Knowledge Base

ドメイン認証の方法

S/MIME証明書を発行するためには、証明書に含まれるEメールアドレスのドメインおよびSAN（Subject Alternative Names）を管理する権限があることを検証する必要があります。このプロセスをDomain Control Validation（DCV）と呼びます。

デジサートでは現在DCVの検証手段として、メール認証、DNS認証、ファイル認証をサポートしています。

メール認証

この検証方法では、ドメイン名の所有者であるメールの受信者が、送信された検証用Eメール（以下DCVメール）に記載されている指示に従って承認操作をする必要があります。DCVメールは、当該ドメイン名の管理者宛に送信されます。

デジサートは、各パブリックドメインの管理者用のアカウントとして（admin@、administrator@、webmaster@、hostmaster@、postmaster@）宛てにDCVメールを送信します。

DCVメールを受信者したドメイン管理者は、Eメール本文に記載されているリンクにアクセスし、ページの指示に従ってドメインの管理権限について確認のうえ承認操作をします。

申請ドメイン名にMXレコードが登録されていないなどの理由でメールを受信できない場合は、サポートされている他の検証手段にてドメインの管理権限を検証する必要があります。

[DCV] メール認証方式 : Verification Email

メール認証に関するヒント：

MXレコード(Mail Exchanger Records)
DCVメールをドメイン所有者（またはドメイン管理者）に正しく送信するために、DCVメールを受信できる有効なメールサーバーを確認する必要があります。そのために、受信者のドメイン名のDNSレコードにMXレコード（Domain Name System [DNS]のリソースレコード）がある必要があります。MXレコードがある場合、DCVメールの送信が可能となります。

たとえば、DCVメールをEメールアドレス admin@example.comに正常に送信するには、admin宛のEメールを受信するように設定されたサーバ（例：mailhost.example.com）を識別するアドレスのMXレコードがある必要があります。MXレコードがある場合、DCVメールをadmin@example.comに正常に送信できます。MXレコードがない場合は、適切なメールサーバーを識別できないため、DCVメールは送信されません。

DNS認証

この検証方法では、申請ドメインに対してユニークなTXTレコードを作成する必要があります。
TXTレコードには、デジサートから提供されたランダムな検証用トークン値を追加します。デジサートのシステムが申請ドメインに関連付けられたTXTレコードを検索し、レコードの値が検証用トークンと一致することを検知すると検証が完了します。

DNS認証をご希望の場合、pkiauth_support_japan@digicert.com 宛にお客様の CertCentral アカウント番号、組織名、検証するドメイン名を添えてご連絡ください。認証担当者がTXTレコードに追加する検証用トークン情報をお知らせします。

検証用トークン情報を受け取った後、以下の対応をしてください。

1. ご利用のDNSプロバイダの管理サイトにアクセスし、新しいTXTレコードを作成します。
2. 検証用トークンの値をコピーし、TXT値フィールドの新しいTXTレコードにペーストします。
3. Hostフィールドベースドメイン（例：example.com）レベル Hostフィールドを空欄のままにするか、または@記号を使用します （ご利用のDNSプロバイダの要件に応じて対応してください）。
4. TTLがデフォルトまたは300秒もしくは5分に設定されていることを確認し、レコードを保存します。
5. 完了後は認証担当者へDNSのTXTレコードの検証を依頼してください。弊社システムがTXTレコードを検索し、正しく設定されていることを検知すると検証が完了します。

[DCV] DNS認証方式 : DNS TXT Record / DNS CNAME Record

ファイル認証

この検証方法では、デジサートから提供されたランダムな検証用トークン値を特定のファイル名で作成したテキストファイルに追記し、Webサイトの所定の場所にアップロードすることで、申請ドメインの使用権を検証します。
デジサートのシステムが申請ドメインに関連付けられたWebサイトを検索し、認証ファイルおよびトークン値の存在を確認します。指定の場所に指定のファイルがアップロードされ、トークン値が一致することを検知すると検証が完了します。

ファイル認証をご希望の場合、pkiauth_support_japan@digicert.com 宛にお客様の CertCentral アカウント番号、組織名、検証するドメイン名を添えてご連絡ください。認証担当者が検証用トークンおよび設置場所情報をお知らせします。

検証用トークン情報を受け取った後、以下の対応をしてください。

1. ファイル設置場所およびファイル名は以下のとおりです。
   FQDN/.well-known/pki-validation/fileauth.txt
2. Webサイトに（.well-known/pki-validation/）のようにディレクトリを作成し、そこにテキストファイル（fileauth.txt）をアップロードします。
3. 完了後は認証担当者へ検証を依頼してください。弊社システムがWebサイトを検索し、すべて正しく設定されていることを検知すると検証が完了します。

[DCV]ファイル認証方式 : HTTP Practical Demonstration

ファイル認証に関するヒント：

• WebページのURLがデジサートの提供するURLと一致することを確認してください。
  http://申請ドメイン名またはコモンネーム/.well-known/pki-validation/fileauth.txt
  重要：ピリオドや文字が欠けていると認証を完了できません。
• Windowsベースのサーバの場合、” .well-known”フォルダは、コマンドライン（mkdir well-known）で作成する必要があります。
   fileauth.txtファイルには、提供されたとおりのトークン値が含まれていることを確認してください。大文字は含まれません。