HTTP
HTTP DCVを選択すると、Cloudflareは自動的にドメインに検証用のHTTPトークンを追加します。
ドメインが数分間のダウンタイムに耐えられる場合のみ、この方法を使用してください。
HTTP DCVは、プロキシドメインにのみ利用可能です。
HTTP DCV検証は、ワイルドカード証明書には機能しません。
ワイルドカード証明書を使用したり、ダウンタイムを避けたり、発行エラーを防ぐために証明書を事前検証したい場合は、TXT検証を使用してください。
選択した証明書機関によっては、高度な証明書でHTTP検証を使用できない場合もあります。
If you want to use a Universal SSL certificate, you will need to edit the validation_method via the API and specify your chosen validation method.
Alternatively, you could order an advanced certificate via the API.
いずれの場合も、"validation_method":"http"パラメータを設定する必要があります。
ドメインがHTTP DCVを誤ってブロックしないように、一般的な設定の問題についてCloudflareの設定を確認してください。
部分的なドメイン設定を完了すると、HTTPトークンは証明書機関に利用可能になります。
これは、Cloudflareの権威DNSにCNAMEレコードを追加し、Cloudflare内のホスト名に対してプロキシDNSレコードを作成する必要があることを意味します。
このプロセスには数分間のダウンタイムが含まれる場合があります。
レコードを作成した後に何が起こるか
Cloudflare contacts one of our Certificate Authority providers and asks them to issue certificates for the specified hostname. The CA will then inform Cloudflare that we need to “demonstrate control” of this hostname by returning a $DCV_TOKEN at a specified $DCV_FILENAME; both the token and the filename are randomly generated by the CA and not known to Cloudflare ahead of time.
For example, if you create a new custom hostname for site.example.com, the CA might ask us to return the value ca3-38734555d85e4421beb4a3e6d1645fe6 for a request to http://site.example.com/.well-known/pki-validation/ca3-39f423f095be4983922ca0365308612d.txt". As soon as we receive that value from the CA we make it accessible at our edge and ask the CA to confirm it’s there so that they can complete validation and the certificate order.
To check whether your certificates have been validated and reissued:
- Dashboard: Find the certificate(s) SSL/TLS > Edge Certificates and make sure that the Status is Active.
- API: Send a
GETrequest and confirm that your certificate(s) have"status": "active".
Even if you manually handle DCV when issuing certificates in a partial DNS setup, at certificate renewal, Cloudflare will attempt to automatically perform DCV via HTTP.
If all of the following conditions are confirmed at the first attempt, the renewal happens automatically via HTTP.
- Hostnames are proxied.
- Hostnames on the certificate resolve to the IPs assigned to the zone.
- The certificate does not contain wildcards.