SSLmentor

Kvalitní TLS/SSL certifikáty pro webové stránky a internetové projekty.

Help

Help

Ověření doménového certifikátu

Domain Validation (DV) certifikáty jsou SSL certifikáty, které lze získat velmi snadno a velmi rychle. Díky jednoduchému ověření a plné automatizaci je možné získat nový certifikát během minut a mít zabezpečené webstránky raz-dva-tři.

Průběh a validace DV certifikátu

DV SSL certifikáty jsou základní SSL certifikáty, které oproti OV a EV SSL certifikátům nevyžadují složité ověřování. Certifikační autorita musí pouze ověřit, že osoba nebo organizace, která žádá o SSL certifikát, vlastní registrovanou doménu nebo může s doménou disponovat.

Objednávka

Po objednání SSL certifikátu a uhrazení je objednávka systémem zkontrolována a je-li vše v pořádku, je certifikát automaticky objednán u certifikační autority. Objednání certifikátu u autority je oznámeno e-mailem a objednávka získá status: PENDING

Pokud jste obdrželi potvrzení o úhradě, ale objednávka je stále ve stavu uhrazení a nedošlo k objednání u certifikační autority, ověřte, že je vložena žádost o certifkát. Případně si jednoduše žádost o certifikát (CSR) vygenerujte.

Ověření Certifikační autoritou

Validaci žadatele o certifikát provádí Certifikační autorita ve své režii, tzn. Zasílá validační e-mail, vystavuje a zasílá certifikát.

Validace e-mailem:

Nejjednodušší způsob validace je ověření domény pomocí e-mailu zaslaného na předem vybranou adresu, kde majitel nebo správce domény klikne na odkaz, kde následně potvrdí potvrdí "Approve" žádost o certifikát. Potom je certifikát prakticky hned vydán.

Pravidly pevně dané e-maily pro validaci domény:

  • admin@domenaxyz.cz
  • administrator@domenaxyz.cz
  • webmaster@domenaxyz.cz
  • hostmaster@domenaxyz.cz
  • postmaster@domenaxyz.cz

Nabízené e-maily jsou nastaveny podle pravidel CA/B fóra. Validační e-mail musí být vytvořen a funkční. Pokud některý z uvedených e-mailů nemáte, je nutné jej vytvořit a například nastavit jako alias na některý firemní e-mail.

Ukázka validačního e-mailu CA Sectigo
Validační e-mail CA Sectigo

Co dělat, když nepřijde validační e-mail?

Validační e-mail je zasílán přímo certifikační autoritou neprodleně po objednání certifikátu u autority (CA Comodo zasílá e-mail z adresy noreply_support@comodo.com). Může se stát, že ještě není adresa e-mailu k dispozici nebo je potřeba provést změnu na jiný z 5 nabízených. Může také selhat nastavené přeposlání e-mailu nebo není e-mail doručen z důvodu nastavení přísné politiky ochrany před spamem.

Validační email lze kdykoli před vystavením certifikátu poslat znovu. Poslání se provádí v Administraci: Detail certifikátu -> Informace o objednávce -> Typ validace: -> upravit - > Poslat. Zde lze také e-mail změnit a nastavit jiný.

Upozornění: Pokud validační e-mail nelze přijmout ani po vícenásobných pokusech, zkontrolujte si název domény, zda nedošlo k překlepu při objednávání. Je také možné, že váš poskytovatel má nastaveny antispamové filtry tak, že jsou e-maily od zahraniční autority odmítány. V tom případě je nutné kontaktovat vašeho poskytovatele elektronické pošty nebo zvážit využití alternativních validace.

Vystavení certifikátu

Jakmile dojde k potvrzení validačního e-mailu, je certifikát během minut vystaven a zaslán na vyplněný technický kontakt v objednávce.
E-mail od certifikačnbí autority obsahuje nový certifikát (ocertifikovaný veřejný klíč) a také intermediate (mezilehlé) certifikáty, pro zajištění řetězce důvěryhodnosti certifikátu. Nový certifikát i intermediste certifikáty je možné také stáhnout v Administraci. Nový certifikát a intermediate certifikáty se spolu s privátním klíčem vkládají na server.


Alternativní metody ověření

Pokud nelze ověřit majitele domény pomocí e-mailu, existují další dva způsoby, jak provést validaci domény.
Info: Od listopadu 2021 není možné pomocí FTP validace provádět ověření WildCard SSL certifikátů.

File-Based Authentication (FTP validace)

Certifikační autorita ověřuje doménu pomocí TXT souboru umístěného do diskového prostoru domény. Veřejně dostupný soubor obsahuje textový řetězec (token), který je nutné nahrát do adresáře /.well-known/pki-validation/ webových stránek. Certifikační autorita ověří jeho existenci a tím také validuje, že žadatel má přístup k doméně a má právo s doménou disponovat. Každá žádost má vždy vlastní textové řetězce, které jsou uvedeny při detailu objednávky a zaslány e-mailem. Níže uvedené řetězce jsou pouze pro ukázku.

Ukázka FTP validace RapidSSL certifikátu
Název souboru: fileauth.txt
Cesta k souboru: http://domenaxyz.cz/.well-known/pki-validation/fileauth.txt
Obsah souboru (token):
8CC79447A5MTg4MzY1MA2#!cm5ywz5m1lzoyfp2xhy7

Textový soubor obsahuje pouze token, bez jakýchkoli dalších informací.
Ukázka FTP validace Sectigo PositiveSSL certifikátu
Název souboru: 048B0565E245687S52C7801EA7D4B954F3.txt
Cesta k souboru: http://domenaxyz.cz/.well-known/pki-validation/048B0565E245687S52C7801EA7D4B954F3.txt
Obsah souboru:
141A63FD5637E4524954SDAB4B2C0B4DBD0CCFABD5379DF821F5F01B3B69116993
COMODOCA.COM
t0211231001361667854

Informace musí být odděleně na samostatných řádcích.

Upozornění: Ověřovací soubor musí být přístupný na adrese bez "www" a také na adrese s "www". A to i v případě žádosti o certifikát pro doménu s "www", tedy například www.domenaxyz.cz.
V případě validace certifikátu CA Sectigo musí být informace v souboru odděleny na samostatných řádcích!

Ověření zda je záznam dostupný se provede jednoduchou kontrolou pomocí vložení adresy do prohlížeče, kde se musí validační informace zobrazit.

DNS validace

Nastavení DNS záznamů domény se provádí většinou u poskytovatele hostingu nebo registrátora domény. Certifikační autorita vygeneruje unikátní řetězec, který se vloží do DNS jako TXT záznam, případně se nastavuje jako CNAME. Jakmile se rozšíří nový obsah DNS, certifikační autorita záznam zkontroluje a pokud je v pořádku, vydá k doméně certifikát.

Ukázka validace DNS pomocí TXT záznamu
DNS TXT record: d3pyrjg65d8hh1bv0tgr4bx890yksq8j
Ukázka validace DNS pomocí záznamu CNAME
DNS CNAME record: _cfd00c1ec2d56372b27b9562f5da83d0.domenaxyz.cz CNAME
cb3a889855882c6518c0ac959be30067.e8349bfb8ec9a0334864d9bf350a1188.t0119001001421510849.comodoca.com

Upozornění: I při žádosti o certifikát pro doménu www.domenaxyz.cz musí být TXT záznam dostupný v DNS na doméně bez "www".

Ověření, zda je záznam k dispozici je možné zjistit online pomocí webu digwebinterface.com nebo whatsmydns.net.

Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum