Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

文档目录

Table of Contents


证书申请信息: csr_code

安全提示: 请尽量不要为最终用户自动生成CSR和存储私钥信息到您自己的服务器系统, 集中存储私钥信息是非常不安全的、很容易造成业务的不利影响和为最终用户带来无法估测的损失。

  1. CSR中不能使用IPv4或者IPv6作为主域名,主域名必须是完全限定域名FQDN如:my.amcc.domainname.com
    , 通配符证书应该使用通配符域名如: *.my.trustocean.com
  2. 单域名证书会采用CSR中的主域名作为证书主域名
  3. 多域名证书不会采用CSR中的域名,所有域名都应该通过 domains 参数提交,多域名证书采用域名列表中的首个域名作为证书主域名。
  4. DV SSL(Domain Validation )证书会将CSR内的OrganizationName、OrganizationalUnitName、StreetAddressX、LocalityName、PostalCode、CountryName、StateOrProvinceName 信息应用到CA订单中。OV SSL (Organization Validation) 和 EV SSL (Extended Validation)订单不会采用CSR中的地址和单位信息。
  5. 所有的COMODO产品和TRUSTOCEAN产品都支持 RSA 和 ECC 签名,
  6. 上传的CSR代码必须包含完整的头和尾,同时需要保持方块阵型(每行结尾都有换行符\n),否则会在API中校验错误.

下面是正确的CSR代码阵型举例:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

多个订单中使用相同的CSR代码

我们并不推荐这样做,将相同的公钥用在多个订单申请中或重签订单中, 但如果因为特殊需求而必须这样做,您应该明确由此而带来的风险。
我们在申请和重签操作中使用 unique_id来确保每个订单的唯一性.


订单唯一ID: unique_id

您有可能会在多个新订单或重签订单中使用相同的公钥CSR,为了满足COMODO对于订单唯一性的要求, 我们强制每次签发和重签操作都必须提交 unique_id串码。

生成唯一识别串码

unique_id 必须是由 英文字母和数字组成,全小写, 11位-20位字符长度。

使用API Salt前缀生成识别串码

现在您可以在环洋诚信™的合作伙伴账户内找到适用于API v2版本的全新信息,我们建议您使用其中的 API Salt作为您生成识别串码时的前缀. 您应该借助您的数据库和时间参数实现您生成的识别串码的唯一性。
除了API Salt,您也可以使用您自己的品牌名字作为前缀,但前缀最好不要超过8位,如: crazessl, 生成的识别串码如: crazessl2018120101

识别串码将用于域名验证

为了确定订单和域名的关联性, 现在所有的订单在验证过程中所使用的验证信息都将会由CSR和识别串码组成, 如下列的某个订单采用的识别串码:testorder03 , 获得的域名验证信息如下:

Code Block
languagejs
"dcv_info": {
        "trustocean.com": {
            "status": "needverification",
            "method": "http",
            "email": "",
            "isip": "false",
            "subdomain": null,
            "topdomain": "trustocean.com",
            "http_verifylink": "http://trustocean.com/.well-know/pki-validation/9BBE6D86D535A3EF6E8008975AC6A0BE.txt",
            "http_filename": "9BBE6D86D535A3EF6E8008975AC6A0BE.txt",
            "http_filecontent": "70030c1e989f209855aea0013d92ee9f1f56cca9794a7e9a9353975e7fa7be59\r\ncomodoca.com\r\ntestorder03"
        },
        "www.trustocean.com": {
            "status": "needverification",
            "method": "dns",
            "email": "",
            "isip": "false",
            "subdomain": "www",
            "topdomain": "trustocean.com",
            "dns_host": "_9bbe6d86d535a3ef6e8008975ac6a0be.www",
            "dns_type": "CNAME",
            "dns_value": "70030c1e989f209855aea0013d92ee9f.1f56cca9794a7e9a9353975e7fa7be59.testorder03.comodoca.com"
        },
        "cmcc.qiaokr.com": {
            "status": "needverification",
            "method": "email",
            "email": "admin@qiaokr.com",
            "isip": "false",
            "subdomain": "cmcc",
            "topdomain": "qiaokr.com"
        }
    },

多域名证书域名: domains

domains 参数仅用于多域名证书,为传递用于申请证书保护的域名。不能包含空格和其他非域名字符, 多个域名用英文半角逗号隔开,总的域名数量不应该超出最大限制250条域名。
如同时为
01.trustocean.com
02.trustocean.com
03.trustocean.net
04.trustocean.cn
*.my.trustocean.com
申请多域名证书, domains参数应该这样组成 01.trustocean.com,02.trustocean.com,03.trustocean.net,04.trustocean.cn,*.my.trustocean.com,my.trustocean.com

注意: 根据CA规则, 多域名证书中不会默认保护通配符域名的裸域名, 所以上述domains参数还额外包含了 my.trustocean.com


域名验证方式: dcv_method

dcv_method 参数是为了描述证书中的域名验证方式, 支持的域名验证方式如下:

  1. dns
  2. https
  3. http
  4. <DCV邮箱地址>

注意:IPv4地址仅支持http,https两种验证方式。
DCV邮箱地址是指传递可用于进行域名控制权验证的邮箱地址, 默认不支持域名Whois邮箱, 当前仅支持下列前缀的邮箱地址进行控制权验证:

  1. admin@
  2. administrator@
  3. webmaster@
  4. hostmaster@
  5. postmaster@

相关的文章

Content by Label
showLabelsfalse
max5
spacesSPC
showSpacefalse
sortmodified
reversetrue
typepage
cqllabel = "kb-how-to-article" and type = "page" and space = "SPC"
labelskb-how-to-article


Page properties
hiddentrue


相关问题