FujiSSLのDNS認証でつまづいた件


FujiSSL

  • 手続きが迅速
  • 費用が低廉

なので重宝している。

さて今般あるサブドメインについて更新を行うにあたって、つまづいたことがあったので共有する。

シーン

私のケースは以下の条件だった。

  1. 以前に既にFujiSSLで取得したSSL証明書の更新
  2. DV(ドメイン認証)クラス
    1. EVやOVではない
  3. ドメイン使用権の確認方法を「DNS認証」方式を選択した

FujiSSLにおける「ドメイン使用権」確認方法は、昨年2019年11月19日以降、ドメイン認証(DV証明書)にも「DNS認証」を選ぶことができるようになった。

認証方式追加のお知らせ(ドメイン認証※DV証明書)

新規取得であれば仮のホスティング環境を設けて「ファイル認証」を選んでもいいし、メールサーバを既に立てていれば「メール認証」を選んでもいいが

DNS認証はWEBサーバを公開できない、メールサーバを公開できない方にもFujiSSLの発行を可能にします。

というのが魅力で、今回はこの「DNS認証」を選択した。選択した画面はこんな感じ。

ケース

私が更新しようとしたDV認証SSLのドメインは、いわゆる「www」ドメインや「wwwなし」つまり「ネイキッドドメイン」ではなく、特定のサブドメインを付したドメインだった。ここでは仮に

sub.hoge.com

とする。

届いたメール

私の過誤

以下の記述を見落としてしまった

※DNSの設定は申請ドメイン(例:aaa.bbb.example.com)のベースドメイン(例:example.com)に
 対する設定になります。

というのも少し上にあった、この記述に首を傾げていたいたせいで、注意力が散漫になっていました。

サブドメイン:無し
※サブドメインがある場合は、サブドメインがついた
 TXTレコードも同じ値で追加してください。

大反省。

当初DNSに設定したTXTレコード

sub.hoge.com. IN TXT "202003041643030A04A88A2CC98F41BED0F050A1E14F190B3EA0CB1EE7146125765ED1A3291B60"

これだけ設定して、FujiSSLから「ドメイン所有権を確認しました!」みたいなメールが届くのを首を長くして待ち続けていました(ざっと半日)。

不足していたTXTレコード

hoge.com. IN TXT "202003041643030A04A88A2CC98F41BED0F050A1E14F190B3EA0CB1EE7146125765ED1A3291B60"

はい、つまりネイキッドドメインと両方にTXTレコードを設定せねばならかったのでした。

反省したこと

指示の要点に注意して処理を行うこと。