質問

Advanced Search

Solution ID : SO29822

Last Modified : 10/16/2024

[DCV] SSL/TLSサーバ証明書のドメイン名の承認(メール認証・DCVメール)

Solution

※ WHOIS掲載のEメールアドレス等連絡先情報を使用したドメイン名の利用権確認 (DCV) について

現在CA/Browser Forumにおいて、ドメイン名の利用権をそのドメインの所有者に確認するための連絡手段の1つである、WHOISに掲載された連絡先情報を使用することを取りやめる議論がなされています。DigiCertでは、WHOIS掲載のEメールアドレス等連絡先情報を使用したドメイン検証プロセスを、できるだけ早く他の引き続き有効な認証方式のいずれかに切替えて使用することを推奨します。

メール認証(DCVメール)を引き続き利用される場合、admin@、administrator@などの規定の5つのエイリアスと申請ドメイン名の組合せで構成されるEメールアドレスを送信先とするか、または、DNS TXTレコードにDCVメール送信先のEメールアドレスを登録いただき、DCVメールを送信する「DNS TXT record email contacts」の利用への切替を検討してください。


DigiCert CertCentral Enterprise をご利用の場合は、[CCE] ドメイン名の認証申請についてを確認してください。

メール認証・DCVメール

SSL/TLS証明書の申請画面にある「DCV 認証方式」で「Verification Email」を選択すると、申請完了後ドメイン所有者様宛てにEメール(以下 DCVメール)が自動配信されます。
Eメールを受信されたドメイン名所有者様が、本文記載のURLから承認画面にアクセスして「承認」を完了させることで、ドメイン名の認証が完了します。
【注意】送信先メールアドレスのドメイン名にMXレコードの登録がない場合、承認メールが送信されません。事前にMXレコードの登録をご確認ください。

Q1.DCVメールの件名、送信元Eメールアドレス、送信先について教えてください
Q 2.承認操作に期限はありますか?
Q 3.DCVメールを再送できますか?
Q 4.WHOISとは何ですか?
Q 5.WHOISの登録情報にプロテクトをかけています。何か問題がありますか?
Q 6.DCVメールのサンプルはありますか?
Q 7.承認画面のサンプルはありますか?
Q 8.ドメインの利用権確認 (DCV)を再度実施しなおすには
Q 9.DNS TXT record email contacts について

 

Q1. DCVメールの件名、送信元Eメールアドレス、送信先について教えてください
A1.

※2022/1/28   件名(英語)を Update
 
■件名: [Domain Approval] ドメイン名の利用権確認のお願い: "domain name"(または  [Action Required]: Approve Certificate Request for "domain name")
■送信元アドレス: no-reply@digitalcertvalidation.com または no-reply@geotrust.com
■ 送信先Eメールアドレス: DCVを送信可能なEメールアドレスは以下のとおりです。

  1. WHOISに掲載されている連絡先メールアドレス(※)
  2. admin@(コモンネームまたはベースドメイン名)
  3. administrator@(コモンネームまたはベースドメイン名)
  4. hostmaster@(コモンネームまたはベースドメイン名)
  5. postmaster@(コモンネームまたはベースドメイン名)
  6. webmaster@(コモンネームまたはベースドメイン名)

DCVメールの送信先や選択可能なDCV方式等は、CertCentralの「設定」→「ユーザー設定」メニューの“詳細設定”をクリックし、「ドメイン名利用権の確認(DCV)」項目で設定できます。


Q2. 承認操作に期限はありますか?
A2.
承認操作の有効期間は、DCVメールが送信されてから30日間です。できるだけ早めに承認操作をお願いします。
30日以内に承認が完了しなかった場合は、DCVメールを再送してから承認操作をしてください。

 

Q3. DCVメールを再送できますか?
A3.
以下の手順でCertCentralからDCVメールを再送できます。

  • 「オーダー」メニューから証明書申請した際に送信されたDCVメールを再送する場合:
    「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、保留中となっている「ドメイン名の利用権を確認」項目のドメイン名をクリックし表示された画面で承認Eメールの送信先を選択の上、「Eメールを再送する」ボタンをクリックします。

  • 「ドメイン」メニューから、ドメイン名の認証申請をした際に送信されたDCVメールを再送する場合:
    「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、「Eメールを再送する」をクリックし表示された画面で承認Eメールの送信先を選択の上、「Eメールを再送する」ボタンをクリックします。


【注意】送信先メールアドレスのドメイン名にMXレコードの登録がない場合、承認メールが送信されません。ドメイン名にMXレコードを登録の上、承認メールの再送をお試しください。

 

Q4. WHOISとは何ですか?
A4.
WHOISとは、ドメイン名の所有者などの情報が管理されているデータベースで、誰もがインターネット上で検索し参照できるサービスです。各ドメイン名の登録機関がこのサービスを提供しています。

 

Q5. WHOISの登録情報にプロテクトをかけています。何か問題がありますか?
A5.
WHOISに登録されているEメールアドレスは、弊社システムが参照しDCVメール送信先の1つとして CertCentralにそのアドレスを表示させています。
WHOIS登録情報にプロテクトがかかっていると、システムが情報を参照できないため、送信先として表示することが出来ません。
WHOIS掲載のメールアドレスを選択する必要がある場合は、事前にプロテクトの解除をお願いします。承認操作完了後、必要に応じて元の設定に戻してください。

 

Q6. DCVメールのサンプルはありますか?
A6.
送信されるDCVメール本文のサンプルは以下のとおりです。

※ EV/OV証明書(日本語版): ※2023/1/18 サンプル画像 Update済
※「ドメイン」メニューより新しいドメイン名の認証申請時に送信されるDCVメールの件名・本文には、注文番号は表示されません。


※ EV/OV証明書(英語版): ※2023/1/18 サンプル画像 Update済
※「ドメイン」メニューより新しいドメイン名の認証申請時に送信されるDCVメールの件名・本文には、Order numberは表示されません。

 

DV証明書:

※「ご申請日:」にはタイムゾーンGMT基準の日付で表示されるため、申請時刻によりJSTで1日ずれることがあります。

 

Q7. 承認画面のサンプルはありますか?
A7.
DCVメール内のURLからアクセスできる承認画面のサンプルは以下のとおりです。
# 画面右上の「言語」をクリックし、表示言語を切替えることができます。
# 承認画面へのアクセスの有効期間は30日間です。DCVメール受信から30日以内に承認操作をお願いします。

DCVメールに記載される承認画面のURLは、以下のいずれかのドメイン名から始まります。
これ以外のドメイン名のURLが記載されている場合、デジサートが配信したDCVメールではありませんのでご注意ください。
https://www.digicert.com/
https://dcv.geotrust.com/
https://dcv.rapidssl.com/

 

EV/OV証明書 サンプル


DV証明書 サンプル

 

Q 8. ドメインの利用権確認 (DCV)を再度実施しなおすには
A 8.
認証済みステータスのドメイン名を、更新または再認証する場合は、以下の手順を確認してください。

  1. 「証明書」→「ドメイン」の一覧から、更新または再認証するドメイン名をクリックして詳細画面を開きます。
  2. 「ドメイン名利用権の確認(DCV)方式」から、ご希望の方式を選択し「認証を申請」ボタンをクリックします。
    ※ メール認証(Verification Email)を選択した場合は、DCVメール送信先のEメールアドレスを選択してから「認証を申請」ボタンをクリックします。
    ※「認証を申請」ボタンがグレーアウトしてクリックできない場合は、「認証するドメインを申請し、ドメインの再認証を再開します。」のチェックBOXをオンにするとアクティブに変わります。
  3. メール認証の場合は、選択したEメールアドレス宛にDCVメールが送信されます。
    DNS(CNAME/TXT)、ファイル認証(HTTP Practical Demonstration/HTTP Practical Demonstration with unique file name)を選択した場合は、必要なユーザー操作が表示されます。
  4. メール認証の場合は、受信したEメールの本文にあるURLから承認画面にアクセスし、確認のうえ承認操作を行ってください。
    DNS(CNAME/TXT)、ファイル認証(HTTP Practical Demonstration/HTTP Practical Demonstration with unique file name)の場合は、表示された認証用トークンを手順に沿って設定のうえ、トークンのチェックが完了するとドメインの承認が完了します。

 

Q 9. DNS TXT record email contacts について
A 9.
受信したDCVメールからドメイン名の承認操作を実施する方式の1つとして、認証するドメイン名のDNS TXTレコードに事前に連絡先Eメールアドレスを登録いただくことで、レコードにあるEメールアドレスをDCVメールの送信先とすることができます。

【事前確認】
DNS TXT record email contacts でDNSに登録したEメールアドレスをDCVメールの送信先にするには、事前にアカウントの設定でDNSに登録した送信先情報宛のDCVメール送信を有効にしておく必要があります。

  1. CertCentralの「設定」メニューから「ユーザー設定」を選択し、表示された画面下部の “詳細設定” をクリックします。
  2. ドメイン名利用権の確認(DCV)項目にある「認証DCV電子メール送信先」で、使用するDCVメール送信先を選択します。「Org/Tech/Admin contacts from DNS TXT」を有効にすると、DNS TXTレコードに設定したEメールアドレスを送信先として選択できるようになります。

DNS TXT record email contactsでDCVメール送信先Eメールアドレスを登録して承認する場合:

  1. 認証するドメイン名のサブドメイン "_validation-contactemail" に DNS TXTエントリを作成(例: _validation-contactemail.認証するドメイン名)し、
    Value にDCVメール送信先とする有効なEメールアドレスを指定します。

    Type Host/Name Value
     TXT   _validation-contactemail.example.com   "DCV送信先Eメールアドレス" 

  2. CertCentralの「ドメイン」メニューからドメインの認証を開始する場合や、または「オーダー」メニューから証明書を申請する際にドメイン名の認証を開始する場合には、DCV方式として「Verification Email」を選択してドメインの認証を開始します。
  3. DigiCertのシステムが自動的に WHOIS および DNS TXTレコードを検索し、検出されたEメールアドレス宛に DCVメールを送信します。
    DCVメールの受信を確認後、Eメール本文内にある承認用のサイトにアクセスし、確認のうえ承認操作を完了させるとドメイン名の認証が完了します。

DNS TXT へのメール連絡 DCV 方法