TLS 証明書のためのドメイン検証
Last updated May 29, 2020
重要: TLS1.2 向けの共有証明書の提供を2020年12月31で終了する予定です。新しい Fastly TLS のウェブインターフェイスおよび API は、共有証明書と同様の機能を提供します。当変更に関するお問い合わせは弊社のカスタマーサポートチーム fastlytlsupdates@fastly.com へご連絡ください。
Fastly の TLS オプション を購入した場合、 弊社パートナーの証明書認証局 (GlobalSign) は、要求されたドメインがお客様の管理の下にあるか、また弊社に対して、お客様に代わって証明書サービスのリクエストをする権限を与えているかを検証する必要があります。以下から選択していただくことが可能です:
- DNS TXT レコードによる検証 (推奨)
- Email による検証
- URL による検証
ご利用される検証方法にかかわらず、TLS の購入手続きについては、TLS オプションに記載されている手順に従って下さい。
重要: ドメインの検証は速やかに実施することを強く推奨します。ドメイン所有権の検証に使用するユニークな値は短い期間(いつドメイン検証プロセスを開始したかにより異なりますが、28日以内)のみ有効です。この期間を過ぎた場合は、ドメイン所有権の検証プロセスをやり直す必要があります。
DNS TXT レコードによる検証
弊社から各ドメインに対するゾーンオリジン ("@") に追加するための一意の DNS TXT レコードをお客様に提供します。TXT レコードの値は、各ドメインに追加される証明書により異なります。メタタグは次のうちのいずれかのフォーマットになります。({META TAG} の箇所が証明書により異なります):
@ IN TXT "globalsign-domain-verification={META TAG}"
@ IN TXT "_globalsign-domain-verification={META TAG}"
弊社は、上記にある適切な TXT レコードをお客様に提供いたします。TXT レコード追加方法についてはお客様のレジストラや DNS プロバイダーが提供されているドキュメントをご参照下さい。この TXT レコードは、他の TXT レコードとは完全に分離する必要があります。前方への追記や挿入、または後方への追記のレコードは、期待した動作をいたしません。
Email による検証
GlobalSign は、検証用 Email を送ることができる Email アドレスのリストを弊社に提供いたします。一般的にこれらの Email アドレスは、以下のものになります:
- admin@example.com
- administrator@example.com
- hostmaster@example.com
- postmaster@example.com
- webmaster@example.com
サブドメインに対する証明書のご要望を頂いた場合には、上記アドレスそれぞれに対して @subdomain.example.com
もご利用いただけます。 (例えば admin@subdomain.example.com
)。
弊社は、送信可能な Email アドレスのリストをお客様に送信いたします。お客様は、どの Email アドレスが利用可能か、弊社にご連絡ください。その後、GlobalSign は、お客様が指定した Email アドレス宛に検証用のメールを送信いたします。お客様は、検証用メールを受信されましたら、メールの中にあるリンクをクリックしていただき、検証を完了するために指示に従ってください。
URL による検証
弊社は、お客様が追加しようとして要求されたドメイン、または Apex ドメインにおいて、ウェブページに明示的に追加していただく必要がある HTML タグを提供いたします。証明書を追加するドメインまたは Apex ドメインにおいて、URL として次のフォーマット http://<REQUESTED APEX OR SUBDOMAIN>/.well-known/pki-validation/gsdv.txt
をご利用ください。メタタグは、({META TAG}
のところは、証明書によって変更されますが)、次のうちの 1 つと似たフォーマットとなります:
<meta name="globalsign-domain-verification" content="{META TAG}" />
<meta name="_globalsign-domain-verification" content="{META TAG}" />
弊社は、上記にある適切なメタタグをお客様に提供いたします。このテキストファイルは、実際に要求されたドメインまたはルートドメインから配信して頂く必要があります。例えば、もしお客様がドメイン www.example.com
を証明書に追加するのであれば、GlobalSign は、明示的に http://www.example.com
または http://example.com
に対して、検証手続きを実施している間にリクエストをいたします。検証用のタグは、上記 URL から返信されるコンテンツから配信されなければなりません。 GlobalSign は、リダイレクトに従ったり、ドメインにあるファイル、例えば、http://www.example.com/verify.html
または、 http://www.example.com/index.html
にリクエストすることはいたしません。
TLS domain 検証の支援について
お客様のオリジンサーバーに TLS サービスを絶え間なく提供するために、Fastly は、HTTP に基づく検証方式を利用して、自動的にドメインの再検証を実施いたします。検証は、定期的な間隔で、証明書を更新する前に自動的に発生し、お客様に、特に作業を求めたりいたしません。お客様が DNS を Fastly に向けていただいている限り、弊社は、お客様のサービスが中断する可能性をさけるため、 TLS 検証を支援させていただきます。
TLS 検証が不要な場合は、 support@fastly.com にご連絡ください。
Back to Top