質問

Advanced Search

Solution ID : SO29823

Last Modified : 03/28/2024

Share Via Email

[DCV] SSL/TLSサーバ証明書のドメイン名の承認(ファイル認証)

Solution

ドメイン認証におけるファイル認証方式の運用変更について(2021年11月17日(JST)適用)

CA/ブラウザフォーラムにおける Baseline Requirement(Ballot SC45)改定により、ファイル認証方式(DCV方式:HTTP Practical Demonstration)をワイルドカード証明書のドメイン名認証にご利用いただけません。 また、ワイルドカード以外の証明書のドメイン認証には、証明書内の個々のFQDN/SANsごとにドメイン名の検証が必要となります。

詳細はドメイン名の認証ポリシーの変更について – 2021年をご確認ください。

 

Q1.ファイル認証とは、どのような利用権確認(DCV)方式でしょうか?
Q2.ファイル認証用のトークンはどのように入手しますか?
Q3.認証用ファイルを再取得できますか?
Q4.マルチドメインの申請で、複数のFQDNの承認が必要な場合どのように対応すればよいですか?
Q5.認証用ファイルをアップロードしましたが、認証が完了しません
Q6.別の方式からファイル認証へDCV認証方式を変更できますか?

 

Q1.ファイル認証とは、どのような利用権確認(DCV)方式でしょうか?
A1.
ファイル認証を選択すると、トークン値(ランダムに生成される認証コード)が生成されます。 このトークンを含む .txt ファイルを認証ファイルとして関連するすべての FQDN/SANsのウェブサイトにアップロードしていただき、弊社システムが指定のトークン値を含む認証ファイルが正しく設置されていることを検知することで、ドメイン名の利用権確認 (DCV)が完了します。

ファイル認証を選択する場合は、証明書(オーダー)の申請時または新しいドメイン名の事前認証を実施する際に、ドメイン名の利用権確認(DCV)方式として 「HTTP Practical Demonstration」を選択してください。

なおファイル認証は、ワイルドカード証明書の申請にご利用いただけません。

 

 

Q2.ファイル認証用のトークンはどのように入手しますか?
A2.

  1. 証明書(オーダー)の申請時または新しいドメイン名の事前認証を実施する際に、ドメイン名の利用権確認(DCV)方式として
    ①「HTTP Practical Demonstration」を選択してください。


  2. 「HTTP Practical Demonstration」を選択すると、認証用のランダムな ② トークン が表示されます。
  3. 表示された値をコピーし、テキストファイルに貼付け、規定のファイル名 fileauth.txt を付けて認証ファイルを作成します。
  4. 作成した認証ファイル(fileauth.txt)を ③ 表示されているウェブサーバの規定の場所に配置します。
  5. 配置完了後、④ 「チェックする」ボタンをクリックすると、弊社システムが指定のトークンを含む認証ファイルが配置されているかどうかチェックを行います。
  6. 正しく設置されていることを検知すると、ドメイン名の認証が完了します。

 

※ご注意ください※

  • ファイル認証用のトークン等の情報は、Eメールでは送信されません。CertCentralにログインしてご確認ください。
  • トークンの有効期間は生成から30日間です。期限切れを迎えた場合は新しいトークンを再取得して、新しいトークンで認証操作を完了させてください。

 

 

Q3. 認証用トークンを再生成できますか?
A3.
CertCentralでは、以下の手順でトークンを再生成できます。

  • 「オーダー」メニューから申請した証明書のトークンを再生成する場合:
    「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、保留中となっている「ドメイン名の利用権を確認」項目のドメイン名をクリックして表示された画面で「新しいトークンを生成する」をクリックします。

  • 「ドメイン」メニューから新しいドメイン名のトークンを再生成する場合:
    「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、「新しいトークンを生成する」をクリックします。

 

※ご注意ください※

  • 新しいトークンを生成すると、1つ前のトークンは無効になります。再取得した新しいトークンで認証操作を完了させてください。
  • トークンの有効期間は生成から30日間です。期限切れを迎えた場合は新しいトークンを再取得して、新しいトークンで認証操作を完了させてください。

 

Q4. マルチドメインの申請で、複数のFQDNの承認が必要な場合どのように対応すればよいですか?
A4.

申請した複数のFQDNごとにトークンを設置し、承認を完了させてください。

 

 

Q5. 認証用ファイルをアップロードしましたが、認証が完了しません
A5.

以下の注意点を確認してください。

※ご注意ください※

  • 新しいトークンを生成すると、現在のトークンは無効になります。新しいトークンで認証操作をし直す必要があります。
  • トークンの有効期間は申請から30日間です。期限切れを迎えた場合は新しいトークンを再生成し、新しいトークンで認証操作をし直す必要があります。
  • 認証用ファイルのファイル名が(fileauth.txt)であること、正しいトークンがファイル内に含まれていること、設置場所が正しいことを確認してください。
  • 認証用ファイルを配置したウェブサイトに、外部(デジサート)から正しくアクセスできる状態(エラー等なく)である必要があります。アクセス制限をかけている場合等は、認証が完了するまで制限の解除をお願いします。
  • ファイアウォールの設定でアクセス制限をかけている場合等、弊社システムが認証ファイル検知のためにアクセスができる様、認証が完了するまで弊社のIPアドレス(64.78.193.238 および 216.168.247.9)を許可リスト登録いただく必要があります。また、必要な場合はユーザーエージェント "DigiCert DCV Bot/1.1 "を許可するようにウェブサイトの設定をしてください。
  • 指定のポート(HTTPポート80、またはHTTPSポート443)で問題なくアクセスできない場合は、認証を完了することはできません。
  • 指定のURLに接続後、異なるURLへ1回以上転送されるサイトにファイルを設置されている状態ではご利用いただけません。
  • 認証用ファイルを圧縮した状態では正しく認証を完了できない場合がございます。ファイルは圧縮して登録しないようにしてください。

 

Q6. 別の方式からファイル認証へDCV認証方式を変更できますか?
A4.

DCV認証方式はCertCentralより変更可能ですが、ファイル認証の場合は証明書のコモンネームおよびSAN(追加されている場合)すべての階層でドメイン認証を完了させる必要があります。
コモンネームおよびSAN(追加されている場合)すべてのFQDN、階層でDCVを開始して承認操作を行ってください。

DCV認証方式は、以下の手順でを変更します。

  • 「オーダー」メニューから申請した証明書のDCVの認証方式を変更する場合:
    「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、保留中となっている「ドメイン名の利用権を確認」項目のドメイン名をクリックするとDCV方式の変更画面が表示されます。

  • 「ドメイン」メニューから新しいドメイン名の認証申請をした場合:
    「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、「DCV方式を変更」をクリックするとDCV方式の変更画面が表示されます。
※ 承認が必要な階層でDCVを開始できない場合は、弊社認証サポート(standard.validation.jp@digicert.com)までオーダー番号(またはアカウント番号)、ドメイン名を添えてお問い合わせください。