云服务

阿里云域名caa记录添加详解

CAA记录介绍

CAA,全称Certificate Authority Authorization,即证书颁发机构授权。它为了改善PKI(Public Key Infrastructure:公钥基础设施)生态系统强度、减少证书意外错误发布的风险,通过DNS机制创建CAA资源记录,从而限定了特定域名颁发的证书和CA(证书颁发机构)之间的联系。从此,再也不能是任意CA都可以为任意域名颁发证书了。

关于CAA记录,其实早在4年前便在RFC 6844中有定义,但由于种种原因配置该DNS资源记录的网站寥寥无几。如今,SSL证书在颁发之前对域名强制CAA检查,就对想要https访问的网站域名提出了解析配置的要求。

CAA记录详解

CAA记录可以控制单域名SSL证书的发行,也可以控制通配符证书。当域名存在CAA记录时,则只允许在记录中列出的CA颁发针对该域名(或子域名)的证书。

在域名解析配置中,咱们可以为整个域(如example.com)或者特定的子域(如subzone.example.com)设置CAA策略。当为整域设置CAA资源记录时,该CAA策略将同时应用于该域名下的任一子域,除非被已设置的子域策略覆盖。

CAA记录格式

根据规范(RFC 6844),CAA记录格式由以下元素组成:

CAA <flags> <tag> <value>

名词解释:

CAA:DNS资源记录类型

<flags>:认证机构限制标志

<tag>:证书属性标签

<value>:证书颁发机构、策略违规报告邮件地址等

<flags>定义为0~255无符号整型,取值:

Issuer Critical Flag:0

1~7为保留标记

<tag>定义为US-ASCII和0~9,取值:

CA授权任何类型的域名证书(Authorization Entry by Domain) : issue

CA授权通配符域名证书(Authorization Entry by Wildcard Domain) : issuewild

指定CA可报告策略违规(Report incident by IODEF report) : iodef

auth、path和policy为保留标签

<value>定义为八位字节序列的二进制编码字符串,一般填写格式为:

[domain] [“;” * 参数]

CAA记录示例

当需要限制域名tiansir.com及其子域名可由机构aliyun颁发不限类型的证书,同时可由symantec颁发通配符证书,其他一律禁止,并且当违反配置规则时,发送通知邮件到admin@tiansir.com。

配置如下:

 0 issue “aliyun.com”

0 issuewild “symantec.com”

0 iodef “mailto:admin@tiansir.com”

如果子域名有单独列出证书颁发要求,例如:

 0 issue “aliyun.com”   在主机记录添加@

0 issue “symantec.com”  在主机记录添加子域名down

那么,因子域策略优先,所以只有symantec可以为域名down.example.com.颁发证书。

tiansir网站是如何使用的呢?

0 issue “symantec.com”        注意主机记录是你的子域名或者通配符*或者@

0 iodef “mailto:admin@tiansir.com”

我如何验证使用CAA成功呢?

[root@iZ5797ngmexeexZ ~]# dig
-bash: dig: command not found
发现没有安装dig 那么我们先给服务器安装一下吧  我的使用环境是centos
[root@iZ5797ngmexeexZ ~]# yum install dig

安装成功后

 

或者使用

 

当然你还可以用

 

Leave a Reply

Your email address will not be published. Required fields are marked *