Этапы выпуска SSL-сертификата и способы валидации (проверки) домена

Процесс выпуска сертификата условно можно разделить на 4 этапа, в зависимости от выбранного типа:

1. Заполнение csr-запроса — происходит в личном кабинете либо до, либо после оплаты сертификата. Поэтому данный этап необходим для всех сертификатов, независимо от типа;

2. Валидация домена — происходит после заполнения csr-запроса и оплаты/активации сертификата. Необходим для всех типов сертификатов;

3. Упрощенная валидация организации или расширенная. Данный этап проверки проходят для получения сертификатов только уровня OV и EV. 

4. Выпуск сертификата и получение файлов на email-адрес. Финальный этап, когда центр сертификации провёл все необходимые проверки и добавил ваш домен в реестр доверенных (т.е. домены, которым можно доверять).

После 4-го этапа можно устанавливать сертификат на сервер и переводить сайт на защищенное соединение HTTPS.

Помимо основного способа валидации домена, существуют и альтернативные. Остановимся на них более подробно. В качестве примера используем сертификат Comodo PositiveSSL.

На этапе валидации домена центру сертификации необходимо убедиться в том, что вы являетесь владельцем/администратором домена и имеете права на управление данным доменом. 

На текущий момент существует 3 способа прохождения проверки домена, но  разные центры сертификации могут предлагать на выбор не все. И об этом нужно помнить. 

Способы валидации домена:

1.По e-mail (по почте) — почтовый адрес создаётся на домене, который требуется защитить.

После заказа сертификата Удостоверяющий центр отправляет автоматически сгенерированное письмо на этот email-адрес. В письме будет указан проверочный код и ссылка, по которой необходимо перейти, тем самым подтвердив, что вы являетесь владельцем/администратором домена.

Если у вас нет ни одного из предложенных типов email-адреса, вы можете его создать. 

Любой email-адрес не подойдёт, необходимо выбрать подходящий вариант из списка допустимых email-адресов. Выберите один из типов адреса, представленных ниже: 

После создания email-адреса обратитесь в нашу поддержку, мы инициализируем повторную отправку письма от Удостоверяющего центра.

Данный тип валидации является основным, поэтому по умолчанию используется именно он. Однако не всегда есть возможность (и необходимость) создания и использования почтового ящика на домене, в связи с чем были введены альтернативные варианты.

2. По хэш-файлу.

Для использования данного способа валидации при настройке сертификата в личном кабинете выберите вариант «По хэш-файлу»:

Для прохождения валидации домена используется простой текстовый файл в формате .txt с заданным именем и содержимым, который необходимо поместить в корневом каталоге вашего сайта, расположенного на хостинге. 

Примерный вид файла и его содержимое:

Как получить хэш-файл

После оплаты/активации сертификата вы можете:

• Создать файл самостоятельно. Его имя и содержимое доступны в  Личном кабинете: в разделе «Товары — Сертификаты». Для этого кликните дважды по сертификату и в открывшемся меню перейдите в подраздел «Данные для подтверждения по HTTP(S)».

• Скачать готовый файл. В разделе «Товары — Сертификаты», найдите подраздел «Файлы сертификата» и скачайте его. 

• Написать запрос в нашу поддержку. Мы отправим вам файл. 

После размещения файла в корне сайта напишите запрос в нашу поддержку — для инициализации проверки домена Удостоверяющим центром. Если проверка пройдена успешно, Удостоверяющий центр выпускает сертификат и направляет файлы сертификата в письме на email-адрес, указанный в csr-запросе в качестве технического.

3. По записи CNAME DNS.

Для использования данного способа валидации при настройке сертификата в личном кабинете выберите вариант: «По записи CNAME DNS»:

Данный способ валидации подразумевает добавление CNAME-записи для домена с уникальными данными в Личном кабинете хостинг-провайдера или регистратора домена.

CNAME-запись доступна также, как и хэш-файл, в Личном кабинете после оплаты/активации сертификата в разделе «Товары — Сертификаты». Для этого кликните дважды по сертификату и в открывшемся меню перейдите в подраздел «Данные для подтверждения по DNS CNAME». 

CNAME-запись имеет вид:

Рассмотрим на примере домена и сервера, зарегистрированного у FirstVDS. 

Для добавления CNAME-записи необходим DNSmanager или ISPmanager. Доступы в панели указаны в инструкции к серверу.

В панели ISPmanager добавить CNAME-запись можно в разделе «Домены — Доменные имена». Выберите сертификат, кликните кнопку «Управлять DNS записями» и в открывшемся меню нажмите кнопку «Создать»:

Скопируйте содержимое поля «Имя CNAME записи» в поле «Имя», а «Значение CNAME записи» в поле «Домен». В разделе «Тип» выберите значение «CNAME (каноническое имя)»

После создания CNAME-записи напишите запрос в нашу поддержку, для инициализации проверки домена Удостоверяющим центром. Если проверка пройдена успешно, Удостоверяющий центр выпускает сертификат и направляет файлы сертификата в письме на email-адрес, указанный в csr-запросе в качестве технического.

Важно! Потребуется время для обновления глобального кэша DNS для CNAME. Проверить, изменились ли DNS, можно, используя сервис: https://www.nslookuptool.com/ru/

Добавление CNAME-записи в Личном кабинете регистратора домена или другого хостинг-провайдера происходит по аналогии.

Теперь, зная основные и альтернативные способы валидации домена, вы можете выбрать для себя наиболее подходящий и удобный вариант.