Filbaseret godkendelse af SSL-certifikater

Trustico®-valideringssystemet giver dig en unik verifikationsfil med specifikt indhold, når du har afgivet din ordre.

Du skal uploade denne fil til din webserver på en bestemt placering:

/.well-known/pki-validation/

Denne mappesti er en industristandardplacering for domænevalideringsfiler. De fleste webservere er som standard konfigureret til at servere filer fra denne placering, hvilket gør det til et ideelt sted for domænevalideringsfiler.

Trin til implementering

Først skal du oprette den nødvendige mappestruktur på din webserver ved hjælp af :

mkdir -p /var/www/your-domain/.well-known/pki-validation/

Flagget -p sikrer, at alle nødvendige overordnede mapper oprettes, hvis de ikke allerede findes. Denne kommando opretter den fulde mappesti i et enkelt trin, hvilket sparer dig tid og sikrer en korrekt mappestruktur.

Opret derefter bekræftelsesfilen ved hjælp af det unikke indhold, der er angivet i din ordrebekræftelse:

echo "TRUSTICO_PROVIDED_CONTENT" > /var/www/your-domain/.well-known/pki-validation/verification-file.txt

Denne kommando opretter en ny tekstfil med dit unikke bekræftelsesindhold. Indholdet skal svare nøjagtigt til det, vi har angivet i din ordrebekræftelse - selv en forskel på et enkelt tegn vil få valideringen til at mislykkes.

Symbolet større end (>) bruges til at skrive indholdet til en ny fil og overskrive en eventuel eksisterende fil med samme navn.

Indstil de korrekte filtilladelser :

chmod 644 /var/www/your-domain/.well-known/pki-validation/verification-file.txt

Tilladelsesindstillingen 644 sikrer, at filen kan læses af alle, men kun kan skrives af ejeren.

Dette er den anbefalede rettighedsindstilling for filer, der er tilgængelige på nettet, da den gør det muligt for webserveren at læse og betjene filen, samtidig med at sikkerheden opretholdes.

Konfiguration af serveren

Nogle webservere kræver yderligere konfiguration for at servere filer fra /.well-known/-biblioteket. Hvis du bruger Apache, skal du tilføje :

<Directory "/var/www/your-domain/.well-known"> Allow from all </Directory>

Denne Apache-konfiguration sikrer, at dine valideringsfiler er tilgængelige for vores valideringssystem.

Directory-direktivet giver specifikt adgang til .well-known-mappen, samtidig med at dine andre sikkerhedsindstillinger opretholdes.

Hvis du bruger Nginx, skal du tilføje :

location /.well-known { allow all; }

Denne Nginx-konfigurationsblok tillader eksplicit adgang til .well-known-mappen. Det er vigtigt at tilføje dette til din serverblok-konfiguration for at sikre korrekt validering.

Fejlfinding

Hvis du oplever problemer med validering, er her nogle nyttige kommandoer til at kontrollere din opsætning. Kontroller først dine filtilladelser :

ls -la /var/www/your-domain/.well-known/pki-validation/

Denne kommando viser en detaljeret liste over filer i din valideringsmappe med tilladelser, ejerskab og filstørrelser.

Sørg for, at verifikationsfilen har de korrekte tilladelser (644) og ejes af den rette bruger.

For at tjekke din webservers logfiler for eventuelle adgangsproblemer :

tail -f /var/log/apache2/error.log # For Apache tail -f /var/log/nginx/error.log # For Nginx

Disse kommandoer viser dig logposter i realtid, når vores system forsøger at validere dit domæne.

Dette kan være særligt nyttigt til at identificere eventuelle tilladelses- eller konfigurationsproblemer, der kan forhindre en vellykket validering.

Du kan teste filtilgængelighed ved hjælp af :

curl -v http://your-domain/.well-known/pki-validation/verification-file.txt

Curl-kommandoen viser dig præcis, hvad vores valideringssystem ser, når det forsøger at få adgang til din verifikationsfil.

Et vellykket svar bør vise HTTP/1.1 200 OK og vise filens indhold.

Bedste praksis for sikkerhed

Når vi har valideret dit domæne og udstedt dit SSL-certifikat, anbefaler vi, at du fjerner verifikationsfilen :

rm /var/www/your-domain/.well-known/pki-validation/verification-file.txt

Det er en god sikkerhedspraksis at fjerne verifikationsfilen efter en vellykket validering.

Selv om filindholdet ikke er følsomt, anbefales det altid at opretholde et rent servermiljø.

Alternative valideringsmetoder

Mens filbaseret validering er en af de få anbefalede metoder til domænevalidering, kan dit Trustico® SSL-certifikat også valideres ved hjælp af DNS-baserede eller e-mail-valideringsmetoder. Mere information 🔗