Autenticazione basata su file per i certificati SSL

Il sistema di convalida Trustico® vi fornirà un file di verifica unico contenente contenuti specifici dopo aver effettuato l'ordine.

Dovrete caricare questo file sul vostro server web in una posizione specifica:

/.well-known/pki-validation/

La maggior parte dei server web è configurata per servire i file da questa posizione per impostazione predefinita, il che la rende un luogo ideale per i file di convalida del dominio.

Fasi di implementazione

Per prima cosa, creare la struttura di directory richiesta sul server web utilizzando :

mkdir -p /var/www/your-domain/.well-known/pki-validation/

Il flag -p assicura la creazione di tutte le directory parentali necessarie, se non esistono già. Questo comando creerà il percorso completo delle directory in un unico passaggio, risparmiando tempo e garantendo una struttura di directory corretta.

Successivamente, creare il file di verifica utilizzando il contenuto unico fornito nella conferma dell'ordine:

echo "TRUSTICO_PROVIDED_CONTENT" > /var/www/your-domain/.well-known/pki-validation/verification-file.txt

Questo comando crea un nuovo file di testo con il contenuto unico della verifica. Il contenuto deve corrispondere esattamente a quello fornito nella conferma dell'ordine: anche un solo carattere di differenza causerà il fallimento della convalida.

Il simbolo maggiore di (>) viene utilizzato per scrivere il contenuto in un nuovo file, sovrascrivendo qualsiasi file esistente con lo stesso nome.

Impostare i permessi corretti per i file:

chmod 644 /var/www/your-domain/.well-known/pki-validation/verification-file.txt

L'impostazione dei permessi 644 assicura che il file sia leggibile da tutti ma scrivibile solo dal proprietario.

Questa è l'impostazione di autorizzazione consigliata per i file accessibili al Web, in quanto consente al server Web di leggere e servire il file mantenendo la sicurezza.

Configurazione del server

Alcuni server web richiedono una configurazione aggiuntiva per servire i file dalla directory /.well-known/. Se si utilizza Apache, aggiungere :

<Directory "/var/www/your-domain/.well-known"> Allow from all </Directory>

Questa configurazione di Apache assicura che i file di validazione siano accessibili al nostro sistema di validazione.

La direttiva Directory consente specificamente l'accesso alla cartella .well-known, mantenendo le altre impostazioni di sicurezza.

Se si utilizza Nginx, aggiungere :

location /.well-known { allow all; }

Questo blocco di configurazione di Nginx consente esplicitamente l'accesso alla cartella .well-known. È importante aggiungerlo alla configurazione del blocco del server per garantire la corretta convalida.

Risoluzione dei problemi

Se si riscontrano problemi con la convalida, ecco alcuni comandi utili per verificare la configurazione. Innanzitutto, verificare i permessi dei file :

ls -la /var/www/your-domain/.well-known/pki-validation/

Questo comando visualizza un elenco dettagliato dei file nella directory di convalida, mostrando permessi, proprietà e dimensioni dei file.

Assicurarsi che il file di verifica abbia i permessi corretti (644) e sia di proprietà dell'utente appropriato.

Per controllare i registri del server web per verificare eventuali problemi di accesso :

tail -f /var/log/apache2/error.log # For Apache tail -f /var/log/nginx/error.log # For Nginx

Questi comandi mostrano le voci di registro in tempo reale mentre il sistema tenta di convalidare il dominio.

Questo può essere particolarmente utile per identificare eventuali problemi di autorizzazione o di configurazione che potrebbero impedire la convalida.

È possibile verificare l'accessibilità dei file utilizzando :

curl -v http://your-domain/.well-known/pki-validation/verification-file.txt

Il comando curl mostra esattamente cosa vede il nostro sistema di convalida quando tenta di accedere al file di verifica.

Una risposta corretta dovrebbe mostrare HTTP/1.1 200 OK e visualizzare il contenuto del file.

Migliori pratiche di sicurezza

Dopo la convalida del dominio e l'emissione del certificato SSL, si consiglia di rimuovere il file di verifica:

rm /var/www/your-domain/.well-known/pki-validation/verification-file.txt

La rimozione del file di verifica dopo l'esito positivo della convalida è una best practice per la sicurezza.

Anche se il contenuto del file non è sensibile, è sempre consigliabile mantenere un ambiente server pulito.

Metodi di convalida alternativi

Mentre la convalida basata su file è uno dei pochi metodi raccomandati per la convalida dei domini, il Certificato SSL di Trustico® può essere convalidato anche con metodi di convalida basati su DNS o e-mail. Ulteriori informazioni 🔗