦通過證書頒發(fā)機(jī)構(gòu)驗(yàn)證�����,“獲取驗(yàn)證方法”端點(diǎn)將按以下順序顯示訂單:
curl -sX GET \
"https://api.cloudflare.com/client/v4/zones/:zone_id/ssl/verification/" \
-H 'X-Auth-Email: YOUR_EMAIL' \
-H 'X-Auth-Key: API_KEY'
{
"result": [
{
"certificate_status": "active",
"cert_pack_uuid": "4228d4df-b9c7-47bb-8903-ff76452458b1",
"validation_method": "http",
"validation_type": "dv",
"hostname": "example.com"
}
],
"success": true,
"errors": [],
"messages": []
}
狀態(tài):active表示證書已部署到Cloudflare的邊緣網(wǎng)絡(luò)����,并且將HTTP流量代理到Cloudflare后將立即提供證書�����。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
