SSL証明書のファイルベース認証

Trustico®の検証システムは、ご注文後に特定のコンテンツを含む固有の検証ファイルを提供します。

このファイルをウェブサーバーの特定の場所にアップロードする必要があります:

/.well-known/pki-validation/

このディレクトリパスは、ドメイン検証ファイルのための業界標準の場所です。 ほとんどのウェブサーバーは、デフォルトでこの場所からファイルを提供するように設定されており、ドメイン検証ファイルのための理想的な場所となっています。

実装ステップ

まず、.NET Frameworkを使用してWebサーバー上に必要なディレクトリ構造を作成します:

mkdir -p /var/www/your-domain/.well-known/pki-validation/

pフラグを指定することで、必要な親ディレクトリがまだ存在しない場合、すべて作成されます。 このコマンドは、1ステップで完全なディレクトリパスを作成するため、時間を節約し、適切なディレクトリ構造を確保します。

次に、注文確認で提供された固有のコンテンツを使用して検証ファイルを作成します:

echo "TRUSTICO_PROVIDED_CONTENT" > /var/www/your-domain/.well-known/pki-validation/verification-file.txt

このコマンドは、注文確認書に記載された内容と完全に一致する必要があります。 1文字でも内容が異なると、検証は失敗します。

大なり記号 (>) を使用すると、同じ名前の既存のファイルを上書きして、新しいファイルに内容を書き込むことができます。

正しいファイルパーミッションを設定する:

chmod 644 /var/www/your-domain/.well-known/pki-validation/verification-file.txt

パーミッション設定644は、ファイルを誰でも読むことができ、所有者だけが書き込めるようにします。

これは、ウェブサーバーがセキュ リティを維持しながらファイルを読み込んで提供できるようにするため、 ウェブアクセス可能なファイルに推奨されるアクセス許可設定です。

サーバーの設定

ウェブサーバによっては、/.well-known/ ディレクトリからファイルを 提供するために追加の設定が必要な場合があります。 Apache を使用している場合は、.well-known/ ディレクトリを追加します:

<Directory "/var/www/your-domain/.well-known"> Allow from all </Directory>

このApacheの設定により、バリデーションファイルがバリデーションシステムからアクセスできるようになります。

Directory ディレクティブは、他のセキュリティ設定を維持したまま、 特に .well-known フォルダへのアクセスを許可します。

Nginxを使用している場合は、:

location /.well-known { allow all; }

このNginx設定ブロックは、.well-knownディレクトリへのアクセスを明示的に許可します。 適切な検証を確実に行うために、これをサーバブロックの設定に追加することが重要です。

トラブルシューティング

バリデーションで問題が発生した場合、設定を確認するのに役立つコマンドをいくつか紹介します。 まず、ファイルのパーミッションを確認します:

ls -la /var/www/your-domain/.well-known/pki-validation/

このコマンドは、検証ディレクトリ内のファイルの詳細なリストを表示し、パーミッション、所有者、ファイルサイズを表示します。

検証ファイルのパーミッションが正しく(644)、適切なユーザが所有していることを確認してください。

Web サーバーのログにアクセスに関する問題がないか確認するには、:

tail -f /var/log/apache2/error.log # For Apache tail -f /var/log/nginx/error.log # For Nginx

これらのコマンドを実行すると、システムがドメインの検証を試みているリアルタイムのログエントリが表示されます。

これは、検証の成功を妨げる可能性のあるパーミッションや設定の問題を特定するのに特に役立ちます。

.curlコマンドを使用して、ファイルのアクセス性をテストすることができます:

curl -v http://your-domain/.well-known/pki-validation/verification-file.txt

curlコマンドは、検証システムが検証ファイルにアクセスしようとしたときに表示されるものを正確に表示します。

成功したレスポンスは、HTTP/1.1 200 OK と表示され、ファイルの内容が表示されます。

セキュリティのベストプラクティス

ドメインの認証が完了し、SSL証明書を発行した後は、検証ファイルを削除することをお勧めします:

rm /var/www/your-domain/.well-known/pki-validation/verification-file.txt

検証ファイルの削除は、セキュリティのベストプラクティスです。

ファイルの内容に機密性はありませんが、サーバー環境を清潔に保つことは常に推奨されます。

別の検証方法

Trustico®のSSL証明書は、DNSを利用した検証や、電子メールを利用した検証も可能です。詳細はこちら 🔗SSL証明書の検証方法

Trustico® ブログ記事

1 3