HTTP-01 challenge: Unterschied zwischen den Versionen

Aus xinux.net
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
 
=Prinzip=
 
=Prinzip=
Dies ist heute die häufigste Art der Challenge. Let’s Encrypt gibt Ihrem ACME-Client einen Token und Ihr ACME-Client legt eine Datei auf Ihrem Webserver unter http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN> ab. Diese Datei enthält den Token sowie einen Fingerabdruck Ihres Kontoschlüssels. Sobald Ihr ACME-Client Let’s Encrypt mitteilt, dass die Datei fertig ist, versucht Let’s Encrypt sie abzurufen (möglicherweise mehrmals von mehreren Standorten aus). Wenn unsere Validierungsprüfunge mit den Antworten von Ihrem Webserver übereinstimmen, wird die Validierung als erfolgreich angesehen und Sie können mit der Ausstellung Ihres Zertifikats fortfahren. Wenn die Validierungsprüfungen fehlschlagen, müssen Sie es mit einem neuen Zertifikat erneut versuchen.
+
*Dies ist heute die häufigste Art der Challenge.  
 
+
*Let’s Encrypt gibt Ihrem ACME-Client einen Token
Unsere Implementierung der HTTP-01-Challenge folgt Weiterleitungen, bis zu 10 Weiterleitungen tief. Es werden nur Weiterleitungen zu “http:” oder “https:” akzeptiert und nur zu den Ports 80 oder 443. Es werden keine Umleitungen zu IP-Adressen akzeptiert. Bei der Umleitung zu einer HTTPS-URL werden keine Zertifikate überprüft (da diese Abfrage gültige Zertifikate erstellen soll, kann es vorkommen, dass selbstsignierte oder abgelaufene Zertifikate vorhanden sind).
+
*ACME-Client legt eine Datei auf Ihrem Webserver unter http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN> ab.
 
+
*Datei enthält den Token sowie einen Fingerabdruck Ihres Kontoschlüssels.  
Die HTTP-01 Challenge kann nur auf Port 80 durchgeführt werden. Erlauben von anderen Ports, würde die Challenge weniger sicher machen und ist nach dem ACME Standard nicht erlaubt.
+
*Sobald Ihr ACME-Client Let’s Encrypt mitteilt, dass die Datei fertig ist, versucht Let’s Encrypt sie abzurufen.  
 +
*Wenn unsere Validierungsprüfunge mit den Antworten von Ihrem Webserver übereinstimmen, wird die Validierung als erfolgreich angesehen und Sie können mit der *Ausstellung Ihres Zertifikats fortfahren. Wenn die Validierungsprüfungen fehlschlagen, müssen Sie es mit einem neuen Zertifikat erneut versuchen.
 +
*Die HTTP-01 Challenge kann nur auf Port 80 durchgeführt werden.
  
 
=Vorteile=
 
=Vorteile=

Version vom 26. März 2021, 08:43 Uhr

Prinzip

  • Dies ist heute die häufigste Art der Challenge.
  • Let’s Encrypt gibt Ihrem ACME-Client einen Token
  • ACME-Client legt eine Datei auf Ihrem Webserver unter http://<YOUR_DOMAIN>/.well-known/acme-challenge/<TOKEN> ab.
  • Datei enthält den Token sowie einen Fingerabdruck Ihres Kontoschlüssels.
  • Sobald Ihr ACME-Client Let’s Encrypt mitteilt, dass die Datei fertig ist, versucht Let’s Encrypt sie abzurufen.
  • Wenn unsere Validierungsprüfunge mit den Antworten von Ihrem Webserver übereinstimmen, wird die Validierung als erfolgreich angesehen und Sie können mit der *Ausstellung Ihres Zertifikats fortfahren. Wenn die Validierungsprüfungen fehlschlagen, müssen Sie es mit einem neuen Zertifikat erneut versuchen.
  • Die HTTP-01 Challenge kann nur auf Port 80 durchgeführt werden.

Vorteile

  • Ohne Fachkenntnisse in der Domainverwaltung einfach zu automatisieren.
  • Erlaubt Hosting Providern das Ausstellen von Zertifikaten für CNAME Domains.
  • Funkioniert mit jedem Standard-Webserver

Nachteile

  • Funktioniert nicht, wenn Ihr ISP Port 80 blockiert (selten, aber es gibt solche ISPs)
  • Let’s Encrypt erlaubt diese Challenge nicht zum Ausstellen von Wildcard Zertifikaten
  • Wenn Sie mehrere Webserver haben, müssen Sie sicherstellen, dass die Dateien überall verfügbar sind.

Quelle

Abgerufen von „https://xinux.net/index.php?title=HTTP-01_challenge&oldid=22962