Nemohu přidat jméno své domény k CAcert, ale chci serverový certifikát

Jestliže provozujete server, který nemá vlastní plně kvalifikované doménové jméno (Full Qualified Domain Name, FQDN), budete mít problém s vytvořením serverového certifikátu, protože nemáte (internetovou) doménu, kterou byste přidali do doménového systému CAcert. Některá možná řešení viz níže.

Jiná možná řešení byla probírána na seznamu adresátů podpory. Znáte-li více podrobností, přidejte je sem.

Jak pracuje ping test

Můj server je přístupný na své IP adrese

Nejjednodušší řešení je zaregistrovat se u jedné nebo více dynamických služeb DNS, například http://DtDNS.net, pak zadat jméno stroje z dynamické služby DNS do CAcertu a přijímat e-maily na root@Vaše_doména_z_dynDNS. K používání cacert.org nepotřebujete doménové jméno druhé úrovně, takže přidáte 'nejvyšší' doménu, kterou ovládáte, k cacert.org, například (když použijete DtDNS) <Váš_server>.dtdns.net.

Jestliže chcete certifikáty pro více počítačů, které mají všechny dynamickou DNS doménu, pak budete muset přidat každý server zvlášť, což vyžaduje, aby byl testovací e-mail odeslán na každý server. Můžete však nastavit MX záznam v DNS každého serveru, aby odkazoval na týž e-mailový server, takže testovací e-mail pro každý server bude zpracován tímtéž e-mailovým serverem. Není to tak snadné jako mít vlastní doménu, ale bude to fungovat. Ovšem používáte-li mnoho serverů přes dynamickou DNS, asi bude lepší získat vlastní doménu.

Není možno registrovat certifikát pro IP-adresu, jen pro názvy domén. Je to proto, že nemůžeme zaručit, že se IP nezmění.

Můj server je lokální server s názvem FQDN / DynDNS

Používáte-li FQDN (úplný kvalifikovaný doménový nézev, Full Qualified Domain Name) pro svůj lokální server, můžete možná dočasně modifikovat svoji DNS, aby tento FQDN název odkazoval na e-mailový server, který přijme testovací e-mail (ping). Jakmile budete ověřen jako majitel příslušné domény, můžete onen DNS záznam odstranit. Prosím nechte pak uplynout 24 hodin pro vypršení mezipamětí DNS.

Rozhodnete-li se použít DynDNS místo názvu <něco>.local, udělejte v podstatě totéž: nechte MX dočasně odkazovat na přijímající e-mail server a pak změňte IP-adresu na něco jako 127.0.0.1. Použijte DynDNS název vnitřně, jako byste použil(a) DNS název <něco>.local.

Dotaz: Dostávám chybové hlášení "CSRF Hash is missing. Please try again." (Chybí haš CSRF. Prosím opakujte.)
Odpověď:  Patrně uplynula dlouhá doba mezi zahájením Vaší žádosti o přidání domény a zadáním adresy zvoleného příjemce. Jak řečeno: zkuste doménu přidat znovu.

Můj server je lokální server s doménou .local

Potřebuji certifikáty pro svůj stroj určený pro vývoj v lokálním prostředí (bez spojení s Internetem). Stroj nemá plně kvalifikovaný doménový název (FQDN). Jak mohu dostat certifikát, který by můj web server přijal?

Potřebujete pouze být ověřen jako majitel každé domény nebo subdomény, kterou chcete používat s CAcert. Doména .local nebude nikdy externě dostupná, Vy ji nemůžete ověřit a proto pro ni nemůžete získat certifikát.

Řešením je buď použít certifikát podepsaný sám sebou (self-signed), nebo změnit název .local na název DynDNS. není třeba, aby ten název DynDNSbyl z vnějšího světa dostupný. Pro více podrobností viz sekci výše.

Použití domén .local je starý zvyk kolidující s mnoha definicemi. Použijte raději alternativní řešení local.yourdomain.tld tak, aby doména yourdomain.tld byla ověřitelná a local.yourdomain.tld byla její lokální část. ["tld" resp. "TLD" = Top Level Domain - doména nejvyšší úrovně, například com, cz nebo org]

Můj e-mailový server používá greylisting k filtraci spamu

Dejte server CAcertu na whitelist: *.cacert.org (nebo jako vše, co přichází z @cacert.org). Greylisting zasahuje do systému testovacích e-mailů CAcert, protože testy se nepokoušejí znovu odeslat zprávu a greylisting právě to vyžaduje. Ruční opakování testu zřejmě v mnoha případech funguje, avšak zápis do whitelistu je nejspolehlivějším řešením.

Více podrobností najdete možná zde: Problémy a dotazy na registrační proces CAcert ...

Ve své doméně nemám žádný e-mailový server

V současnosti existuje pouze jeden způsob ověření, že jste majitelem domény. CAcert posílá na určité e-mailové adresy testovací zprávy a Vy postupujete podle instrukcí, které jste touto zprávou obdržel(a).

Nemáte-li (spuštěný) žádný e-mailový server, máte tyto možnosti:

Protože toto je častý problém, jsou zde plány na "jiné metody ověření domény" (viz dále), ale nečekejte jejich implementaci tak brzy.

Mohu si spustit zprostředkovatelskou CA pro všechny své lokální stroje?

Ne. Viz SubRoot (zprostředkovatelská CA) pro řešení a/nebo obejití problému.

Jiné metody ověření domény

Viz p20090105.1. Nynější zásady jsou v podstatě: zkontrolovat dvě různé věci a k tomu by mělo existovat mnoho různých metod. To se odrazí / mělo by se odrazit v CPS a kódu. Avšak ještě není téměř nic implementováno.

Historicky: Duane napsal (17.02.2005):

Při četných příležitostech mají lidé problémy s registrací domén
(zvláště u strojů s dynamickou DNS), protože nemohou v těchto 
doménách přijmout e-mail, mimo tuto diskusi navrhla jedna osoba 
v netscape newsgroups, že by snad byl lepší způsob ověření vlastnictví
domény získat pro to web a dát na něj malý kousek html kódu, něco 
jako logo "protected by CAcert" (chráněno CAcertem), a pak zařídit,
aby CA buď visuálně prozkoumala, zda logo na webu existuje 
nebo prohledala stránku na html kód.
Našel by někdo nějaké důvody, proč by toto byl horší přístup než
současné e-mailové pingy?

Zdá se, že se to podobá způsobu, jak Google Analytics ověřuje vlastnictví domény. Dosud nebylo ještě nic implementováno. Možná budete chtít zhlédnout diskusi na seznamu adresátů. Pokud můžete, prosím dodejte příklad kódu, který by k tomu byl potřebný.


FAQ/NoDomainName/CZ (last edited 2018-07-21 06:42:21 by AlesKastner)