CAA记录检查与配置
此页内容仅影响域名证书签发,不影响IP地址证书,如果您正在签发IP地址证书,请跳过此步骤
现在所有CA都需要对域名型证书进行CAA检查,不论DNS验证,还是文件验证,都必须要通过CAA检查,以确保证书仅在域名所有人允许的情况下才能签发,避免安全问题。自2017年9月起,所有证书颁发机构都必须实施CAA检查。
一般在未配置的情况下,您的域名应当没有任何CAA记录,此时并不会影响任何品牌的CA进行证书签发操作。
我的域名在什么情况下会被CAA记录影响?
如果您的域名存在下列情况之一:
- 您曾自行在DNS服务提供商(例如DNSPod/阿里云/Cloudflare)配置过
CAA类型的记录,或者 - 您的域名目前托管在Cloudflare,且启用了特定功能
则域名验证会受到CAA记录限制影响,可能会导致特定品牌CA无法为您的域名签发证书。
Details
根据Cloudflare的官方文档,您的域名在符合下列情况之一的时候,CF会自动添加CAA记录,并且在解析控制面板不会显示:
- 启用 Universal SSL或 高级证书功能的情况下,自行添加了任意CAA记录,或者
- 启用 Universal SSL并且启用了 AMP Real URL 或者 SXG Signed Exchanges
您可查看 CF原文说明了解详情
如何确认CAA记录?
通过 dig <您的域名> CAA 或者通过在线检查工具 (例如 MySSL 输入您的根域名)提示您有设置CAA记录,并且CAA记录 不包含 certum.pl
则您需要跟随以下步骤说明,添加Certum CA至您的CAA列表中,才能继续签发流程
如果已有存在的CAA记录,我需要做什么?
您需要前往您的域名解析服务(DNS)提供商,添加两条CAA记录来允许 Certum CA 为您签发证书:
0 issue "certum.pl"0 issuewild "certum.pl"
以 Cloudflare 为例:您可参考下图示例,添加两条CAA记录至您的域名:
- 首先请您前往 Cloudflare 控制台
- 进入您需要签发证书的域名的
DNS页面 - 请按照图示说明添加两条CAA记录:
- Type (类型)为
CAA - CA domain name (CA域名)内容为
certum.pl - Name (名称)字段内容为
@ - 第一条记录的 Tag 为
仅允许通配符(Only allow wildcards) - 第二条记录的 Tag 为
仅允许单域名(Only allow single domain)
- 在您添加完毕以后,您应该能看到类似下图的两条记录
- Type (类型)为