MacroSeguridad.org - Seguridad PKI con Tokens USB y Smartcards (Match-on-Card) – HSM - Certificados SSL
 
Bienvenido a Macroseguridad
 
   
   
 
Soporte / Certificados SSL
 
Métodos de Validación de Dominios
 
 
 
 
¿Qué significa Domain Control Validation o DCV?

Métodos de Validación de Dominio
 
Es el primer paso para poder emitir un certificado SSL: validar la propiedad de los nombres de dominio (FQDNs - Fully Qualified Domain Names) que se incluirán en el certificado.

Para completar este proceso, los dominios deben ser accesibles públicamente. Si no pueden ser alcanzados desde Internet, no podrán ser validados.

El FQDN (nombre de dominio completo) es el nombre del dominio que desea proteger, incluyendo su TLD (Top Level Domain), como por ejemplo ".com.ar", ".com", ".gob.ar", entre otros.

Existen 4 métodos disponibles para realizar el DCV (Domain Control Validation), acordados por las principales autoridades certificantes internacionales, responsables de estandarizar estos procesos. Los métodos son:
Usted deberá seleccionar el método que mejor se adapte a su infraestructura y nivel de simplicidad.

Primero, deberá verificar el CSR. Si la verificación es exitosa, se mostrará la información contenida en el mismo.


En esa misma pantalla podrá elegir el método de validación que desea utilizar.
 
 
Para poder validar un dominio por medio de correo electrónico es necesario que posea o pueda crear una de las casillas de email pre-validadas por la Autoridad Certificante via su política de certificación homologada.

Siendo “dominioavalidar.tld” el nombre de dominio TLD (Top Level Domain Name) que usted quiera validar.

Las casillas que se pueden utilizar son:
  • admin@dominioavalidar.tld
  • administrator@dominioavalidar.tld
  • postmaster@dominioavalidar.tld
  • hostmaster@dominioavalidar.tld
  • webmaster@dominioavalidar.tld
    •

Si no dispone de alguna de estas casillas, puede crearla momentáneamente para realizar la validación y luego, darla de baja.

Haga click aquí para acceder a una herramienta que le muestra que casillas de correo son las pre-validadas y autorizadas para ser utilizadas con este método.

Una vez seleccionada la dirección de correo informe la misma a nuestro equipo de validación al siguiente mail validacion@macroseguridad.net.

Una vez ingresada su orden, Ud. recibirá un correo con el asunto “Domain Control Validation” y deberá ejecutar la acción solicitada en el mismo para validar su dominio.
 
Si usted elige validar el dominio mediante la **publicación de un archivo de texto**, deberá contar con acceso al sistema de archivos del servidor (por ejemplo, mediante FTP), ya que el archivo deberá ser alojado en el sitio web correspondiente al dominio que desea validar.

Este método requiere que el servidor asociado al Common Name esté disponible a través de **HTTP (puerto 80)** o **HTTPS (puerto 443)**.

A partir del **1.º de diciembre de 2021**, este método ya no está permitido para certificados tipo Wildcard. Puede consultar más información aquí.

Para comenzar:
  • Verifique su CSR haciendo clic aquí.
  • Una vez procesada la verificación, se mostrará la información contenida en el CSR, incluyendo:
    • El dominio (Common Name)
    • El hash MD5
    • El hash SHA-256
En ciertos casos, la Autoridad Certificante incluirá un **valor único** (uniqueValue) adicional en el archivo, una vez creada la orden. Si corresponde, dicho valor le será provisto por nuestro equipo.

Haga click aquí para acceder a la pantalla que le permitirá crear el archivo que debe subir al directorio raíz del dominio que usted quiere validar. Para esto, requerirá el Common Name correspondiente al servidor donde guardará el archivo, los Hashes provistos por su CSR, y en caso de poseerlo, el valor único.

Una vez generado el archivo de texto, se especificará la ruta en la que debe almacenarlo en su servidor.

