ファイル認証に関する注意事項
CA/ブラウザフォーラムにおける Baseline Requirement(Ballot SC45)改定により、ファイル認証方式(DCV方式:HTTP Practical Demonstration および HTTP practical demonstration with unique filename)をワイルドカード証明書のドメイン名認証にご利用いただけません。 また、ワイルドカード以外の証明書のドメイン認証には、証明書内の個々のFQDN/SANsごとにドメイン名の検証が必要となります。
詳細はドメイン名の認証ポリシーの変更について – 2021年をご確認ください。
|
Q1.ファイル認証とは、どのような方式でしょうか?
Q2.ファイル認証(HTTP Practical Demonstration)の手順を教えてください
Q3.HTTP practical demonstration with unique filenameとは、どのような方式でしょうか?
Q4.HTTP practical demonstration with unique filenameの手順を教えてください
Q5.認証用ファイルを再取得できますか?
Q6.マルチドメインの申請で、複数のFQDNの承認が必要な場合どのように対応すればよいですか?
Q7.認証用ファイルをアップロードしましたが、認証が完了しません
Q8.別の方式からファイル認証へDCV認証方式を変更できますか?
Q1.ファイル認証とは、どのような利用権確認(DCV)方式でしょうか?
A1.
ファイル認証を選択すると、トークン値(ランダムに生成される認証コード)が生成されます。 このトークンを含む .txt ファイルを認証ファイルとして関連するすべての FQDN/SANsのウェブサイトにアップロードしていただき、弊社システムが指定のトークン値を含む認証ファイルが正しく設置されていることを検知することで、ドメイン名の利用権確認 (DCV)が完了します。
ファイル認証を選択する場合は、証明書(オーダー)の申請時または新しいドメイン名の事前認証を実施する際に、ドメイン名の利用権確認(DCV)方式として 「HTTP Practical Demonstration」を選択してください。
なおファイル認証は、ワイルドカード証明書の申請にご利用いただけません。
Q2.ファイル認証(HTTP Practical Demonstration)の手順を教えてください
A2.
■「オーダー」メニューから証明書を申請する際にドメインの認証を開始する場合
- 「証明書」→「オーダー」メニューから、申請する製品名を選択して証明書の申請を開始します。
- 必要な申請情報を入力し、ドメイン名利用権の確認(DCV)の項目ではDCV方式として「HTTP practical demonstration with unique filename」を選択します。
- その他、証明書の申請に必要な情報を全て入力した後、「申請を送信」をクリックして申請を完了させます。
- 証明書ステータスの下に表示された、申請ドメイン名の部分をクリックすると「ドメイン名利用権を証明する」画面が表示されます。
- テキストエディタ(ノートパッドなど)を開き、「オーダートークン」に表示されているランダム値(例:_fwml73927rqqvway5ktj6qoe5n3l3)をコピーしてエディタに貼り付け、ファイル名(fileauth.txt)で認証用テキストファイルとして保存します。
- 認証するドメイン名のサイトに .well-known/pki-validation/ ディレクトリを作成します。
- 作成した認証用テキストファイルを、認証するドメイン名のサイトに作成した .well-known/pki-validation/ ディレクトリにアップロードします。
(例:http:/認証ドメイン名/.well-known/pki-validation/fileauth.txt)
- 認証用テキストファイルのアップロード完了後、「レコードの確認」ボタンをクリックします。
- DigiCertのシステムが指定のURLにアクセスし、認証用テキストファイルを検証します。認証用テキストファイルが正しく設定されていることを確認すると、ドメイン名の認証が完了します。
■「ドメイン」メニューからドメインの事前認証、更新・再認証を行う場合
- 「証明書」→「ドメイン」メニューの一覧から、更新・再認証を行うドメイン名をクリックするか、または「新しいドメイン」で認証するドメイン名を入力し、ドメイン名を使用する「組織」をプルダウンから選択します。
- ドメイン名利用権の確認(DCV)方式から、「ファイル認証」を選択し、「認証を申請」または「Submit for validation」ボタンをクリックします。
※「認証を申請」ボタンがグレーアウトしてクリックできない場合は、「認証するドメインを申請し、ドメインの再認証を再開します」のチェックBOXをオンにするとボタンが有効になります。
- ドメイン名利用権の確認(DCV)方式の「ユーザー操作」の表示を確認し、以下の手順で操作します。
- テキストエディタ(ノートパッドなど)を開き、「一意の認証トークン」に表示されているランダム値(例:_fwml73927rqqvway5ktj6qoe5n3l3)をコピーしてエディタに貼り付け、ファイル名(fileauth.txt)で認証用テキストファイルとして保存します。
- 認証するドメイン名のサイトに .well-known/pki-validation/ ディレクトリを作成します。
- 作成した認証用テキストファイルを、認証するドメイン名のサイトに作成した .well-known/pki-validation/ ディレクトリにアップロードします。
(例:http:/認証ドメイン名/.well-known/pki-validation/fileauth.txt)
- 認証用テキストファイルのアップロード完了後、再度CertCentralのドメインメニューから、検証するドメイン名の詳細ページを開き、「HTTPトークンをチェックする」ボタンをクリックします。
- DigiCertのシステムが指定のURLにアクセスし、認証用テキストファイルを検証します。認証用テキストファイルが正しく設定されていることを確認すると、ドメイン名の認証が完了します。
Q3.HTTP practical demonstration with unique filenameとは、どのような方式でしょうか?
