无需访问根域即可验证子域的证书

无需访问根域即可验证子域的证书

我们想要为托管在自己服务器上的子域名替换过期的证书,例如:

部门.地区.城市.gov

我们只是控制该服务器和子域。由于安全原因(最近更改),没有 *@city.gov 电子邮件帐户(通常的验证方式,例如[电子邮件保护]) 并且我们无法说服他们添加文件或修改 DNS 设置以进行验证(COMODO 替代方案)。

这个问题该如何解决?有人遇到过这种情况吗?

答案1

寻找另一个证书提供商,该提供商将接受其他形式的文档,证明您有权为您的域名获取证书。

标准做法是,组织会授权几个人批准证书。任何人都可以申请证书,但只有这些指定人员批准后,证书才会颁发。他们不需要在颁发证书的域内拥有电子邮件地址;他们只需能够证明拥有该域的公司已授权他们批准证书即可。

答案2

经过一段时间,我们设法使用了 Comodo 和 Geotrust 证书(快速且便宜)。方法如下:

1) Comodo 在其常见域验证方法中似乎要求提供 *@city.gov 电子邮件帐户。但是,使用其替代方法,您可以在子域中添加一个文本文件来验证子域,例如:http://department.area.city.gov/HASHFILE.txt

诀窍在于 HASHFILE.txt包含另一个哈希,如果 HASHFILE.txt 为空则不起作用——这与 Google 验证不同——(这是我的错误)

2) GeoTrust 证书(如 RapidSSL)可以使用不同级别的电子邮件地址进行验证。例如:如果您可以在 *@department.area.city.gov 接收电子邮件,则可以验证您的子域名。

我们选择了 Comodo,但 Geotrust 应该也同样适用。

感谢您的帮助。

相关内容