En cuanto haya subido el archivo, informe a validacion@macroseguridad.net el path completo donde quedó publicado, a fin de terminar con el proceso de validación de dominio.

Una vez que el mismo se encuentre publicado y pueda ser accedido desde internet, se podrá validar que usted se encuentra en posesión del dominio.

Para validar un certificado Multidominio o Multidimensional usando el método de publicación del archivo de texto, la generación y subida del archivo deberá llevarse a cabo por cada uno de los campos SAN (salvo campos Wildcard) especificados en su certificado, los cuales informó previamente al equipo de validación. Más información sobre DCV en Certificados Multidominio o Multidimensional aquí.

Esto también impacta al llevar adelante la validación de control de dominio de 'www.dominio' y 'dominio'. Anteriormente, al ordenar un certificado incluyendo ambos campos, si usted validaba mediante archivo de texto, probar el control de 'www.dominio' alcanzaba para también probar control sobre 'dominio'. Sin embargo, ya no es el caso y deberá crear y subir dos archivos de texto por separado para probar el control de dominio en cada uno de ellos.

Novedades en el método de validación por archivo de texto (09/21): Click aquí

 
Este método se utiliza cuando usted no puede crear o utilizar cuentas de correo ni publicar un archivo de texto en su servidor.

DNS son las siglas en inglés de Domain Name System, o "Sistema de Nombres de Dominio". Es el sistema que organiza y gestiona los dominios y subdominios, traduciendo direcciones web como "www.google.com" a una dirección IP, por ejemplo "172.217.28.3".

Un registro CNAME (nombre canónico) es un tipo de registro DNS que enlaza un alias con un nombre de dominio oficial. Para validar su dominio con este método, usted debe poder crear un registro CNAME en la zona DNS del dominio que desea validar. No se permite usar registros TXT, AAAA, A o MX para esta validación.

El registro CNAME debe crearse para un dominio público y verificable con herramientas como “nslookup” en Windows.

Usted deberá decodificar su CSR para obtener los Hashes necesarios, que le indicarán qué valores usar y cómo publicar el registro CNAME en su zona DNS para completar la validación.
Verifique su CSR haciendo click aquí. Una vez decodificado, verá la información en la misma página y, en la parte inferior, las instrucciones para el método elegido. Para validación por registro CNAME, haga click en el botón "Validar por CNAME", que lo llevará a la pantalla para generar el registro CNAME. El formulario estará precargado con sus datos para facilitar la generación.
Luego, deberá enviar el registro generado junto con su CSR a Macroseguridad.org.

Si ya tiene el CSR decodificado y los Hashes a mano, puede acceder directamente aquí para generar el registro CNAME y ver los valores que debe configurar para validar sus dominios.

Recuerde que si valida múltiples dominios, debe crear un registro CNAME para cada uno, manteniendo los mismos Hashes. Más información sobre DCV para certificados Multidominio o Multidimensional puede consultarla aquí.

Una vez creado el registro CNAME, informe su creación enviando un correo a validacion@macroseguridad.net para que puedan completar la validación.
 
 
La validación por DNS TXT es un método alternativo para demostrar que usted tiene control sobre el dominio para el cual se desea emitir un certificado SSL.

Procedimiento:
  1. Sectigo le proporcionará un valor aleatorio denominado randomValue.
  2. Usted deberá crear un registro DNS de tipo TXT en su dominio.
  3. El registro (record) DNS TXT debe tener esta estructura:
      _pki-validation.su-dominio. TXT "randomValue"
En cuanto haya creado el registro, informe a validacion@macroseguridad.net a fin de terminar con el proceso de validación de dominio.

Consideraciones importantes:
  • El valor randomValue es único para cada orden de certificado. Esto lo estipula la autoridad certificante.
  • El mismo tiene una validez de 30 días desde su emisión.
  • Este método no requiere acceso al servidor ni a direcciones de correo electrónico asociadas al dominio.

Una vez publicado el registro DNS y propagado correctamente, Sectigo podrá validar el dominio y continuar con la emisión del certificado.