ドメイン制御検証フロー
ユニバーサル、高度なおよびカスタムホスト名証明書を取得するために、Cloudflareは異なる公的に信頼された証明書機関 (CAs)と提携しています。
しかし、CAに証明書の発行または更新を依頼するたびに、リクエスターはドメインに対する制御を証明する必要があります。その際にDCVプロセスが行われ、証明は通常、標準のURLパス(/.well-known/pki-validation)にHTTPトークンを配置するか、権威DNSプロバイダーにTXTレコードを配置することから成ります。
上記のユースケースにおいて、プロセスには3つの異なる当事者が関与しています:
- 証明書が発行されるウェブサイトまたはアプリケーション。
- リクエスター(Cloudflare)。
- リクエストを処理するCA。
要約すると、CloudflareがCAに証明書の発行または更新を依頼した後、成功しなければならない5つのステップがあります:
- CloudflareはCAからDCVトークンを受け取ります。
- Cloudflareはあなたの代わりにトークンを配置するか(フルDNSセットアップ、委任DCV)、トークンを配置するために利用可能にします。
- Cloudflareはトークンを確認するために検証URLをポーリングします。
- Cloudflareが複数のDNSリゾルバーを介してトークンが配置されていることを確認できた後、CAにも確認を依頼します。
- CAがトークンが配置されていることを確認できれば、証明書が発行されます。CAがトークンが配置されていることを確認できない場合、証明書は発行されず、トークンは無効になります。
- 検証URLに干渉する設定 - 例えば、ファイアウォールのブロックや誤設定されたDNSSEC - は、証明書の発行または更新に問題を引き起こす可能性があります。トラブルシューティングガイドを参照してください。
-
When your certificate is in
pending_validationand valid tokens are in place, some security features targeting your zone’s path for/.well-known/*can be automatically bypassed. - 証明書機関認証 (CAA) レコードは、証明書の発行をブロックする可能性があります。CAAレコードを参照してください。
DCVトークンはCAによって生成および管理され、Cloudflareによって管理されるものではありません。これらの動作に関するさらなる技術仕様はRFC 8555 ↗で確認できます。