ドメイン名の所有権の検証 - Web Application Firewall - Alibaba Cloud ドキュメントセンター

初めてWeb Application Firewall (WAF) にドメイン名を追加するときは、ドメイン名の所有権を確認する必要があります。検証に合格した後、サブドメインの所有権を検証する必要なく、ドメイン名のサブドメインを追加できます。このトピックでは、ドメイン名の所有権を確認する方法について説明します。

シナリオ

次のいずれかの方法を使用して初めてドメイン名をWAFに追加するときは、ドメイン名の所有権を確認する必要があります。

CNAMEレコードモードでドメイン名をWAFに追加します。詳細については、「WAF 3.0にドメイン名を追加する」および「WAF 2.0にドメイン名を追加する」をご参照ください。
アセットセンター機能を使用して、ドメイン名をWAFに追加します。詳細については、「WAF 3.0の資産センター」をご参照ください。

検証方法

方法1: DNS検証 (推奨)

ドメインネームシステム (DNS) 検証方法を使用する場合は、WAFコンソールに表示されるレコード値を使用して、DNSサービスプロバイダーのシステムにDNS TXTレコードを追加する必要があります。

前提条件

ドメイン名のDNSレコードを変更する権限があります。

手順

確認ページに移動します。
- シナリオ1: CNAMEレコードモードでWAF 3.0にドメイン名を追加します。
  CNAMEレコードタブの [Webサイト設定] ページで、[追加] をクリックします。
- シナリオ2: アセットセンター機能を使用してWAF 3.0にドメイン名を追加します。
  ECI インスタンスの割引額を照会するには、アセットセンターページ。 [概要] タブで、アイコンをクリックします。
- シナリオ3: CNAMEレコードモードでWAF 2.0にドメイン名を追加します。
  　 [ドメイン名の追加] ページで、[アクセスモード] の [CNAMEレコード] を選択します。
WAFに追加するドメイン名を入力し、空の領域をクリックします。
確認セクションで、[方法1: DNSレコード] タブをクリックします。
重要
いくつかのケースでは、検証が失敗することがある。検証が完了する前に [ドメイン名の追加] パネルを閉じないでください。検証に失敗した場合は、ファイル検証方法を使用してドメイン名の所有権を検証できます。詳細については、「方法2: ファイル検証」をご参照ください。

WAFコンソールの [レコードタイプ] 、[ホスト名] 、および [レコード値] パラメーターの値に基づいて、DNSサービスプロバイダーのシステムにTXTレコードを追加します。

この例では、TXTレコードがAlibaba Cloud DNSに追加されます。別のDNSサービスプロバイダーを使用する場合は、同様の操作を実行してTXTレコードを追加できます。

Alibaba Cloud DNSコンソールにログインします。
[ドメイン名の解決] ページで、WAFに追加するドメイン名を見つけ、[操作] 列の [DNS設定] をクリックします。
説明
この例では、CNAMEレコードモードでWAFにe www.aliyundemo.comドメイン名を追加します。

[DNSレコードの追加] をクリックします。表示されるダイアログボックスで、[レコードタイプ] 、[ホスト名] 、および [レコード値] パラメーターを設定し、[OK] をクリックします。 image..png

パラメーター	説明	例
レコードタイプ	ドロップダウンリストから [TXT] を選択します。	TXT
ホスト名	ドメイン名のプレフィックスを入力します。	verification
DNSリクエストソース	ドメイン名のインターネットサービスプロバイダー (ISP) を選択します。	デフォルト
レコード値	WAFコンソールに表示されるレコードの値を入力します。	verify_8fca29dec22746a7841daf2b3af6 ****
TTL期間	TXTレコードのtime-to-live (TTL) 値を入力します。値が小さいほど、レコードの更新が早いことを示します。デフォルト値は 10 分です。	10 (推奨)

TXTレコードを追加すると、レコードリストに表示されます。デフォルトでは、レコードは有効です。 [ステータス] 列の値は [有効] です。

TXTレコードが有効になるのを待ちます。

検証に失敗した場合は、TXTレコードが正しく設定されているかどうかを確認します。

次のコードは、さまざまなオペレーティングシステムでのサンプルの成功応答を示します。

説明

TXTレコードを追加すると、すぐに有効になります。 TXTレコードを変更する場合、変更が有効になるまでに必要な時間は、TTL値によって異なります。デフォルトのTTL値は10分です。
digプログラムがLinuxオペレーティングシステムにインストールされていない場合は、yum install bind-utilsコマンドを実行してプログラムをインストールできます。

Windows

D:\example>nslookup -qt=txt verification.example.com
DNS request timed out.
    timeout was 2 seconds.
Server: Unknown
Address:  10.10.XX.XX

DNS request timed out.
    timeout was 2 seconds.
Non-authoritative answer:
verification.example.com text =

        "verify_165871adfd49413894ec9d3555e5****"

Linux

 [rot@example ~]# dig verification.example.com txt

; << > > DiG 9.11.26-RedHat-9.11.26-3.1.al8 << > > verification.example.com txt
;; global options: +cmd
;; Got answer:
;; - > >HEADER<<- opcode: QUERY, status: NOERROR, id: 63246
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 13561416e9b77d0701000000615fb0d7304d137ea064**** (good)
;; QUESTION SECTION:
;verification.example.com.                IN      TXT

;; ANSWER SECTION:
verification.example.com. 600     IN      TXT     "verify_165871adfd49413894ec9d3555e5****"

;; Query time: 152 msec
;; SERVER: 100.100.XX.XX#53(100.100.XX.XX)
;; WHEN: Fri May 26 10:45:43 CST 2023
;; MSG SIZE  rcvd: 143

