IP地址申请SSL证书的验证方法
IP地址的身份验证就是验证申请人对SSL证书中列出的IP地址的所有权或控制权的许可流程和程序。
(1)同意更改网站
通过在“/.well-known/pki-validation”目录下以元标记的形式确认文件或网页内容中包含的请求令牌或随机值,确认申请人对所请求的IP地址的控制,或在IANA注册的另一条路径,用于验证IP地址的控制,在CA可通过授权端口通过HTTP / HTTPS访问的IP地址上。请求令牌或随机值不得出现在请求中。
如果使用随机值,CA应提供证书请求唯一的随机值,并且在申请人提交证书请求后,不应使用随机值,允许的时间范围重复使用与证书相关的有效信息。
(2)邮件验证
通过电子邮件,传真,短信或邮寄方式发送随机值,然后使用随机值接收确认响应,确认申请人对IP地址的控制。必须将随机值发送到标识为IP地址联系人的电子邮件地址,传真/ SMS号码或邮政地址。
每封电子邮件,传真,短信或邮件都可以确认对多个IP地址的控制。
CA机构可以将根据本节确定的电子邮件,传真,SMS或邮件发送给多个收件人,前提是IP地址注册机构将每个收件人识别为使用该电子邮件验证的每个IP地址的IP地址联系人,传真,短信或邮寄。
随机值在每封电子邮件,传真,短信或邮寄邮件中都是唯一的。
CA机构可以完整地重新发送电子邮件,传真,SMS或邮件,包括重复使用随机值,前提是通信的整个内容和收件人保持不变。
随机值在创建后不超过30天内仍可用于确认响应。CPS可以为随机值指定更短的有效期,在这种情况下,CA机构必须遵循其CPS。
(3)反地址查找
通过IP地址上的反向IP查找获得与IP地址关联的域名,然后使用BR允许的方法验证对FQDN的控制,确认申请人对IP地址的控制。
(4)其他方法
使用任何其他确认方法,包括BR中定义的方法的变体,前提是CA机构保留了书面证据,证明确认方法确定申请人对IP地址的控制至少达到相同的保证水平。
CA机构在2019年7月31日之后不应使用此方法执行验证。使用此方法的完成验证不应在2019年7月31日之后重新用于SSL证书颁发。任何在2019年8月1日之前签发的SSL证书,其中包含已验证的IP地址使用本节先前版本允许的任何方法3.2.2.5可以继续使用而无需重新验证,直到该SSL证书自然到期为止。
(5)电话验证
通过调用IP地址联系人的电话号码并获得确认申请人验证IP地址请求的响应,确认申请人对IP地址的控制。CA机构必须将呼叫发送到由IP地址注册机构标识的电话号码作为IP地址联系人。每个电话都应该拨打一个号码。
如果到达IP地址联系人以外的其他人,则CA机构 MAY请求转移到IP地址联系人。
在到达语音邮件的情况下,CA机构可以保留随机值和正在验证的IP地址。必须将随机值返回给CA机构以批准该请求。
随机值在创建后不超过30天内仍可用于确认响应。CPS可以为随机值指定更短的有效期。
(6)TLS-SNI-01验证方法即将过时
今天更新站点的SSL证书时,突然提示开始使用HTTP-01验证方式,然而80端口并没有配置,所以毫无悬念的更新失败了。
临时更改了更新的配置文件/etc/letsencrypt/renewal/xxx.com.conf,在renewalparams节添加参数
pref_challs=tls-sni-01
或者也可以在命令行添加
–preferred-challenges tls-sni-01
然后更新证书成功,但出现弃用提示:
TLS-SNI-01 is deprecated, and will stop working soon.