Sectigo Domain Control Validierung

Domain Control Validierung oder DCV ist eine Methode, die von einer CA verwendet wird, bevor ein Zertifikat ausgegeben werden kann. Es wird verwendet, um zu überprüfen, ob die Partei, die die Anforderung macht, tatsächlich autorisiert ist, die Domain zu verwenden, die sich die Anfrage bezieht. Diese Domain Control Validierung kann über folgende Methoden erfolgen:

• Email Challenge-Response
• Erstellung einer Datei auf dem HTTP-Server der Domäne
• Erstellung eines DNS-CNAME-Datensatzes für diese Domäne

Alle Zertifikatstypen (Single, Wildcard, MDC) können mit obigen DCV-Mechanismen validiert werden. Multi Domain-Zertifikate können für jeden FQDN unterschiedliche Mechanismen in der Anfrage verwenden. Bei Aufträgen über unsere API werden die korrekten Werte auf Basis der gewählten DCV-Methode angezeigt.

Für die Datei- und CNAME-Validierung ist es erforderlich, einen eindeutigen DCV-Wert zu verwenden, die Wiederverwendung des gleichen DCV-Wertes ist für die Domain Control Validation ab Juli 2017 nicht mehr zulässig. Bei der Bestellung einer Wiederausgabe mit dem gleichen CSR können Sie einen zusätzlichen Wert auf die Anfrage über Out API hinzufügen (Request Token) oder verwenden Sie die bereitgestellten uniqueValueDcv aus unserer API. Wiederausgabe von Zertifikaten erfordern eine erneute Validierung, die Wiederausgabe erfordert keine Neubewertung bereits validierter FQDNs, wenn das selbe CSR für die Wiederausgabe verwendet wird. Der DCV-String wird mit dem zusätzlichen Request Token erweitert, also wird es einzigartig.

Email Challenge-Response

Wenn die Bestellung getätigt wird, wird eine E-Mail-Adresse aus einer Liste von akzeptablen Optionen ausgewählt. Eine E-Mail wird an diese Adresse gesendet, die einen eindeutigen Validierungscode enthält. Die E-Mail sollte von jemandem empfangen werden der kontrolle über die Domain hat, so das dieser den Validierungscode über den in der E-Mail angegebenen Link eingeben kann und damit die Domänenkontrolle bestätigt.

Die Liste der akzeptablen E-Mail-Adressen für eine beliebige Domain sind:

• admin@
• administrator@
• hostmaster@
• postmaster@
• webmaster@
• Jede Admin-, Registrant-, Tech- oder Zonenkontakt E-Mail-Adresse, die auf im WHOIS-Datensatz der Domain erscheint und für unser CA-System sichtbar ist.

Hinweis: Aufgrund der DSGVO zeigen einige Registrare diese E-Mail-Adressen nicht mehr an. In diesen Fällen können wir die E-Mail-Adressen nicht überprüfen. Um eine mögliche Verzögerung bei der Zertifikatsausstellung zu vermeiden, empfehlen wir Ihnen, eine der 5 Standard-E-Mail-Adressen zu verwenden.

HTTP-basiertes DCV

HTTP-basiertes DCV erfordert, dass ein HTTP-Server auf Port 80 läuft oder dass ein HTTPS-Server auf Port 443 des Autorisierungsdomänennamens läuft. Zwei Hashes des CSR werden vor der Einreichung an Sectigo (Comodo) erzeugt. Eine einfache Textdatei wird auf dem HTTP/S-Server des Autorisierungsdomänennamens erstellt, wobei ein Hash als Dateiname und ein Hash innerhalb der Textdatei selbst vorhanden ist. Der Inhalt des Request Tokens wird wie folgt generiert:

Eine CSR wird mit dem CN = www.example.com erzeugt. Der Autorisierungsdomänenname wird example.com sein. Die CSR wird sowohl mit den MD5- als auch mit den SHA-256-Hash-Algorithmen gehasht.

Es wird eine Textdatei erstellt, die den SHA-256-Hash und die Domain 'comodoca.com' in der nächsten Zeile enthält.

c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f comodoca.com (optionaler Request Token)

Die Datei wird dann im Format: <MD5 hash>.txt benannt und im Verzeichnis /.well-known /pki-validation des HTTP-Servers platziert:

 http://example.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

Sobald die Bestellung von Sectigo empfangen wird und HTTP-basiertes DCV angegeben ist, prüft das Sectigo CA System das Vorhandensein der Textdatei und ihres Inhalts. Wenn die Datei gefunden wird und die Hash-Werte übereinstimmen ist die Domain Control Validierung erfolgreich abgeschlossen. Der optionale Request Token ist erforderlich bei der Bestellung einer Erneuerung oder Wiederausgabe unter Verwendung des gleichen CSR wie bei einer vorherigen Bestellung. Der Request Token wird im Kontrollpanel zusammen mit den Bestelldetails angezeigt und auch über unsere API zurückgegeben.