A3.
DigiCert が生成する認証用のトークン値(ランダムに生成される認証コード)をユニークなファイル名(ランダムに生成されるファイル名)でテキストファイルとして作成し、お客様のウェブサイトの所定の場所に認証用ファイルとしてアップロードいただくことでドメインの管理を検証します。:
http://{domain-name}/.well-known/pki-validation/{filename}.txt
指定の場所に認証用ファイルをアップロードすると、DigiCertは指定のURLにアクセスしてランダム値の存在を検証します。
Q4.HTTP practical demonstration with unique filenameの手順を教えてください
A4.
【事前確認】
HTTP practical demonstration with unique filename でドメインの認証を行うには、事前にアカウントの設定でこの方式を有効にしておく必要があります。
- CertCentralの「設定」メニューから「ユーザー設定」を選択し、表示された画面下部の “詳細設定” をクリックします。
- ドメイン名利用権の確認(DCV)項目にある「DCV方式」で、使用するDCV方式を選択します。「HTTP Practical Demonstration with unique file name」を有効にすると、ユニークなファイル名を使用したファイル認証が、ドメイン認証方法として選択できるようになります。
■「オーダー」メニューから証明書を申請する際にドメインの認証を開始する場合
- 「証明書」→「オーダー」メニューから、申請する製品名を選択して証明書の申請を開始します。
- 必要な申請情報を入力し、ドメイン名利用権の確認(DCV)の項目ではDCV方式として「HTTP practical demonstration with unique filename」を選択します。
- その他、証明書の申請に必要な情報を全て入力した後、「申請を送信」をクリックして申請を完了させます。
- 証明書ステータスの下に表示された、申請ドメイン名の部分をクリックすると「ドメイン名利用権を証明する」画面が表示されます。
- テキストエディタ(ノートパッドなど)を開き、「オーダートークン」に表示されているランダム値(例:_fwml73927rqqvway5ktj6qoe5n3l3)をコピーしてエディタに貼り付けます。
- 「File Name」に表示されているランダムな値のファイル名をコピーし、そのファイル名でテキストファイルを保存します(例:bb878x458lkwn69f9fdb8d9q0p56.txt)
- 認証するドメイン名のサイトに .well-known/pki-validation/ ディレクトリを作成します。
- 作成した認証用テキストファイルを、認証するドメイン名のサイトに作成した .well-known/pki-validation/ ディレクトリにアップロードします。
(例:http:/認証ドメイン名/.well-known/pki-validation/bb878x458lkwn69f9fdb8d9q0p56.txt)
- 認証用テキストファイルのアップロード完了後、「レコードの確認」ボタンをクリックします。
- DigiCertのシステムが指定のURLにアクセスし、認証用テキストファイルを検証します。認証用テキストファイルが正しく設定されていることを確認すると、ドメイン名の認証が完了します。
■「ドメイン」メニューからドメインの事前認証、更新・再認証を行う場合
- 「証明書」→「ドメイン」メニューの一覧から、更新・再認証を行うドメイン名をクリックするか、または「新しいドメイン」で認証するドメイン名を入力し、ドメイン名を使用する「組織」をプルダウンから選択します。
- ドメイン名利用権の確認(DCV)方式から、「HTTP practical demonstration with unique filename」を選択し、「認証を申請」または「Submit for validation」ボタンをクリックします。
※「認証を申請」ボタンがグレーアウトしてクリックできない場合は、「認証するドメインを申請し、ドメインの再認証を再開します」のチェックBOXをオンにするとボタンが有効になります。
- ドメイン名利用権の確認(DCV)方式の「ユーザー操作」の表示を確認し、以下の手順で操作します。
- テキストエディタ(ノートパッドなど)を開き、「一意の認証トークン」に表示されているランダム値(例:_fwml73927rqqvway5ktj6qoe5n3l3)をコピーしてエディタに貼り付けます。
- 「HTTPトークンURL」に表示されているランダムな値のファイル名でテキストファイルを保存します(例:bb878x458lkwn69f9fdb8d9q0p56.txt)
- 認証するドメイン名のサイトに .well-known/pki-validation/ ディレクトリを作成します。
- 作成した認証用テキストファイルを、認証するドメイン名のサイトに作成した .well-known/pki-validation/ ディレクトリにアップロードします。
(例:http:/認証ドメイン名/.well-known/pki-validation/bb878x458lkwn69f9fdb8d9q0p56.txt)
- 認証用テキストファイルのアップロード完了後、再度CertCentralのドメインメニューから、検証するドメイン名の詳細ページを開き、「HTTPトークンをチェックする」ボタンをクリックします。
- DigiCertのシステムが指定のURLにアクセスし、認証用テキストファイルを検証します。認証用テキストファイルが正しく設定されていることを確認すると、ドメイン名の認証が完了します。
Q5. 認証用トークンを再生成できますか?
