質問

Advanced Search

Solution ID : SO29806

Last Modified : 05/07/2019

S/MIME証明書の新しいドメイン認証プロセス

Solution

このFAQの内容は、DigiCert PKI Platformより発行されるS/MIME証明書のみに適用されます。

 

ドメイン認証の方法

デジサートが証明書を発行する前に、アカウント内のドメインおよびSAN(Subject Alternative Names)を管理する権限があることを検証する必要があります。このプロセスをDomain Control Validation(DCV)と呼びます。

デジサートでは現在DCVの検証手段として、メール認証、ファイル認証、DNS認証をサポートしています。

 

■メール認証

この検証方法では、ドメイン名の所有者であるメールの受信者が、送信された検証用Eメール(以下DCVメール)に記載されている指示に従って承認操作をする必要があります。DCVメールは、WHOISレコードに記載されている申請ドメイン名の連絡先、および当該ドメイン名の管理者宛に送信されます。

DigiCertは、パブリックドメインの登録所有者にDCVメールを送信します。また、各パブリックドメインの管理者用のアカウントとして(admin、administrator、webmaster、hostmaster、postmaster)宛てにもDCVメールを送信します。
DCVメールの受信者は、Eメール本文に記載されているリンクにアクセスし、ページの指示に従ってドメインの管理権限を検証する必要があります。


Note: 通常ドメイン名を登録する際には、連絡先情報を指定する必要があります(例:Administrative contact および technical contacts)。
     個人のEメールアドレスを登録に使用する代わりに、当該ドメイン名の管理者アカウントのEメールアドレスのうちいずれかを
     登録することもできます。
     例:webmaster @<申請ドメイン名>の様に、管理者アカウントのEメールアドレスのいずれかを連絡先として登録に使用すると、
     必要に応じて受信者を追加、削除できる「期限切れのない」DCVメール受信用Eメールアドレスを作成できます。


申請ドメイン名にMXレコードが登録されていない場合は、サポートされている他の検証手段にてドメインの管理権限を検証する必要があります。

MXレコード(Mail Exchanger Records)
DCVメールをドメイン所有者(またはドメイン管理者)に正しく送信するために、DCVメールを受信できる有効なメールサーバーを確認する必要があります。そのために、受信者のドメイン名のDNSレコードにMXレコード(Domain Name System [DNS]のリソースレコード)がある必要があります。MXレコードがある場合、DCVメールの送信が可能となります。

たとえば、jane.doe@example.comは、ドメイン名example.comの所有者のEメールアドレスとして、WHOISレコードに登録されています。DCVメールをこのEメールアドレス jane.doe@example.comに正常に送信するには、jane.doe宛のEメールを受信するように設定されたサーバ(例:mailhost.example.com)を識別するアドレスのMXレコードがある必要があります。MXレコードがある場合、DCVメールをjane.doe@example.comに正常に送信できます。MXレコードがない場合は、適切なメールサーバーを識別できないため、DCVメールは送信されません。

 

■ファイル認証

この検証方法では、ランダムに生成されたトークン値と特定のファイル名で作成したテキストファイルをWebサイトの所定の場所にアップロードすることで、申請ドメインの使用権を検証します。作成した認証ファイルがサイトにアップロードされると、デジサートのシステムは指定のURLにアクセスして認証ファイルおよびトークン値の存在を確認します。

・ファイル認証をご希望の申請については、認証担当者へ連絡してください。以下内容をご案内します。

   a. FQDN(Fully Qualified Domain Name)
   b. 認証ファイルに記載のうえアップロードするための認証用トークン (ランダムな文字および数字)
   c. ファイル設置場所。ファイルは以下のとおり設置します。
    FQDN/.well-known/pki-validation/fileauth.txt


・Webサイトに(.well-known/pki-validation/)のようにディレクトリを作成し、そこにテキストファイル(fileauth.txt)をアップロードします

・認証担当者へ認証ファイル検証依頼をしてください。正しくアップロードされていれば、DCVは承認されます。


ファイル認証に関するヒント:
・WebページのURLがデジサートの提供するURLと一致することを確認してください。
 http://申請ドメイン名またはコモンネーム/.well-known/pki-validation/fileauth.txt
 重要:ピリオドや文字が欠けていると認証を完了できません。
・ Windowsベースのサーバの場合、” .well-known”フォルダは、コマンドライン(mkdir well-known)で作成する必要があります。
  fileauth.txtファイルには、提供されたとおりのトークン値が含まれていることを確認してください。大文字は含まれません。

 

■DNS認証

この検証方法では、申請ドメインに対してユニークなTXTレコードを作成する必要があります。このTXTレコードには、デジサートのサポート担当者から提供されたランダムな検証用トークン値を追加します。デジサートが申請ドメインに関連付けられたTXTレコードを検索し、レコードの値が検証用トークンと一致することを確認します。

・DNS認証をご希望の申請については、認証担当者へ連絡してください。以下内容をご案内します。 

   a. FQDN(Fully Qualified Domain Name)
   b. TXTレコードに追加する認証用トークン (例:randomnumbersandletters)

・TXTレコードに追加する認証用トークン

   a. ご利用のDNSプロバイダの管理サイトにアクセスし、新しいTXTレコードを作成します。
   b. 検証用トークンの値をコピーし、TXT値フィールドの新しいTXTレコードにペーストします。
   c. Hostフィールド
    ベースドメイン(例:example.com)レベル Hostフィールドを空欄のままにするか、または@記号を使用します
    (ご利用のDNSプロバイダの要件に応じて対応してください)。
   d. TTLがデフォルトまたは300秒もしくは5分に設定されていることを確認します。
   e. レコードを保存します。

・認証担当者へDNSのTXTレコードの検証を依頼してください。すべてが正しく設定されていれば、DCVは承認されます。