Méthodes de validation de contrôle de domaine

 

 

Qu’est-ce qu’une validation de contrôle de domaine ? 

Afin que Certigna puisse émettre votre certificat, vous devez justifier de votre possession du ou des noms de domaines associés à votre demande de certificat. Cette vérification complémentaire a pour but d’éviter l’émission frauduleuse de demande de certificat. 

Le DCV, pour Domain Control Validation (ou validation de la possession d’un nom de domaine) est une validation complémentaire dans la vérification d’un dossier. Celui-ci permet de vérifier que le demandeur d’un certificat possède effectivement les droits de gestion du nom de domaine, ou alors que le gestionnaire du domaine autorise le demandeur à acheter un certificat pour le domaine qu’il gère.

Lors de la personnalisation de votre certificat Certigna et après soumission de votre CSR, nous vous proposons 3 méthodes de contrôle DCV. 

À noter : Seul le propriétaire du domaine ou une personne dûment autorisée par le propriétaire est habilité à effectuer ce contrôle. 

Méthode 1 : le DCV email 

Le principe :  le contrôle du domaine peut être vérifié via un e-mail transmis à l’une des adresses génériques suivantes : 

  • admin@votredomaine.com
  • administrator@votredomaine.com
  • hostmaster@votredomaine.com
  • webmaster@votredomaine.com
  • postmaster@votredomaine.com 

Vous disposerez d’un lien dans l’email reçu permettant de lancer l’action de contrôle DCV. 

L’email sera envoyé via dcv@certigna.com - Pensez à vérifier vos filtres antispam. 

Lorsque vous cliquez sur le lien vous êtes redirigé sur une page web DCV Certigna vous demandant de valider les informations et de lancer le processus de contrôle. Vous serez informé du succès du contrôle DCV immédiatement sur cette même page web. 

Le lien reçu pour cette vérification sera actif durant 30 jours à compter de la date d’envoi du mail. Passé ce délai, il vous faudra effectuer une nouvelle demande de DCV email.

A noter : avant de lancer cette méthode de contrôle DCV email, assurez-vous bien de la bonne existence et du bon accès sur l’adresse choisie pour la vérification 

Méthode 2 : le DCV HTTP / HTTPS 

Le principe : le contrôle du domaine peut être vérifié via le positionnement d’un fichier de contrôle dans un répertoire spécifique à la racine de votre site. La présence et le contenu de ce fichier seront ensuite vérifiés par notre robot. 

Le nom du fichier à créer doit être formaté comme suit <MD5 HASH CSR>.txt et doit contenir la valeur <SHA256 HASH CSR>.certigna.com.

Ce fichier sera à positionner dans un répertoire à créer à la racine de votre site. Ce répertoire devra être nommé de la manière suivante : /.well-known/pki-validation/ 

Toutes les versions de Windows ne permettent pas de créer par GUI un répertoire commençant par un point. Dans ce cas, vous devez créer manuellement le répertoire par ligne de commande. Pour ce faire, lancez une invit de commande, déplacez-vous dans le répertoire racine du votre site web via la commande cd : cd C:cheminverslaracineduvotre site et créez votre répertoire avec la commande mkdir : mkdir .well-known - votre répertoire est créé !

Une fois le fichier déposé par vos soins, notre robot vérifiera la présence de ce fichier sur votre site ainsi que son contenu. Si les informations sont cohérentes avec les informations données alors le DCV sera validé par nos services.  Cette vérification est effectuée une fois par heure par notre robot. Vous pouvez suivre cette validation au sein de votre espace client.

A noter

  • Votre domaine doit être disponible publiquement afin que notre robot puisse valider l’url.

  • Dans le cadre d’une commande de certificat pour plusieurs domaines, il sera nécessaire de déposer chaque fichier dans le répertoire de chaque domaine défini ci-dessus. 

Méthode 3 : le DCV DNS 

Le principe : le contrôle du domaine peut être vérifié via l’ajout d’une entrée TXT à la configuration DNS ( Domain Name Service) de votre serveur. 

Afin que vous puissiez effectuer un DCV par DNS, assurez-vous bien de disposer des droits vous permettant d’effectuer des modifications d’entrée DNS pour les domaines concernés.  

Lorsque vous choisissez cette méthode de validation DCV, nous vous transmettons via votre espace client une entrée CNAME à ajouter à vos enregistrements DNS. 

L’information à ajouter à la configuration de votre DNS prend la forme suivante :

_<MD5 HASH CSR>.votredomaine.com. CNAME <SHA256 HASH CSR>.certigna.com.

A noter

  • Cette méthode n’est pas instantanée. Certains hébergeurs peuvent mettre jusqu’à plusieurs heures pour prendre en compte vos modifications. A ce premier délai s'ajoute un temps de propagation DNS (24H au maximum). Vous pouvez suivre cette validation au sein de votre espace client.

  • Important : un point "." doit être ajouté au milieu de votre <MD5 HASH CSR>.

  • Lors de la saisie de votre entrée CNAME, Il est important de ne pas oublier le”_” en début d’entrée ainsi que le “.” en fin d’entrée. Par ailleurs veuillez à ne saisir aucun espace excepté avant et après le CNAME. 

  • Ces valeurs sont valables 30 jours. Passé ce délai, il vous faudra effectuer une nouvelle demande de DCV DNS afin de générer de nouvelles valeurs à positionner sur votre DNS.

 

Comment calculer les hash MD5 et SHA-256 ?

Les hash MD5 et SHA-256 sont des valeurs obtenues à partir de la CSR encodée au format DER. 

Les lignes de commande suivantes vous permettent de les calculer.

=> Si votre CSR est au format PEM, alors convertissez-là d’abord en DER : openssl req -in macsr.pem -inform PEM -out macsr.der -outform DER

Calcul des hash SHA256 :

=> openssl dgst -sha256 macsr.der

=> openssl dgst -md5 macsr.der

Attention, la valeur obtenue pour le calcul du hash MD5 doit être convertie en majuscule. La recherche par notre robot ne se fait que sur ce type de caractère.

A moins de préparer à l’avance votre commande, il n’est pas nécessaire de calculer vous-même ces valeurs, elles seront affichées directement sur votre espace client, au niveau du choix des DCV de votre commande.

Vous trouverez ci-dessous un exemple de hachage MD5 et de hachage SHA-256 générés que nous allons utiliser pour nos exemples. 

MD5 : C7FBC2039E400C8EF74129EC7DB1842

SHA-256 : c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f

Pour le domaine www.votredomaine.com :

=> Si vous choisissez la méthode n°2 par HTTP(S), vous devrez créer le fichier : 

https://www.votredomaine.com/.well-known/pki-validation/C7FBC2039E400C8EF74129EC7DB1842C.txt

contenant la valeur c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f certigna.com

=> Si vous choisissez la méthode n°3 par DNS, vous devrez créer l’entrée DNS de type CNAME suivante :

C7FBC2039E400C8EF74129EC7DB1842.www.votredomaine.com. CNAME c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.certigna.com.

OU  

C7FBC2039E400C8EF74129EC7DB1842.votredomaine.com. CNAME c9c863405fe7675a3988b97664ea6baf442019e4e52fa335f406f7c5f26cf14f.certigna.com.

Un support disponible pour
répondre à toutes vos questions

Consulter le support
Recevez les actualités de Certigna par email
Inscrivez-vous à la newsletter
v2.04.04-3pp