証明書を取得するには、クライアントはサーバーに対してドメインを所有していることを証明する必要があります。 これを行うために、所有者のみが実行できる特定のアクションを実行します。 たとえば、認証局は一意のトークンを生成し、それをサイトに配置するようにクライアントに要求できます。 次に、CA は Web または DNS クエリを発行して、このトークンからキーを抽出します。
たとえば、HTTP の場合、トークンのキーは、Web サーバーによって提供されるファイルに配置される必要があります。 DNS 検証中に、認証局は DNS レコードのテキスト ドキュメント内で一意のキーを探します。 すべてが正常であれば、サーバーはクライアントが検証されたことを確認し、CA が証明書を発行します。