Edge Security Acceleration:DCV の委任

DCV とは

ドメインコントロール検証 (DCV) とは、認証局 (CA) が証明書を発行する前に、申請者がそのドメイン名に対するコントロール権を証明することを要求するプロセスです。

利用シーン

• CNAME レコードを介してアクセスされるサイトの場合、ドメイン名が ESA に解決されないと、Let's Encrypt 証明書をリクエストする際に、デフォルトで ESA コンソールが HTTP 検証用の DCV 情報を生成します。ターゲットドメインに HTTP 検証ファイルをデプロイできない場合は、事前に DCV の委任レコードを設定することで、HTTP 検証を回避できます。

• DigiCert 証明書は DNS 検証のみをサポートしているため、CNAME レコードを介してアクセスされるサイトには DCV の委任を設定する必要があります。これにより、DigiCert 証明書が正しく発行および更新されるようになります。

DCV の委任設定

1. ESA コンソールで、サイト管理 をクリックします。サイト 列で、目的のサイトをクリックします。

2. 左側のナビゲーションウィンドウで、[SSL/TLS] > エッジ証明書 を選択します。

3. [Delegated DCV] エリアで、CNAME 情報を表示してコピーします。

   

   説明

   hostname の置換手順：

   • 委任するドメインが *.example.com のようなワイルドカードドメインの場合、hostname は example.com になります。

   • 委任するドメインが esa.example.com のようなワイルドカードドメインでない場合、hostname は esa.example.com になります。

4. DNS プロバイダーに移動し、CNAME レコードを追加します。以下の手順では、Alibaba Cloud DNS を例として使用します。Alibaba Cloud DNS コンソールにログオンします。左側のナビゲーションウィンドウで、インターネットの権威ある DNS 解決 をクリックします。インターネットの権威ある DNS 解決 ページで、ドメイン名を見つけ、解決設定 をクリックします。

   

5. 解決設定 ページで、レコードの追加 をクリックします。レコードタイプ を CNAME に設定します。ステップ 3 でコピーした内容を Hostname フィールドと Record Value フィールドに貼り付けます。OK をクリックします。

   ドメイン名のタイプ	ドメイン名の例	DNS プロバイダーのホストレコード	レコード値
   ルートドメイン	example.com	_dnsauth	example.com.SiteID.dcv.aliyun-esa.com
   サブドメイン	www.example.com	_dnsauth.www	www.example.com.SiteID.dcv.aliyun-esa.com
   ワイルドカードドメイン名	*.example.com	_dnsauth	example.com.SiteID.dcv.aliyun-esa.com
   マルチレベルサブドメイン	api.test.example.com	_dnsauth.api.test	api.test.example.com.SiteID.dcv.aliyun-esa.com

検証

証明書に複数のドメイン名が含まれている場合は、それぞれのドメイン名に対して CNAME レコードを設定する必要があります。設定が完了したら、次のコマンドを使用して CNAME レコードが有効になったことを確認できます。

# [DigiCert 証明書]
dig _dnsauth.<hostname> CNAME # <hostname> をご利用のドメイン名に置き換えます。例： dig _dnsauth.example.com CNAME

# [Let's Encrypt 証明書]
dig _acme-challenge.<hostname> CNAME  # <hostname> をご利用のドメイン名に置き換えます。例： dig _acme-challenge.example.com CNAME