Этапы выпуска SSL-сертификата и способы валидации (проверки) домена

Процесс выпуска сертификата условно можно разделить на 4 этапа, в зависимости от выбранного типа:

1. Заполнение csr-запроса — происходит в личном кабинете либо до, либо после оплаты сертификата. Поэтому данный этап необходим для всех сертификатов, независимо от типа;

2. Валидация домена — происходит после заполнения csr-запроса и оплаты/активации сертификата. Необходим для всех типов сертификатов;

3. Упрощенная валидация организации или расширенная. Данный этап проверки проходят для получения сертификатов только уровня OV и EV. 

4. Выпуск сертификата и получение файлов на email-адрес. Финальный этап, когда центр сертификации провёл все необходимые проверки и добавил ваш домен в реестр доверенных (т.е. домены, которым можно доверять).

После 4-го этапа можно устанавливать сертификат на сервер и переводить сайт на защищенное соединение HTTPS.

 

Помимо основного способа валидации домена, существуют и альтернативные. Остановимся на них более подробно. 

На этапе валидации домена центру сертификации необходимо убедиться в том, что вы являетесь владельцем/администратором домена и имеете права на управление данным доменом. 

Существует несколько способов прохождения проверки домена, но разные центры сертификации могут предлагать на выбор не все. И об этом нужно помнить. 

Способы валидации домена
по e-mail (по почте)

Для подтверждения по e-mail создаётся почтовый адрес на домене, который требуется защитить.

После заказа сертификата удостоверяющий центр отправляет автоматически сгенерированное письмо на этот email-адрес. В письме будет указан проверочный код и ссылка, по которой необходимо перейти, тем самым подтвердив, что вы являетесь владельцем/администратором домена.

Если у вас нет ни одного из предложенных типов email-адреса, вы можете его создать. 

Любой email-адрес не подойдёт, необходимо выбрать подходящий вариант из списка допустимых email-адресов. Выберите один из типов адреса, представленных ниже: 

После создания email-адреса обратитесь в нашу поддержку, мы инициализируем повторную отправку письма от Удостоверяющего центра.

Данный тип валидации является основным и доступен при заказе у всех сертификационных центров. Для SSL-сертификатов GlobalSign и Sectigo также есть альтернативные варианты валидации доменного имени, рассмотрим их отдельно.

Способ валидации сертификатов GlobalSign по записи DNS TXT

Для использования альтернативного способа при заказе сертификата выберите метод  По записи DNS TXT:

При выборе данного метода потребуется разместить определенную TXT-запись на стороне серверов имён домена.

TXT-запись будет доступна в Личном кабинете после оплаты/активации сертификата в разделе ТоварыSSL-сертификаты.  Дважды щелкните по сертификату, в открывшейся вкладке будет раздел Данные для подтверждения по DNS TXT:

Разместите  TXT-запись и убедитесь, что она доступна глобально, для этого можно использовать онлайн-сервис - https://www.nslookuptool.com/ru/

Для завершения валидации после обновления TXT-записи завершите проверку: перейдите в Личном кабинете в раздел SSL-сертификаты и нажмите кнопку Проверка DNS.

Если проверка прошла успешно — сертификат будет выпущен в течение нескольких минут. На технический email-адрес, что вы указали при оформлении заказа, будут отправлены файлы сертификата.

Рассмотрим, как добавить TXT-запись, если вы используете хостинг FirstVDS.

Для добавления TXT-записи необходим DNSmanager или ISPmanager. Доступы в панели указаны в инструкции к серверу.

Для добавления записи в  панели ISPmanager перейдите в раздел Управление DNS, выберите домен и кликните кнопку Управлять DNS записями. В открывшемся меню нажмите кнопку Создать:

Выберите тип записи TXT (текстовая запись), в поле Имя укажите доменное имя сайта, в поле Значение скопируйте TXT-запись из Личного кабинета:

Потребуется время для обновления глобального кэша DNS для TXT. Проверить, изменились ли DNS, можно, используя сервис: https://www.nslookuptool.com/ru/

Добавление TXT-записи в Личном кабинете регистратора домена или другого хостинг-провайдера происходит по аналогии.

Способы валидации сертификатов Sectigo

По хэш-файлу

Для использования данного способа валидации при настройке сертификата в личном кабинете выберите вариант По хэш-файлу:

Для прохождения валидации домена используется простой текстовый файл в формате .txt с заданным именем и содержимым, который необходимо поместить в корневом каталоге вашего сайта, расположенного на хостинге. 

Примерный вид файла и его содержимое:

Как получить хэш-файл

После оплаты/активации сертификата вы можете:

  • Создать файл самостоятельно. Его имя и содержимое доступны в  Личном кабинете: в разделе Товары SSL-сертификаты. Для этого кликните дважды по сертификату и в открывшемся меню перейдите в подраздел Данные для подтверждения по HTTP(S).

  • Скачать готовый файл. В разделе Товары SSL-сертификаты, найдите подраздел Файлы сертификата и скачайте его. 

  • Написать запрос в нашу поддержку. Мы отправим вам файл. 

После размещения файла в корне сайта напишите запрос в нашу поддержку — для инициализации проверки домена Удостоверяющим центром. Если проверка пройдена успешно, Удостоверяющий центр выпускает сертификат и направляет файлы сертификата в письме на email-адрес, указанный в csr-запросе в качестве технического.

Данный способ валидации не поддерживается сертификатами Wildcard. Для мультидоменных сертификатов потребуется подтверждение каждого домена.

По записи CNAME DNS

Для использования данного способа валидации при настройке сертификата в личном кабинете выберите вариант: По записи CNAME DNS:

Данный способ валидации подразумевает добавление CNAME-записи для домена с уникальными данными в Личном кабинете хостинг-провайдера или регистратора домена.

CNAME-запись доступна также, как и хэш-файл, в Личном кабинете после оплаты/активации сертификата в разделе Товары SSL-сертификаты. Для этого кликните дважды по сертификату и в открывшемся меню перейдите в подраздел Данные для подтверждения по DNS CNAME

CNAME-запись имеет вид:

Рассмотрим на примере домена и сервера, зарегистрированного у FirstVDS. 

Для добавления CNAME-записи необходим DNSmanager или ISPmanager. Доступы в панели указаны в инструкции к серверу.

В панели ISPmanager добавить CNAME-запись можно в разделе Управление DNS. Выберите домен, кликните кнопку Управлять DNS записями и в открывшемся меню нажмите кнопку Создать запись:

Скопируйте содержимое поля Имя CNAME записи в поле Имя, а Значение CNAME записи — в поле Домен. В разделе Тип выберите значение CNAME (каноническое имя).

После создания CNAME-записи напишите запрос в нашу поддержку, для инициализации проверки домена Удостоверяющим центром. Если проверка пройдена успешно, Удостоверяющий центр выпускает сертификат и направляет файлы сертификата в письме на email-адрес, указанный в csr-запросе в качестве технического.

Важно! Потребуется время для обновления глобального кэша DNS для CNAME. Проверить, изменились ли DNS, можно, используя сервис: https://www.nslookuptool.com/ru/

Добавление CNAME-записи в Личном кабинете регистратора домена или другого хостинг-провайдера происходит по аналогии.

 

Теперь, зная основные и альтернативные способы валидации домена, вы можете выбрать для себя наиболее подходящий и удобный вариант.

Этот материал был полезен?