SSLmentor

Kvalitné TLS/SSL certifikáty pre webové stránky a internetové projekty.

Help

Help

Overenie doménového certifikátu

Domain Validation (DV) certifikáty sú SSL certifikáty, ktoré možno získať veľmi ľahko a veľmi rýchlo. Vďaka jednoduchému overenie a plnej automatizácii je možné získať nový certifikát počas minút a mať zabezpečené webstránky raz-dva-tri.

Priebeh a validácia DV certifikátu

DV SSL certifikáty sú základné SSL certifikáty, ktoré oproti OV a EV SSL certifikátom nevyžadujú zložité overovanie. Certifikačná autorita musí iba overiť, že osoba alebo organizácia, ktorá žiada o SSL certifikát, vlastné registrovanú doménu a môže s doménou disponovať.

Objednávka

Po objednaní SSL certifikátu a uhradení je objednávka systémom skontrolovaná a ak je všetko v poriadku, je certifikát automaticky objednaný u certifikačnej autority. Objednanie certifikátu u autority je oznámené e-mailom a objednávka získá status: PENDING

Ak ste dostali potvrdenie o úhrade, ale objednávka je stále v stave uhradení a nedošlo k objednaniu u certifikačnej autority, overte, že je vložená žiadosť o certifkát. Prípadne si jednoducho žiadosť o certifikát (CSR) vygenerujte.

Overenie Certifikačnou autoritou

Validáciu žiadateľa o certifikát vykonáva Certifikačná autorita vo svojej réžii, tj. Zasiela validačnú e-mail, vystavuje a zasiela certifikát.

Validácia e-mailom:

Najjednoduchší spôsob validácie je overenie domény pomocou e-mailu zaslaného na vopred vybranú adresu, kde majiteľ alebo správca domény klikne na odkaz, kde následne potvrdí potvrdí "Approve" žiadosť o certifikát. Potom je certifikát prakticky hneď vydaný.

  • admin@domenaxyz.sk
  • administrator@domenaxyz.sk
  • webmaster@domenaxyz.sk
  • hostmaster@domenaxyz.sk
  • postmaster@domenaxyz.sk

Ponúkané e-maily sú nastavené podľa pravidiel CAB fóra. Validačný e-mail musí byť vytvorený a funkčný. Ak niektorý z uvedených e-mailov nemáte, je nutné ho vytvoriť a napríklad nastaviť ako alias na niektorý firemný e-mail.

Ukážka validačného e-mailu CA Comodo
Validační e-mail CA Sectigo

Čo robiť, keď nepríde validačný e-mail?

Validačný e-mail je zasielaný priamo certifikačnou autoritou neodkladne po objednaní certifikátu u autority (CA Comodo zasiela e-mail z adresy noreply_support@comodo.com). Môže sa stať, že ešte nie je adresa e-mailu k dispozícii alebo je potreba vykonať zmenu na iný z 5 ponúkaných. Môže tiež zlyhať nastavenej preposlanie e-mailu alebo nie je e-mail doručený z dôvodu nastavení prísnej politiky ochrany pred spamom.

Validačný email možno kedykoľvek pred vystavením certifikátu poslať znova. Poslanie sa vykonáva v Administrácii: Detail certifikátu -> Informácie o objednávke -> Typ validácie: -> upraviť -> Poslať. Tu je tiež možné e-mail zmeniť a nastaviť iný.

Upozornenie: Ak validačný e-mail nemožno prijať ani po viacnásobných pokusoch, skontrolujte si názov domény, či nedošlo k preklepu pri objednávaní. Je tiež možné, že váš poskytovateľ má nastavené antispamové filtre tak, že sú e-maily od zahraničnej autority odmietané. V tom prípade je nutné kontaktovať vášho poskytovateľa elektronickej pošty alebo zvážiť využitie alternatívnych validácie.

Vystavenie certifikátu

Akonáhle dôjde k potvrdeniu validačného e-mailu, je certifikát behom minút vystavený a zaslaný na vyplnený technický kontakt v objednávke.

E-mail obsahuje ocertifikovaný verejný kľúč a medziľahlé certifikáty autority, pre zaistenie dôveryhodnosti certifikátu. Spolu s privátnym kľúčom sa všetko vkladá na server.


Alternatívne metódy overenia

Ak sa nedá overiť majiteľa domény pomocou e-mailu, existujú ďalšie dva spôsoby, ako vykonať validáciu domény.
Info: Od novembra 2021 nie je možné pomocou FTP validácie vykonávať overenie WildCard SSL certifikátov.

File-Based Authentication (FTP validácia)

Certifikačná autorita overuje doménu pomocou TXT súboru umiestneného do diskového priestoru domény. Verejne dostupný súbor obsahuje textový reťazec (token), ktorý je nutné nahrať do adresára /.well-known/pki-validation/ webových stránok. Certifikačná autorita overí jeho existenciu a tým aj validuje, že žiadateľ má prístup k doméne a má právo s doménou disponovať. Každá žiadosť má vždy vlastné textové reťazce, ktoré sú uvedené pri detaile objednávky a zaslané e-mailom. Nižšie uvedené reťazce sú iba pre ukážku.

Ukážka FTP validácie RapidSSL certifikátu
Název súboru: fileauth.txt
Cesta k súboru: http://domenaxyz.sk/.well-known/pki-validation/fileauth.txt
Obsah súboru (token):
8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7

Textový súbor obsahuje iba token, bez akýchkoľvek ďalších informácií.
Ukážka FTP validácie Sectigo PositiveSSL certifikátu
Název súboru: 048B0565E245687S52C7801EA7D4B954F3.txt
Cesta k súboru: http://domenaxyz.sk/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt
Obsah súboru:
141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993
COMODOCA.COM
t0211231001361667854

Informácie musia byť oddelene na samostatných riadkoch.

Upozornenie: Overovací súbor musí byť prístupný na adrese bez "www". A to aj v prípade žiadosti o certifikát pre doménu s "www", teda napríklad www.domenaxyz.cz.
V prípade validácia certifikátu CA Sectigo musia byť informácie v súboru oddelené na samostatných riadkoch!

Overenie či je záznam dostupný sa prevedie jednoduchou kontrolou pomocou vloženia adresy do prehliadača, kde sa musí validačnej informácie zobraziť.

DNS validácia

Nastavenie DNS záznamov domény sa vykonáva väčšinou u poskytovateľa hostingu alebo registrátora domény. Certifikačná autorita vygeneruje unikátny reťazec, ktorý sa vloží do DNS ako TXT záznam, prípadne sa nastavuje ako CNAME. Akonáhle sa rozšíri nový obsah DNS, certifikačná autorita záznam skontroluje a pokiaľ je v poriadku, vydá k doméne certifikát.

Ukážka validácie DNS pomocou TXT záznamu
DNS TXT record: d3pyrjg65d8hh1bv0tgr4bx890yksq8j
Ukážka validácie DNS pomocou CNAME záznamu
DNS CNAME record: _cfd00c1ec2d56372b27b9562f5da83d0.domenaxyz.cz CNAME
cb3a889855882c6518c0ac959be30067.e8349bfb8ec9a0334864d9bf350a1188.t0119001001421510849.comodoca.com

Upozornenie: Aj pri žiadosti o certifikát pre doménu www.domenaxyz.cz musí byť TXT záznam dostupný v DNS na doméne bez "www".

Overenie, či je záznam k dispozícii je možné zistiť online pomocou webu digwebinterface.com alebo whatsmydns.net.

Späť na Nápovedu
Našli ste chybu alebo niečomu nerozumiete? Napíšte nám!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum