Certificate-Authority

我應該如何配置 CAA DNS 記錄以與 AWS Certificate Manager 一起使用

  • September 24, 2017

AWS Route 53現在允許創建CAA記錄以限制可能為域頒發證書的證書頒發機構。我想使用issue指令來限制為我的域頒發證書,如下例所示:

example.org. CAA 128 issue "letsencrypt.org"

我從 Amazon 的證書管理器 (ACM) 獲取我的域的證書。我應該如何配置一個限制向該服務頒發證書的域?我不想弄錯,以防我破壞證書的自動續訂!

2017-09 更新

AWS 指南中的官方 ACM 指南包含有關 CAA 的部分:http: //docs.aws.amazon.com/acm/latest/userguide/setup-caa.html

它確實包含一個與下面相同的範例,聲稱 ACM 現在確實尊重 CAA 配置,並闡明不應設置任何標誌 ( flags=0):

如果您沒有指定以下四個 Amazon CA 之一的 CAA 記錄,則 ACM 無法向您的域或子域頒發證書

請記住,在亞馬遜在其認證實踐聲明中承諾無條件 CAA 驗證之前,

如果 CA 或 CA 的附屬機構是域 DNS 的 DNS 運營商(如 RFC 7719 中定義),則 CAA 檢查是可選的。

根據CAB 論壇的第 187 號選票(2019 年 9 月 8 日生效)

原帖

你可以使用

example.org. CAA 0 issue "amazon.com"

為什麼選擇amazon.com?

因為幾乎所有的 CA 都建議使用他們控制下的最令人難忘的域,而亞馬遜尚未進行任何更具體的溝通。

https://www.rfc-editor.org/rfc/rfc6844#section-3

問題 <發行人域名>

$$ ; <name>=<value> $$* :

發行屬性條目授權域名持有者或在該域名持有者的明確授權下行事的一方為發布該屬性的域頒發證書。

為什麼不使用標誌(例如flags=128:標記為關鍵)?

因為,截至目前(2017 年 8 月),亞馬遜並不關心 CAA 記錄,所以設置它,可能不遵守他們稍後發布的指南,你只是在為找出問題所在做準備.

亞馬遜可能會或可能不會另外推薦使用 aws.amazon.com 和/或帳戶名稱,並且他們向瀏覽器供應商的報告看起來像他們這樣做

Amazon Trust 公共文件儲存庫包含一個名為的文件,Amazon Trust Services Certification Practice Statement v1.X您可以在其中搜尋“CAA”。在 v1.0.5 這狀態

Amazon 根 CA 在頒發證書之前不會檢查 CAA 記錄。

引用自:https://serverfault.com/questions/873129