A5.
CertCentralでは、以下の手順でトークンを再生成できます。
- 「オーダー」メニューから申請した証明書のトークンを再生成する場合:
「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、保留中となっている「ドメイン名の利用権を確認」項目のドメイン名をクリックして表示された画面で「新しいトークンを生成する」をクリックします。
- 「ドメイン」メニューから新しいドメイン名のトークンを再生成する場合:
「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、「新しいトークンを生成する」をクリックします。
※ご注意ください※
- 新しいトークンを生成すると、1つ前のトークンは無効になります。再取得した新しいトークンで認証操作を完了させてください。
- トークンの有効期間は生成から30日間です。期限切れを迎えた場合は新しいトークンを再取得して、新しいトークンで認証操作を完了させてください。
Q6. マルチドメインの申請で、複数のFQDNの承認が必要な場合どのように対応すればよいですか?
A6.
申請した複数のFQDNごとにトークンを設置し、承認を完了させてください。
Q7. 認証用ファイルをアップロードしましたが、認証が完了しません
A7.
以下の注意点を確認してください。
※ご注意ください※
- 新しいトークンを生成すると、現在のトークンは無効になります。新しいトークンで認証操作をし直す必要があります。
- トークンの有効期間は申請から30日間です。期限切れを迎えた場合は新しいトークンを再生成し、新しいトークンで認証操作をし直す必要があります。
- 認証用ファイルのファイル名が(fileauth.txt)であること、正しいトークンがファイル内に含まれていること、設置場所が正しいことを確認してください。
- 認証用ファイルを配置したウェブサイトに、外部(デジサート)から正しくアクセスできる状態(エラー等なく)である必要があります。アクセス制限をかけている場合等は、認証が完了するまで制限の解除をお願いします。
- ファイアウォールの設定でアクセス制限をかけている場合等、弊社システムが認証ファイル検知のためにアクセスができる様、認証が完了するまで弊社のIPアドレス(216.168.247.9 and 216.168.249.9)を許可リスト登録いただく必要があります。また、必要な場合はユーザーエージェント "DigiCert DCV Bot/1.1 "を許可するようにウェブサイトの設定をしてください。
- 指定のポート(HTTPポート80、またはHTTPSポート443)で問題なくアクセスできない場合は、認証を完了することはできません。
- 指定のURLに接続後、異なるURLへ1回以上転送されるサイトにファイルを設置されている状態ではご利用いただけません。
- 認証用ファイルを圧縮した状態では正しく認証を完了できない場合がございます。ファイルは圧縮して登録しないようにしてください。
Q8. 別の方式からファイル認証へDCV認証方式を変更できますか?
A8.
DCV認証方式はCertCentralより変更可能ですが、ファイル認証の場合は証明書のコモンネームおよびSAN(追加されている場合)すべての階層でドメイン認証を完了させる必要があります。
コモンネームおよびSAN(追加されている場合)すべてのFQDN、階層でDCVを開始して承認操作を行ってください。
DCV認証方式は、以下の手順でを変更します。
- 「オーダー」メニューから申請した証明書のDCVの認証方式を変更する場合:
「証明書」→「オーダー」の一覧から該当のオーダー番号をクリックして詳細画面を開き、保留中となっている「ドメイン名の利用権を確認」項目のドメイン名をクリックするとDCV方式の変更画面が表示されます。
- 「ドメイン」メニューから新しいドメイン名の認証申請をした場合:
「証明書」→「ドメイン」の一覧から、未承認のドメイン名をクリックして詳細画面を開き、「DCV方式を変更」をクリックするとDCV方式の変更画面が表示されます。
※ 承認が必要な階層でDCVを開始できない場合は、弊社認証サポート(standard.validation.jp@digicert.com)までオーダー番号(またはアカウント番号)、ドメイン名を添えてお問い合わせください。