WAFコンソールに戻り、[検証] をクリックします。
が検証は成功しました。 メッセージが表示されると、ドメイン名は所有権の検証に合格します。検証に失敗した場合は、コンソールに表示されている障害の原因に基づいて、関連する設定を変更します。次に、ドメイン名の所有権を再度確認します。検証の失敗を処理する方法の詳細については、「FAQ」をご参照ください。

方法2: ファイル検証

ファイル検証方法を使用する場合は、WAFが提供する検証ファイルを、ドメイン名のオリジンサーバーのルートディレクトリにアップロードする必要があります。

確認ページに移動します。
- シナリオ1: CNAMEレコードモードでWAF 3.0にドメイン名を追加します。
  CNAMEレコードタブの [Webサイト設定] ページで、[追加] をクリックします。
- シナリオ2: アセットセンター機能を使用してWAF 3.0にドメイン名を追加します。
  ECI インスタンスの割引額を照会するには、アセットセンターページ。 [概要] タブで、アイコンをクリックします。
- シナリオ3: CNAMEレコードモードでWAF 2.0にドメイン名を追加します。
  　 [ドメイン名の追加] ページで、[アクセスモード] の [CNAMEレコード] を選択します。
WAFに追加するドメイン名を入力し、空の領域をクリックします。
[検証] セクションで、[方法2: 検証ファイル] タブをクリックします。
重要
検証が完了する前に、[ドメイン名の追加] パネルを閉じないでください。
確認ファイルをダウンロードするには、[確認ファイルのダウンロード] の右側にあるリンクをクリックします。
重要
- 確認ファイルは、ダウンロード後3日間のみ有効です。 3日以内に検証が完了しない場合は、検証ファイルを再度ダウンロードする必要があります。
- ファイルを開く、変更する、名前を変更するなどの操作を検証ファイルに対して実行しないでください。
確認ファイルを、ドメイン名のオリジンサーバーのルートディレクトリにアップロードします。オリジンサーバーは、Elastic Compute Service (ECS) インスタンス、Object Storage Service (OSS) バケット、Cloud Virtual Machine (CVM) インスタンス、Cloud Object Storage (COS) インスタンス、またはElastic Compute Cloud (EC2) インスタンスです。
説明
* .aliyun.comなどのワイルドカードドメイン名を追加する場合は、aliyun.comなどのプライマリドメイン名のオリジンサーバーのルートディレクトリに検証ファイルをアップロードします。
WAFは、検証ファイルを取得するために選択したプロトコルタイプを使用してオリジンサーバーにアクセスし、必要に応じて検証ファイルをアップロードしたかどうかを確認します。確認ファイルにアクセスできることを確認してください。
WAFコンソールに戻り、[検証] をクリックします。
が検証は成功しました。 メッセージが表示されると、ドメイン名は所有権の検証に合格します。検証に失敗した場合は、コンソールに表示されている障害の原因に基づいて、関連する設定を変更します。次に、ドメイン名の所有権を再度確認します。検証の失敗を処理する方法の詳細については、「FAQ」をご参照ください。

よくある質問

検証方法	問題	説明	解決策
DNS検証	空のTXTレコード値	検証結果は、ドメイン名のTXTレコード値が空であることを示しています。	DNSレコードを追加した後、レコードはすぐには有効になりません。 DNSレコードは、レコードのTTLが終了すると有効になります。デフォルトのTTLは10分です。 10分後に検証を実行することを推奨します。検証に失敗した場合は、ドメイン名のDNSレコードを再追加します。詳細については、「方法1: DNS検証 (推奨) 」をご参照ください。
DNS検証	一貫性のないTXTレコードの値	検証結果は、TXTレコード値が指定されたレコード値と一致しないことを示しています。	DNSサービスプロバイダーのシステムからTXTレコードを削除し、ドメイン名のTXTレコードを再追加します。手順： DNSサービスプロバイダのシステムに移動し、TXTレコードを削除します。 Alibaba Cloud DNSを使用する場合は、次の操作を実行してTXTレコードを削除します。 Alibaba Cloud DNSコンソールにログインします。 [ドメイン名の解決] ページで、管理するドメイン名を見つけてクリックします。 [DNS設定] タブで、指定したレコード値を持つDNSレコードを見つけ、[操作] 列の [削除] をクリックします。 [DNS設定] タブで、ドメイン名のTXTレコードを再追加します。詳細については、「方法1: DNS検証 (推奨) 」をご参照ください。
ファイル検証	アクセスできないドメイン名	検証結果は、ドメイン名にアクセスできないことを示しています。	ドメイン名のDNSレコードが存在しません。 DNSサービスプロバイダのシステムに移動し、ドメイン名のDNSレコードを追加します。 Alibaba Cloud DNSコンソールでDNSレコードを追加する方法の詳細については、「DNSレコードの追加」をご参照ください。ドメイン名に到達できません。ホワイトリストは、オリジンサーバのために構成され得る。実際のシナリオに基づいて問題をトラブルシューティングできます。
	検証ファイルなし	検証結果は、検証ファイルが存在しないことを示す。	検証ファイルを配信元サーバーのルートディレクトリにアップロードしなかったか、アップロード操作が失敗しました。確認ファイルを再ダウンロードし、オリジンサーバーにアップロードします。詳細については、「方法2: ファイル検証」をご参照ください。
	ファイルの内容が正しくない	検証結果は、ファイルの内容が正しくないことを示しています。	ドメイン名のオリジンサーバーにログインし、不正な検証ファイルを削除します。正しい検証ファイルをオリジンサーバーに再アップロードします。詳細については、「方法2: ファイル検証」をご参照ください。

Web Application Firewall:ドメイン名の所有権の検証