Bitte beachten Sie Folgendes:

• Erzeugen Sie die Hashes aus der CSR, bevor die Bestellung eingereicht wird.
• Die Hashes müssen aus der DER-codierten (d.h. binären) Version des CSR generiert werden - nicht die base64 PEM-codierte Version. Variationen in der PEM-Codierung können unterschiedliche Hash-Werte verursachen, während die Hashes der DER-codierten Version konstant bleiben.
• Die Datei muss mit der Großbuchstaben-Formatierung des MD5-Hashs erstellt werden, da die meisten HTTP-Server Groß- und Kleinschreibung beachten. Das Sectigo (Comodo) CA System sucht nur den UPPERCASE Hash Dateiname.
• Die Datei muss mit einer .txt-Erweiterung erstellt werden.
• Der SHA-256-Hash innerhalb der Datei ist unabhängig von Groß- und Kleinschreibung.
• Sie müssen eine Hex (Basis 16) Darstellung der Hash verwenden.

DNS CNAME basierte DCV

DNS CNAME-basiertes DCV erfordert die Erstellung eines eindeutigen CNAME-Datensatzes, der auf Sectigo zurückblickt. Wir suchen nach dem CNAME bei jeder gültigen Autorisierungsdomäne, d.h. wir beginnen mit dem FQDN und dann werden wir eine oder mehrere Labels von links nach rechts im FQDN streichen und nach dem CNAME auf jeder Zwischendomäne suchen. Der optionale Request Token ist erforderlich bei der Bestellung einer Erneuerung oder Wiederausgabe unter Verwendung des gleichen CSR wie bei einer vorherigen Bestellung. Der Request Token wird im Kontrollpanel zusammen mit den Bestelldetails angezeigt und auch über unsere API zurückgegeben.

Das Format des CNAME ist wie folgt:

 ‘_’<MD5 hash>.AuthorizationDomainName CNAME <SHA-256 hash>.<uniqueValue>.comodoca.com

Beachten Sie den führenden Unterstrich zu Beginn des MD5-Hashs.

Zum Beispiel: Ein CSR wird mit dem CN = www.example.com erzeugt. Die CSR wird sowohl mit den MD5- als auch mit den SHA-256-Hash-Algorithmen gehasht.

 MD5: c7fbc2039e400c8ef74129ec7db1842c
 SHA-256: c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f 

Bitte beachten Sie, dass ein Hex (base-16) codiert SHA-256 Hash nicht in einem einzigen DNS-Label passt, weil es zu lang ist. Der SHA-256 Hash sollte daher in zwei Teile von jeweils 32 Zeichen aufgeteilt werden.

Um DNS CNAME-basiertes DCV auszuführen, kann vor dem Absenden der Bestellung der folgende DNS-CNAME-Datensatz erstellt werden:

 _c7fbc2039e400c8ef74129ec7db1842c.example.com CNAME c9c863405fe7675a3988b97664ea6baf.442019e4e52fa335f406f7c5f26cf14f.comodoca.com.

Oder bei der Bestellung einer Erneuerung oder Wiederausgabe mit dem gleichen CSR;

_c7fbc2039e400c8ef74129ec7db1842c.example.com CNAME c9c863405fe7675a3988b97664ea6baf.442019e4e52fa335f406f7c5f26cf14f.<uniqueValue>.comodoca.com.

Bitte beachten Sie, dass der rechte Teil des CNAME-Datensatzes mit einem PUNKT nach comodoca.com beendet werden muss, um zu verhindern, dass das DNS die Ursprungsdomäne anhängt, wie; ...5f26cf14f.comodoca.com.example.com

Bitte beachten Sie Folgendes:

• Erzeugen Sie die Hashes aus der CSR, bevor die Bestellung eingereicht wird.
• Die Hashes müssen aus der DER-codierten (d.h. binären) Version des CSR generiert werden - nicht die base64 PEM-codierte Version. Variationen in der PEM-Codierung können unterschiedliche Hash-Werte verursachen, während die Hashes der DER-codierten Version konstant bleiben.
• Sie müssen eine Hex (Basis 16) Darstellung des SHA-256-Hashes verwenden.

Erzeugen von DER-basierten MD5-Hash

Um einen MD5-Hash für Ihre PEM-formatierte CSR zu erstellen, sollten folgende Befehle verwendet werden:

• Konvertieren Sie die PEM CSR in das DER Format mit dem folgenden OpenSSL-Befehl:

 openssl req -in csr.pem -out csr.der -outform DER

• Erstellen Sie den MD5-Hash aus der DER-formatierten Anfrage (abhängig von Ihrem Betriebssystem):

 md5 request.der
 md5sum request.der